Praktik Terbaik Operasional untuk NIST CSF

Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.

Berikut ini menyediakan contoh pemetaan antara NIST Cyber Security Framework (CSF) dan aturan AWS Config terkelola. Setiap AWS Config aturan berlaku untuk AWS sumber daya tertentu, dan berhubungan dengan satu atau lebih kontrol CSF NIST. Kontrol CSF NIST dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.

ID Kontrol	Deskripsi Kontrol	AWS Aturan Config	Bimbingan
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	elasticsearch-logs-to-cloudwatch	Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	no-unrestricted-route-to-igw	Pastikan tabel EC2 rute Amazon tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja di Amazon VPCs dapat mengurangi akses yang tidak diinginkan di lingkungan Anda.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	opensearch-logs-to-cloudwatch	Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. OpenSearch Log kesalahan layanan dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di web ACLs regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	rds-logging-enabled	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	redshift-cluster-configuration-check	Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	vpc-flow-logs-enabled	Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
DE.AE-1	Dasar operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
DE.AE-2	Peristiwa yang terdeteksi dianalisis untuk memahami target dan metode serangan	guardduty-non-archived-findings	Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda.
DE.AE-2	Peristiwa yang terdeteksi dianalisis untuk memahami target dan metode serangan	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	elasticsearch-logs-to-cloudwatch	Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	opensearch-logs-to-cloudwatch	Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. OpenSearch Log kesalahan layanan dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di web ACLs regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	rds-logging-enabled	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	redshift-cluster-configuration-check	Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
DE.AE-3	Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor	vpc-flow-logs-enabled	Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
DE.AE-4	Dampak peristiwa ditentukan	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
DE.AE-4	Dampak peristiwa ditentukan	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
DE.AE-4	Dampak peristiwa ditentukan	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
DE.AE-4	Dampak peristiwa ditentukan	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
DE.AE-4	Dampak peristiwa ditentukan	guardduty-non-archived-findings	Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda.
DE.AE-4	Dampak peristiwa ditentukan	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
DE.AE-4	Dampak peristiwa ditentukan	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
DE.AE-4	Dampak peristiwa ditentukan	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
DE.CM-1	Jaringan dipantau untuk mendeteksi potensi peristiwa keamanan siber	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
DE.CM-1	Jaringan dipantau untuk mendeteksi potensi peristiwa keamanan siber	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
DE.CM-1	Jaringan dipantau untuk mendeteksi potensi peristiwa keamanan siber	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
DE.CM-1	Jaringan dipantau untuk mendeteksi potensi peristiwa keamanan siber	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
DE.CM-1	Jaringan dipantau untuk mendeteksi potensi peristiwa keamanan siber	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
DE.CM-1	Jaringan dipantau untuk mendeteksi potensi peristiwa keamanan siber	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
DE.CM-1	Jaringan dipantau untuk mendeteksi potensi peristiwa keamanan siber	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
DE.CM-1	Jaringan dipantau untuk mendeteksi potensi peristiwa keamanan siber	s3- event-notifications-enabled	Pemberitahuan peristiwa Amazon S3 dapat memberi tahu personel terkait tentang modifikasi yang tidak disengaja atau disengaja pada objek bucket Anda. Contoh peringatan meliputi: objek baru adalah pembuatan, penghapusan objek, restorasi objek, objek yang hilang dan direplikasi.
DE.CM-1	Jaringan dipantau untuk mendeteksi potensi peristiwa keamanan siber	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
DE.CM-1	Jaringan dipantau untuk mendeteksi potensi peristiwa keamanan siber	vpc-flow-logs-enabled	Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
DE.CM-3	Aktivitas personel dipantau untuk mendeteksi potensi peristiwa keamanan siber	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
DE.CM-3	Aktivitas personel dipantau untuk mendeteksi potensi peristiwa keamanan siber	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
DE.CM-3	Aktivitas personel dipantau untuk mendeteksi potensi peristiwa keamanan siber	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
DE.CM-3	Aktivitas personel dipantau untuk mendeteksi potensi peristiwa keamanan siber	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
DE.CM-3	Aktivitas personel dipantau untuk mendeteksi potensi peristiwa keamanan siber	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
DE.CM-3	Aktivitas personel dipantau untuk mendeteksi potensi peristiwa keamanan siber	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
DE.CM-4	Kode berbahaya terdeteksi	guardduty-non-archived-findings	Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda.
DE.CM-4	Kode berbahaya terdeteksi	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
DE.CM-5	Kode seluler yang tidak sah terdeteksi	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web Anda atau APIs terhadap eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
DE.CM-5	Kode seluler yang tidak sah terdeteksi	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
DE.CM-5	Kode seluler yang tidak sah terdeteksi	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
DE.CM-5	Kode seluler yang tidak sah terdeteksi	guardduty-non-archived-findings	Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda.
DE.CM-5	Kode seluler yang tidak sah terdeteksi	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
DE.CM-5	Kode seluler yang tidak sah terdeteksi	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di web ACLs regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
DE.CM-6	Aktivitas penyedia layanan eksternal dipantau untuk mendeteksi potensi peristiwa keamanan siber	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
DE.CM-6	Aktivitas penyedia layanan eksternal dipantau untuk mendeteksi potensi peristiwa keamanan siber	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
DE.CM-6	Aktivitas penyedia layanan eksternal dipantau untuk mendeteksi potensi peristiwa keamanan siber	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
DE.CM-6	Aktivitas penyedia layanan eksternal dipantau untuk mendeteksi potensi peristiwa keamanan siber	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
DE.CM-6	Aktivitas penyedia layanan eksternal dipantau untuk mendeteksi potensi peristiwa keamanan siber	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
DE.CM-6	Aktivitas penyedia layanan eksternal dipantau untuk mendeteksi potensi peristiwa keamanan siber	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
DE.CM-7	Pemantauan untuk personel, koneksi, perangkat, dan perangkat lunak yang tidak sah dilakukan	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
DE.CM-7	Pemantauan untuk personel, koneksi, perangkat, dan perangkat lunak yang tidak sah dilakukan	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
DE.CM-7	Pemantauan untuk personel, koneksi, perangkat, dan perangkat lunak yang tidak sah dilakukan	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
DE.CM-7	Pemantauan untuk personel, koneksi, perangkat, dan perangkat lunak yang tidak sah dilakukan	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
DE.CM-7	Pemantauan untuk personel, koneksi, perangkat, dan perangkat lunak yang tidak sah dilakukan	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
DE.CM-7	Pemantauan untuk personel, koneksi, perangkat, dan perangkat lunak yang tidak sah dilakukan	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
DE.CM-7	Pemantauan untuk personel, koneksi, perangkat, dan perangkat lunak yang tidak sah dilakukan	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
DE.CM-7	Pemantauan untuk personel, koneksi, perangkat, dan perangkat lunak yang tidak sah dilakukan	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
DE.CM-7	Pemantauan untuk personel, koneksi, perangkat, dan perangkat lunak yang tidak sah dilakukan	vpc-flow-logs-enabled	Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
DE.DP-4	Informasi deteksi peristiwa dikomunikasikan	alb-waf-enabled	Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web Anda atau APIs terhadap eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda.
DE.DP-4	Informasi deteksi peristiwa dikomunikasikan	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
DE.DP-4	Informasi deteksi peristiwa dikomunikasikan	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
DE.DP-4	Informasi deteksi peristiwa dikomunikasikan	guardduty-non-archived-findings	Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda.
DE.DP-4	Informasi deteksi peristiwa dikomunikasikan	s3- event-notifications-enabled	Pemberitahuan peristiwa Amazon S3 dapat memberi tahu personel terkait tentang modifikasi yang tidak disengaja atau disengaja pada objek bucket Anda. Contoh peringatan meliputi: objek baru adalah pembuatan, penghapusan objek, restorasi objek, objek yang hilang dan direplikasi.
DE.DP-4	Informasi deteksi peristiwa dikomunikasikan	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
DE.DP-4	Informasi deteksi peristiwa dikomunikasikan	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di web ACLs regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
DE.DP-5	Proses deteksi terus ditingkatkan	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
ID.AM-2	Platform dan aplikasi perangkat lunak dalam organisasi diinventarisasi	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
ID.AM-2	Platform dan aplikasi perangkat lunak dalam organisasi diinventarisasi	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
ID.AM-2	Platform dan aplikasi perangkat lunak dalam organisasi diinventarisasi	ec2-stopped-instance	Aktifkan aturan ini untuk membantu konfigurasi dasar instans Amazon Elastic Compute Cloud (Amazon EC2) dengan memeriksa apakah EC2 instans Amazon telah dihentikan selama lebih dari jumlah hari yang diizinkan, sesuai dengan standar organisasi Anda.
ID.AM-2	Platform dan aplikasi perangkat lunak dalam organisasi diinventarisasi	terlampir eip	Aturan ini memastikan Elastic IPs dialokasikan ke Amazon Virtual Private Cloud (Amazon VPC) dilampirkan ke instans Amazon Elastic Compute Cloud ( EC2Amazon) atau Antarmuka Jaringan Elastis yang sedang digunakan. Aturan ini membantu memantau yang tidak digunakan EIPs di lingkungan Anda.
ID.AM-2	Platform dan aplikasi perangkat lunak dalam organisasi diinventarisasi	vpc-network-acl-unused-periksa	Aturan ini memastikan bahwa daftar kontrol akses jaringan Amazon Virtual Private Cloud (VPC) sedang digunakan. Pemantauan untuk daftar kontrol akses jaringan yang tidak digunakan dapat membantu inventaris dan pengelolaan lingkungan Anda yang akurat.
ID.AM-3	Komunikasi organisasi dan aliran data dipetakan	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
ID.AM-3	Komunikasi organisasi dan aliran data dipetakan	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
ID.AM-3	Komunikasi organisasi dan aliran data dipetakan	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
ID.AM-3	Komunikasi organisasi dan aliran data dipetakan	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
ID.AM-3	Komunikasi organisasi dan aliran data dipetakan	redshift-cluster-configuration-check	Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
ID.AM-3	Komunikasi organisasi dan aliran data dipetakan	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
ID.AM-3	Komunikasi organisasi dan aliran data dipetakan	vpc-flow-logs-enabled	Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	dynamodb-in-backup-plan	Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	ebs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	efs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	elb-cross-zone-load-menyeimbangkan diaktifkan	Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELBs) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	rds-instance-deletion-protection-diaktifkan	Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	rds-in-backup-plan	Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	redshift-backup-enabled	Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	db-instance-backup-enabled	Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	dynamodb-autoscaling-enabled	Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	dynamodb-pitr-enabled	Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	elasticache-redis-cluster-automatic-backup-periksa	Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	elb-deletion-protection-enabled	Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	rds-multi-az-support	Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	s3- bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
ID.BE-5	Persyaratan ketahanan untuk mendukung pengiriman layanan kritis ditetapkan untuk semua negara operasi (misalnya di bawah paksaan/serangan, selama pemulihan, operasi normal)	vpc-vpn-2-terowongan	Terowongan Site-to-Site VPN redundan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi Site-to-Site VPN menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi Site-to-Site VPN kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua.
ID.RA-1	Kerentanan aset diidentifikasi dan didokumentasikan	rds-automatic-minor-version-upgrade diaktifkan	Aktifkan upgrade versi minor otomatis pada instans Amazon Relational Database Service (RDS) Amazon Relational Database Service (RDS) untuk memastikan pembaruan versi minor terbaru ke Relational Database Management System (RDBMS) diinstal, yang mungkin mencakup patch keamanan dan perbaikan bug.
ID.RA-1	Kerentanan aset diidentifikasi dan didokumentasikan	ec2- -periksa managedinstance-patch-compliance-status	Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah EC2 instans Amazon menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
ID.RA-1	Kerentanan aset diidentifikasi dan didokumentasikan	elastic-beanstalk-managed-updates-diaktifkan	Mengaktifkan pembaruan platform terkelola untuk lingkungan Amazon Elastic Beanstalk memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah praktik terbaik dalam mengamankan sistem.
ID.RA-1	Kerentanan aset diidentifikasi dan didokumentasikan	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
ID.RA-2	Intelijen ancaman cyber diterima dari forum dan sumber berbagi informasi	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
ID.RA-3	Ancaman, baik internal maupun eksternal, diidentifikasi dan didokumentasikan	ec2- -periksa managedinstance-patch-compliance-status	Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah EC2 instans Amazon menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
ID.RA-3	Ancaman, baik internal maupun eksternal, diidentifikasi dan didokumentasikan	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
ID.RA-5	Ancaman, kerentanan, kemungkinan, dan dampak digunakan untuk menentukan risiko	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
ID.RA-5	Ancaman, kerentanan, kemungkinan, dan dampak digunakan untuk menentukan risiko	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
ID.RA-5	Ancaman, kerentanan, kemungkinan, dan dampak digunakan untuk menentukan risiko	rds-enhanced-monitoring-enabled	Aktifkan Amazon Relational Database Service (Amazon RDS) untuk membantu memantau ketersediaan Amazon RDS. Ini memberikan visibilitas terperinci ke dalam kesehatan instans database Amazon RDS Anda. Saat penyimpanan Amazon RDS menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans database Amazon RDS berjalan dalam penerapan multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder.
ID.RA-5	Ancaman, kerentanan, kemungkinan, dan dampak digunakan untuk menentukan risiko	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
ID.SC-4	Pemasok dan mitra pihak ketiga secara rutin dinilai menggunakan audit, hasil pengujian, atau bentuk evaluasi lainnya untuk mengonfirmasi bahwa mereka memenuhi kewajiban kontrak mereka.	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
ID.SC-4	Pemasok dan mitra pihak ketiga secara rutin dinilai menggunakan audit, hasil pengujian, atau bentuk evaluasi lainnya untuk mengonfirmasi bahwa mereka memenuhi kewajiban kontrak mereka.	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
ID.SC-4	Pemasok dan mitra pihak ketiga secara rutin dinilai menggunakan audit, hasil pengujian, atau bentuk evaluasi lainnya untuk mengonfirmasi bahwa mereka memenuhi kewajiban kontrak mereka.	rds-enhanced-monitoring-enabled	Aktifkan Amazon Relational Database Service (Amazon RDS) untuk membantu memantau ketersediaan Amazon RDS. Ini memberikan visibilitas terperinci ke dalam kesehatan instans database Amazon RDS Anda. Saat penyimpanan Amazon RDS menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans database Amazon RDS berjalan dalam penerapan multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder.
ID.SC-4	Pemasok dan mitra pihak ketiga secara rutin dinilai menggunakan audit, hasil pengujian, atau bentuk evaluasi lainnya untuk mengonfirmasi bahwa mereka memenuhi kewajiban kontrak mereka.	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	ec2- instance-profile-attached	EC2 profil instance meneruskan peran IAM ke sebuah EC2 instance. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	ecs-task-definition-user-for-host-mode-check	Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	iam-no-inline-policy-periksa	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	iam-policy-no-statements-with-full-access	Pastikan Tindakan IAM dibatasi hanya pada tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	access-keys-rotated	Kredensyal diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci akses IAM diputar sebagaimana ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	emr-kerberos-enabled	Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	iam-group-has-users-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “” di atas “Sumber Daya”: “”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	iam-root-access-key-periksa	Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	iam-user-mfa-enabled	Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	iam-user-no-policies-periksa	Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	iam-user-unused-credentials-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensyal yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	secretsmanager-rotation-enabled-check	Aturan ini memastikan AWS rahasia Secrets Manager telah diaktifkan rotasi. Memutar rahasia pada jadwal reguler dapat mempersingkat periode rahasia aktif, dan berpotensi mengurangi dampak bisnis jika rahasia itu dikompromikan.
PR.AC-1	Identitas dan kredensil dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang	iam-password-policy	Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-3	Akses jarak jauh dikelola.	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2 sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
PR.AC-3	Akses jarak jauh dikelola.	ec2- instances-in-vpc	Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan EC2 instans Amazon ke VPC Amazon untuk mengelola akses dengan benar.
PR.AC-3	Akses jarak jauh dikelola.	no-unrestricted-route-to-igw	Pastikan tabel EC2 rute Amazon tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja di Amazon VPCs dapat mengurangi akses yang tidak diinginkan di lingkungan Anda.
PR.AC-3	Akses jarak jauh dikelola.	redshift-enhanced-vpc-routing-diaktifkan	Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melewati VPC Amazon Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan log aliran VPC untuk memantau lalu lintas jaringan.
PR.AC-3	Akses jarak jauh dikelola.	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
PR.AC-3	Akses jarak jauh dikelola.	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-3	Akses jarak jauh dikelola.	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-3	Akses jarak jauh dikelola.	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. EC2Instans Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-3	Akses jarak jauh dikelola.	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.AC-3	Akses jarak jauh dikelola.	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-3	Akses jarak jauh dikelola.	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
PR.AC-3	Akses jarak jauh dikelola.	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
PR.AC-3	Akses jarak jauh dikelola.	lambda-inside-vpc	Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
PR.AC-3	Akses jarak jauh dikelola.	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.AC-3	Akses jarak jauh dikelola.	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
PR.AC-3	Akses jarak jauh dikelola.	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-3	Akses jarak jauh dikelola.	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-3	Akses jarak jauh dikelola.	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-3	Akses jarak jauh dikelola.	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-3	Akses jarak jauh dikelola.	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.AC-3	Akses jarak jauh dikelola.	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.AC-3	Akses jarak jauh dikelola.	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
PR.AC-3	Akses jarak jauh dikelola.	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
PR.AC-3	Akses jarak jauh dikelola.	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
PR.AC-3	Akses jarak jauh dikelola.	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2 sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	ec2-imdsv2-periksa	Pastikan metode Instance Metadata Service Version 2 (IMDSv2) diaktifkan untuk membantu melindungi akses dan kontrol metadata instans Amazon Elastic Compute Cloud (Amazon EC2). IMDSv2 Metode ini menggunakan kontrol berbasis sesi. Dengan IMDSv2, kontrol dapat diimplementasikan untuk membatasi perubahan pada metadata instance.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	ec2- instance-profile-attached	EC2 profil instance meneruskan peran IAM ke sebuah EC2 instance. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	ecs-task-definition-user-for-host-mode-check	Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	iam-no-inline-policy-periksa	Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	iam-policy-no-statements-with-full-access	Pastikan Tindakan IAM dibatasi hanya pada tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	ec2- instances-in-vpc	Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan EC2 instans Amazon ke VPC Amazon untuk mengelola akses dengan benar.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. EC2Instans Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	emr-kerberos-enabled	Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	iam-group-has-users-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “” di atas “Sumber Daya”: “”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	iam-root-access-key-periksa	Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	iam-user-no-policies-periksa	Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	iam-user-unused-credentials-periksa	AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensyal yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	lambda-inside-vpc	Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
PR.AC-4	Izin akses dan otorisasi dikelola, menggabungkan prinsip-prinsip hak istimewa yang paling rendah dan pemisahan tugas	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2 sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	ec2- instances-in-vpc	Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan EC2 instans Amazon ke VPC Amazon untuk mengelola akses dengan benar.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	no-unrestricted-route-to-igw	Pastikan tabel EC2 rute Amazon tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja di Amazon VPCs dapat mengurangi akses yang tidak diinginkan di lingkungan Anda.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	redshift-enhanced-vpc-routing-diaktifkan	Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melewati VPC Amazon Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan log aliran VPC untuk memantau lalu lintas jaringan.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	acm-certificate-expiration-check	Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. EC2Instans Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	lambda-inside-vpc	Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
PR.AC-5	Integritas jaringan dilindungi (misalnya, segregasi jaringan, segmentasi jaringan)	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
PR.AC-6	Identitas dibuktikan dan terikat pada kredensi dan ditegaskan dalam interaksi	emr-kerberos-enabled	Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama.
PR.AC-6	Identitas dibuktikan dan terikat pada kredensi dan ditegaskan dalam interaksi	iam-password-policy	Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-7	Pengguna, perangkat, dan aset lainnya diautentikasi (misalnya, faktor tunggal, multi-faktor) yang sepadan dengan risiko transaksi (misalnya, risiko keamanan dan privasi individu dan risiko organisasi lainnya)	iam-password-policy	Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.AC-7	Pengguna, perangkat, dan aset lainnya diautentikasi (misalnya, faktor tunggal, multi-faktor) yang sepadan dengan risiko transaksi (misalnya, risiko keamanan dan privasi individu dan risiko organisasi lainnya)	iam-user-mfa-enabled	Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna.
PR.AC-7	Pengguna, perangkat, dan aset lainnya diautentikasi (misalnya, faktor tunggal, multi-faktor) yang sepadan dengan risiko transaksi (misalnya, risiko keamanan dan privasi individu dan risiko organisasi lainnya)	mfa-enabled-for-iam-akses konsol	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
PR.AC-7	Pengguna, perangkat, dan aset lainnya diautentikasi (misalnya, faktor tunggal, multi-faktor) yang sepadan dengan risiko transaksi (misalnya, risiko keamanan dan privasi individu dan risiko organisasi lainnya)	root-account-hardware-mfa-diaktifkan	Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
PR.AC-7	Pengguna, perangkat, dan aset lainnya diautentikasi (misalnya, faktor tunggal, multi-faktor) yang sepadan dengan risiko transaksi (misalnya, risiko keamanan dan privasi individu dan risiko organisasi lainnya)	root-account-mfa-enabled	Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS
PR.AT-1	Semua pengguna diinformasikan dan dilatih	security-awareness-program-exists (pemeriksaan proses)	Membangun dan memelihara program kesadaran keamanan untuk organisasi Anda. Program kesadaran keamanan mendidik karyawan tentang cara melindungi organisasi mereka dari berbagai pelanggaran atau insiden keamanan.
PR.DS-1	Data-at-rest dilindungi	ec2- ebs-encryption-by-default	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
PR.DS-1	Data-at-rest dilindungi	rds-snapshot-encrypted	Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
PR.DS-1	Data-at-rest dilindungi	s3- default-encryption-kms	Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
PR.DS-1	Data-at-rest dilindungi	sagemaker-notebook-instance-kms-kunci-dikonfigurasi	Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker notebook Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
PR.DS-1	Data-at-rest dilindungi	sns-encrypted-kms	Untuk membantu melindungi data saat istirahat, pastikan topik Amazon Simple Notification Service (Amazon SNS) Anda memerlukan enkripsi AWS menggunakan Key Management Service AWS (KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
PR.DS-1	Data-at-rest dilindungi	api-gw-cache-enabled-dan-dienkripsi	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk metode API, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
PR.DS-1	Data-at-rest dilindungi	cloud-trail-encryption-enabled	Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda.
PR.DS-1	Data-at-rest dilindungi	efs-encrypted-check	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda.
PR.DS-1	Data-at-rest dilindungi	elasticsearch-encrypted-at-rest	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda.
PR.DS-1	Data-at-rest dilindungi	volume terenkripsi	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda.
PR.DS-1	Data-at-rest dilindungi	kms-cmk-not-scheduled-untuk-penghapusan	Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan yang diperlukan (CMKs) tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci (AWS KMS). Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja.
PR.DS-1	Data-at-rest dilindungi	opensearch-encrypted-at-rest	Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda.
PR.DS-1	Data-at-rest dilindungi	rds-storage-encrypted	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
PR.DS-1	Data-at-rest dilindungi	redshift-cluster-configuration-check	Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.DS-1	Data-at-rest dilindungi	redshift-cluster-kms-enabled	Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
PR.DS-1	Data-at-rest dilindungi	s3- -diaktifkan bucket-server-side-encryption	Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut.
PR.DS-1	Data-at-rest dilindungi	sagemaker-endpoint-configuration-kms-kunci-dikonfigurasi	Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk titik SageMaker akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
PR.DS-1	Data-at-rest dilindungi	secretsmanager-using-cmk	Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk AWS rahasia Secrets Manager. Karena data sensitif dapat ada saat diam di rahasia Secrets Manager, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
PR.DS-2	Data-in-transit dilindungi	elasticsearch-node-to-node-pemeriksaan enkripsi-	Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. Node-to-nodeenkripsi memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
PR.DS-2	Data-in-transit dilindungi	elbv2- acm-certificate-required	Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
PR.DS-2	Data-in-transit dilindungi	elb-tls-https-listeners-hanya	Pastikan Elastic Load Balancers (ELBs) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
PR.DS-2	Data-in-transit dilindungi	opensearch-node-to-node-pemeriksaan enkripsi-	Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. Node-to-nodeenkripsi memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
PR.DS-2	Data-in-transit dilindungi	alb-http-to-https-pengalihan-periksa	Untuk membantu melindungi data dalam perjalanan, pastikan Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
PR.DS-2	Data-in-transit dilindungi	api-gw-ssl-enabled	Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway.
PR.DS-2	Data-in-transit dilindungi	elb-acm-certificate-required	Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal.
PR.DS-2	Data-in-transit dilindungi	redshift-require-tls-ssl	Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
PR.DS-2	Data-in-transit dilindungi	s3- bucket-ssl-requests-only	Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut.
PR.DS-3	Aset dikelola secara formal selama penghapusan, transfer, dan disposisi	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
PR.DS-3	Aset dikelola secara formal selama penghapusan, transfer, dan disposisi	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
PR.DS-3	Aset dikelola secara formal selama penghapusan, transfer, dan disposisi	terlampir eip	Aturan ini memastikan Elastic IPs dialokasikan ke Amazon Virtual Private Cloud (Amazon VPC) dilampirkan ke instans Amazon Elastic Compute Cloud ( EC2Amazon) atau Antarmuka Jaringan Elastis yang sedang digunakan. Aturan ini membantu memantau yang tidak digunakan EIPs di lingkungan Anda.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	dynamodb-in-backup-plan	Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	ebs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	efs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	elb-cross-zone-load-menyeimbangkan diaktifkan	Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELBs) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	rds-instance-deletion-protection-diaktifkan	Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	rds-in-backup-plan	Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	redshift-backup-enabled	Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	db-instance-backup-enabled	Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	dynamodb-autoscaling-enabled	Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	dynamodb-pitr-enabled	Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	elasticache-redis-cluster-automatic-backup-periksa	Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	elb-deletion-protection-enabled	Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	rds-multi-az-support	Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) menyediakan ketersediaan dan daya tahan yang ditingkatkan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	redshift-cluster-maintenancesettings-check	Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	s3- bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
PR.DS-4	Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga	vpc-vpn-2-terowongan	Terowongan Site-to-Site VPN redundan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi Site-to-Site VPN menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi Site-to-Site VPN kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2 sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	Securityhub-enabled	AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	codebuild-project-envvar-awscred-periksa	Pastikan kredensi otentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak ada dalam lingkungan proyek AWS Codebuild. Jangan simpan variabel-variabel ini dalam teks yang jelas. Menyimpan variabel-variabel ini dalam teks yang jelas menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	codebuild-project-source-repo-url-periksa	Pastikan URL repositori sumber GitHub atau Bitbucket tidak berisi token akses pribadi, kredenal masuk dalam lingkungan proyek Codebuild. AWS Gunakan OAuth alih-alih token akses pribadi atau kredensyal masuk untuk memberikan otorisasi untuk mengakses GitHub atau repositori Bitbucket.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
PR.DS-5	Perlindungan terhadap kebocoran data diimplementasikan	vpc-flow-logs-enabled	Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
PR.DS-6	Mekanisme pemeriksaan integritas digunakan untuk memverifikasi perangkat lunak, firmware, dan integritas informasi	cloud-trail-log-file-validasi-diaktifkan	Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi.
PR.DS-6	Mekanisme pemeriksaan integritas digunakan untuk memverifikasi perangkat lunak, firmware, dan integritas informasi	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
PR.DS-7	Lingkungan pengembangan dan pengujian terpisah dari lingkungan produksi	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
PR.DS-7	Lingkungan pengembangan dan pengujian terpisah dari lingkungan produksi	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
PR.DS-7	Lingkungan pengembangan dan pengujian terpisah dari lingkungan produksi	ec2-stopped-instance	Aktifkan aturan ini untuk membantu konfigurasi dasar instans Amazon Elastic Compute Cloud (Amazon EC2) dengan memeriksa apakah EC2 instans Amazon telah dihentikan selama lebih dari jumlah hari yang diizinkan, sesuai dengan standar organisasi Anda.
PR.DS-7	Lingkungan pengembangan dan pengujian terpisah dari lingkungan produksi	ec2- volume-inuse-check	Aturan ini memastikan bahwa volume Amazon Elastic Block Store yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) ditandai untuk dihapus saat instance dihentikan. Jika volume Amazon EBS tidak dihapus ketika instance yang dilampirkan dihentikan, itu mungkin melanggar konsep fungsionalitas terkecil.
PR.DS-7	Lingkungan pengembangan dan pengujian terpisah dari lingkungan produksi	elb-deletion-protection-enabled	Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
PR.DS-7	Lingkungan pengembangan dan pengujian terpisah dari lingkungan produksi	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.IP-1	Konfigurasi dasar teknologi informasi/sistem kontrol industri dibuat dan dipelihara dengan menggabungkan prinsip-prinsip keamanan (misalnya konsep fungsionalitas terkecil)	account-part-of-organizations	Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif.
PR.IP-1	Konfigurasi dasar teknologi informasi/sistem kontrol industri dibuat dan dipelihara dengan menggabungkan prinsip-prinsip keamanan (misalnya konsep fungsionalitas terkecil)	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
PR.IP-1	Konfigurasi dasar teknologi informasi/sistem kontrol industri dibuat dan dipelihara dengan menggabungkan prinsip-prinsip keamanan (misalnya konsep fungsionalitas terkecil)	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
PR.IP-1	Konfigurasi dasar teknologi informasi/sistem kontrol industri dibuat dan dipelihara dengan menggabungkan prinsip-prinsip keamanan (misalnya konsep fungsionalitas terkecil)	ec2-stopped-instance	Aktifkan aturan ini untuk membantu konfigurasi dasar instans Amazon Elastic Compute Cloud (Amazon EC2) dengan memeriksa apakah EC2 instans Amazon telah dihentikan selama lebih dari jumlah hari yang diizinkan, sesuai dengan standar organisasi Anda.
PR.IP-1	Konfigurasi dasar teknologi informasi/sistem kontrol industri dibuat dan dipelihara dengan menggabungkan prinsip-prinsip keamanan (misalnya konsep fungsionalitas terkecil)	ec2- volume-inuse-check	Aturan ini memastikan bahwa volume Amazon Elastic Block Store yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) ditandai untuk dihapus saat instance dihentikan. Jika volume Amazon EBS tidak dihapus ketika instance yang dilampirkan dihentikan, itu mungkin melanggar konsep fungsionalitas terkecil.
PR.IP-1	Konfigurasi dasar teknologi informasi/sistem kontrol industri dibuat dan dipelihara dengan menggabungkan prinsip-prinsip keamanan (misalnya konsep fungsionalitas terkecil)	redshift-cluster-maintenancesettings-check	Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.IP-2	Siklus Hidup Pengembangan Sistem untuk mengelola sistem diimplementasikan	codebuild-project-envvar-awscred-periksa	Pastikan kredensi otentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak ada dalam lingkungan proyek AWS Codebuild. Jangan simpan variabel-variabel ini dalam teks yang jelas. Menyimpan variabel-variabel ini dalam teks yang jelas menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah.
PR.IP-2	Siklus Hidup Pengembangan Sistem untuk mengelola sistem diimplementasikan	codebuild-project-source-repo-url-periksa	Pastikan URL repositori sumber GitHub atau Bitbucket tidak berisi token akses pribadi, kredenal masuk dalam lingkungan proyek Codebuild. AWS Gunakan OAuth alih-alih token akses pribadi atau kredensyal masuk untuk memberikan otorisasi untuk mengakses GitHub atau repositori Bitbucket.
PR.IP-2	Siklus Hidup Pengembangan Sistem untuk mengelola sistem diimplementasikan	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
PR.IP-3	Proses kontrol perubahan konfigurasi sudah ada	elb-deletion-protection-enabled	Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
PR.IP-3	Proses kontrol perubahan konfigurasi sudah ada	rds-instance-deletion-protection-diaktifkan	Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
PR.IP-4	Pencadangan informasi dilakukan, dipelihara, dan diuji	dynamodb-in-backup-plan	Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.IP-4	Pencadangan informasi dilakukan, dipelihara, dan diuji	ebs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.IP-4	Pencadangan informasi dilakukan, dipelihara, dan diuji	efs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.IP-4	Pencadangan informasi dilakukan, dipelihara, dan diuji	rds-in-backup-plan	Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.IP-4	Pencadangan informasi dilakukan, dipelihara, dan diuji	redshift-backup-enabled	Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
PR.IP-4	Pencadangan informasi dilakukan, dipelihara, dan diuji	db-instance-backup-enabled	Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
PR.IP-4	Pencadangan informasi dilakukan, dipelihara, dan diuji	dynamodb-pitr-enabled	Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
PR.IP-4	Pencadangan informasi dilakukan, dipelihara, dan diuji	elasticache-redis-cluster-automatic-backup-periksa	Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
PR.IP-4	Pencadangan informasi dilakukan, dipelihara, dan diuji	redshift-cluster-maintenancesettings-check	Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.IP-4	Pencadangan informasi dilakukan, dipelihara, dan diuji	s3- bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
PR.IP-4	Pencadangan informasi dilakukan, dipelihara, dan diuji	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
PR.IP-7	Proses perlindungan ditingkatkan	ebs-optimized-instance	Instans yang dioptimalkan di Amazon Elastic Block Store (Amazon EBS) menyediakan kapasitas tambahan dan khusus untuk operasi Amazon EBS I/O. Pengoptimalan ini memberikan kinerja paling efisien untuk volume EBS Anda dengan meminimalkan perselisihan antara operasi Amazon EBS I/O dan lalu lintas lain dari instans Anda.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. EC2Instans Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
PR.IP-8	Efektivitas teknologi perlindungan dibagi	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
PR.IP-12	Rencana manajemen kerentanan dikembangkan dan diimplementasikan	ec2- -manajer instance-managed-by-systems	Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan AWS Systems Manager. Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda.
PR.IP-12	Rencana manajemen kerentanan dikembangkan dan diimplementasikan	ec2- -periksa managedinstance-association-compliance-status	Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda.
PR.IP-12	Rencana manajemen kerentanan dikembangkan dan diimplementasikan	ec2- -periksa managedinstance-patch-compliance-status	Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah EC2 instans Amazon menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda.
PR.MA-2	Pemeliharaan aset organisasi secara jarak jauh disetujui, dicatat, dan dilakukan dengan cara yang mencegah akses yang tidak sah	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
PR.MA-2	Pemeliharaan aset organisasi secara jarak jauh disetujui, dicatat, dan dilakukan dengan cara yang mencegah akses yang tidak sah	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	elasticsearch-logs-to-cloudwatch	Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	guardduty-non-archived-findings	Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	multi-region-cloudtrail-enabled	AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun.
PR.PT-1	Jaringan komunikasi dan kontrol dilindungi	opensearch-logs-to-cloudwatch	Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. OpenSearch Log kesalahan layanan dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	rds-enhanced-monitoring-enabled	Aktifkan Amazon Relational Database Service (Amazon RDS) untuk membantu memantau ketersediaan Amazon RDS. Ini memberikan visibilitas terperinci ke dalam kesehatan instans database Amazon RDS Anda. Saat penyimpanan Amazon RDS menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans database Amazon RDS berjalan dalam penerapan multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	rds-logging-enabled	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	wafv2-logging-diaktifkan	Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di web ACLs regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	api-gw-execution-logging-diaktifkan	Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	cloud-trail-cloud-watch-logs-diaktifkan	Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	cloudtrail-diaktifkan	AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	cloudtrail-s3-dataevents-diaktifkan	Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	elb-logging-enabled	Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	guardduty-enabled-centralized	Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar pembelajaran berbahaya IPs dan mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	redshift-cluster-configuration-check	Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	s3- bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan.
PR.PT-1	Catatan audit/log ditentukan, didokumentasikan, diimplementasikan, dan ditinjau sesuai dengan kebijakan	vpc-flow-logs-enabled	Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2 sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	ec2- instance-profile-attached	EC2 profil instance meneruskan peran IAM ke sebuah EC2 instance. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	ec2- instances-in-vpc	Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan EC2 instans Amazon ke VPC Amazon untuk mengelola akses dengan benar.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	redshift-enhanced-vpc-routing-diaktifkan	Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melewati VPC Amazon Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan log aliran VPC untuk memantau lalu lintas jaringan.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. EC2Instans Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “” di atas “Sumber Daya”: “”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	iam-root-access-key-periksa	Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	iam-user-no-policies-periksa	Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	lambda-inside-vpc	Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
PR.PT-3	Prinsip fungsionalitas terkecil digabungkan dengan mengkonfigurasi sistem untuk hanya menyediakan kemampuan penting	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	autoscaling-launch-config-public-ip-dinonaktifkan	Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. EC2 sumber daya tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	ec2- instances-in-vpc	Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan EC2 instans Amazon ke VPC Amazon untuk mengelola akses dengan benar.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	no-unrestricted-route-to-igw	Pastikan tabel EC2 rute Amazon tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja di Amazon VPCs dapat mengurangi akses yang tidak diinginkan di lingkungan Anda.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	ssm-document-not-public	Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	acm-certificate-expiration-check	Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	dms-replication-not-public	Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	ebs-snapshot-public-restorable-periksa	Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	ec2- instance-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. EC2Instans Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	elasticsearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	emr-master-no-public-ip	Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	terbatas-ssh	Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	lambda-function-public-access-dilarang	Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	lambda-inside-vpc	Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	opensearch-in-vpc-only	Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	rds-instance-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	rds-snapshots-public-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	redshift-cluster-public-access-periksa	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	restricted-common-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	s3- account-level-public-access -blok-periodik	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	s3- bucket-public-read-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	s3- bucket-public-write-prohibited	Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	sagemaker-notebook-no-direct-akses internet	Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	subnet-auto-assign-public-ip-dinonaktifkan	Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	vpc-default-security-group-tertutup	Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS .
PR.PT-4	Jaringan komunikasi dan kontrol dilindungi	vpc-sg-open-only-to-authorized-ports	Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	dynamodb-in-backup-plan	Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	ebs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	efs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	elb-cross-zone-load-menyeimbangkan diaktifkan	Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELBs) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	rds-instance-deletion-protection-diaktifkan	Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	rds-in-backup-plan	Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	redshift-backup-enabled	Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	autoscaling-group-elb-healthcheck-diperlukan	Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto EC2 Scaling Amazon Elastic Compute Cloud (Amazon) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan EC2 instans Amazon dalam grup auto-scaling. Jika sebuah instans tidak melaporkan kembali, lalu lintas dikirim ke EC2 instans Amazon baru.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	db-instance-backup-enabled	Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	dynamodb-autoscaling-enabled	Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	dynamodb-pitr-enabled	Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	elasticache-redis-cluster-automatic-backup-periksa	Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	elb-deletion-protection-enabled	Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	rds-multi-az-support	Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) menyediakan ketersediaan dan daya tahan yang ditingkatkan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	s3- bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
PR.PT-5	Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan merugikan	vpc-vpn-2-terowongan	Terowongan Site-to-Site VPN redundan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi Site-to-Site VPN menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi Site-to-Site VPN kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	dynamodb-in-backup-plan	Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	ebs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	efs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	elb-cross-zone-load-menyeimbangkan diaktifkan	Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELBs) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	rds-instance-deletion-protection-diaktifkan	Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	rds-in-backup-plan	Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	redshift-backup-enabled	Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	db-instance-backup-enabled	Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	dynamodb-autoscaling-enabled	Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	dynamodb-pitr-enabled	Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	elasticache-redis-cluster-automatic-backup-periksa	Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	elb-deletion-protection-enabled	Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	rds-multi-az-support	Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) menyediakan ketersediaan dan daya tahan yang ditingkatkan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	s3- bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
RC.RP-1	Rencana pemulihan dijalankan selama atau setelah insiden keamanan siber	vpc-vpn-2-terowongan	Terowongan Site-to-Site VPN redundan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi Site-to-Site VPN menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi Site-to-Site VPN kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua.
RS.AN-2	Dampak dari insiden tersebut dipahami	guardduty-non-archived-findings	Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda.
RS.MI-3	Kerentanan yang baru diidentifikasi dikurangi atau didokumentasikan sebagai risiko yang diterima	guardduty-non-archived-findings	Amazon GuardDuty membantu Anda memahami dampak insiden dengan mengklasifikasikan temuan berdasarkan tingkat keparahan: rendah, sedang, dan tinggi. Anda dapat menggunakan klasifikasi ini untuk menentukan strategi dan prioritas remediasi. Aturan ini memungkinkan Anda untuk secara opsional menyetel daysLowSev (Config Default: 30), daysMediumSev (Config Default: 7), dan daysHighSev (Config Default: 1) untuk temuan yang tidak diarsipkan, seperti yang disyaratkan oleh kebijakan organisasi Anda.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	aurora-resources-protected-by-rencana cadangan	Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Aurora Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	backup-plan-min-frequency-and-min-retention-check	Untuk membantu proses pencadangan data, pastikan paket AWS Backup Anda diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	backup-recovery-point-encrypted	Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	backup-recovery-point-manual-penghapusan-dinonaktifkan	Pastikan bahwa titik pemulihan AWS Backup Anda memiliki kebijakan berbasis sumber daya terlampir yang mencegah penghapusan titik pemulihan. Menggunakan kebijakan berbasis sumber daya untuk mencegah penghapusan titik pemulihan dapat membantu mencegah penghapusan yang tidak disengaja atau disengaja.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	db-instance-backup-enabled	Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	dynamodb-autoscaling-enabled	Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	dynamodb-in-backup-plan	Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	dynamodb-pitr-enabled	Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	ebs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	ec2- -rencana resources-protected-by-backup	Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Elastic Compute Cloud EC2 (Amazon) Anda merupakan bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	efs-in-backup-plan	Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	elasticache-redis-cluster-automatic-backup-periksa	Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	elb-cross-zone-load-menyeimbangkan diaktifkan	Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELBs) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	elb-deletion-protection-enabled	Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	rds-in-backup-plan	Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	rds-multi-az-support	Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) menyediakan ketersediaan dan daya tahan yang ditingkatkan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	redshift-backup-enabled	Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	s3- bucket-replication-enabled	Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	s3- bucket-versioning-enabled	Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi.
RS.RP-1	Rencana respons dijalankan selama atau setelah insiden	vpc-vpn-2-terowongan	Terowongan Site-to-Site VPN redundan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi Site-to-Site VPN menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi Site-to-Site VPN kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua.

Templat

Template tersedia di GitHub: Praktik Terbaik Operasional untuk NIST CSF.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Praktik Terbaik Operasional untuk NIST 1800 25

Praktik Terbaik Operasional untuk Kerangka Privasi NIST v1.0