Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik Terbaik Operasional untuk NIST 800 181
Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.
Berikut ini menyediakan contoh pemetaan antara aturan NIST 800 181 dan AWS Config terkelola. Setiap aturan Config berlaku untuk AWS sumber daya tertentu, dan berhubungan dengan satu atau beberapa kontrol NIST 800 181. Kontrol NIST 800 181 dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.
| ID Kontrol | Deskripsi Kontrol | AWS Aturan Config | Bimbingan |
|---|---|---|---|
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Aktifkan aturan ini untuk memastikan bahwa kapasitas throughput yang disediakan diperiksa di tabel Amazon DynamoDB Anda. Ini adalah jumlah aktivitas baca/tulis yang dapat didukung oleh setiap tabel. DynamoDB menggunakan informasi ini untuk mencadangkan sumber daya sistem yang memadai guna memenuhi persyaratan throughput Anda. Aturan ini menghasilkan peringatan ketika throughput mendekati batas maksimum untuk akun pelanggan. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter AccountRCU (ThresholdPercentage Config Default: 80) dan AccountWCU (ThresholdPercentage Config Default: 80). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instans siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda. | |
| T0008 | Menganalisis dan merencanakan perubahan yang diantisipasi dalam persyaratan kapasitas data. | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Elastic Compute Cloud (Amazon EC2) Anda merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk metode API, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan bahwa titik pemulihan AWS Backup Anda memiliki kebijakan berbasis sumber daya terlampir yang mencegah penghapusan titik pemulihan. Menggunakan kebijakan berbasis sumber daya untuk mencegah penghapusan titik pemulihan dapat membantu mencegah penghapusan yang tidak disengaja atau disengaja. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus, atau memalsukan CloudTrail file log tanpa deteksi. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Elastic Compute Cloud (Amazon EC2) Anda merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan (CMK) yang diperlukan tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci (AWS KMS). Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain Amazon Elasticsearch Service (Amazon ES) Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instans siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk titik SageMaker akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker notebook Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Terowongan VPN Site-to-Site yang berlebihan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi VPN Site-to-Site menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi VPN Site-to-Site kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| T0017 | Menerapkan prinsip-prinsip arsitektur keamanan berorientasi layanan untuk memenuhi persyaratan kerahasiaan, integritas, dan ketersediaan organisasi. | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| T0024 | Mengumpulkan dan memelihara data yang diperlukan untuk memenuhi pelaporan keamanan siber sistem. | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. | |
| T0042 | Berkoordinasi dengan Analis Pertahanan Siber untuk mengelola dan mengelola pembaruan aturan dan tanda tangan (misalnya, sistem deteksi/perlindungan intrusi, antivirus, dan daftar hitam konten) untuk aplikasi pertahanan cyber khusus. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0047 | Korelasikan data insiden untuk mengidentifikasi kerentanan tertentu dan membuat rekomendasi yang memungkinkan remediasi cepat. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Pastikan bahwa titik pemulihan AWS Backup Anda memiliki kebijakan berbasis sumber daya terlampir yang mencegah penghapusan titik pemulihan. Menggunakan kebijakan berbasis sumber daya untuk mencegah penghapusan titik pemulihan dapat membantu mencegah penghapusan yang tidak disengaja atau disengaja. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Aktifkan aturan ini untuk memastikan bahwa kapasitas throughput yang disediakan diperiksa di tabel Amazon DynamoDB Anda. Ini adalah jumlah aktivitas baca/tulis yang dapat didukung oleh setiap tabel. DynamoDB menggunakan informasi ini untuk mencadangkan sumber daya sistem yang memadai guna memenuhi persyaratan throughput Anda. Aturan ini menghasilkan peringatan ketika throughput mendekati batas maksimum untuk akun pelanggan. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter AccountRCU (ThresholdPercentage Config Default: 80) dan AccountWCU (ThresholdPercentage Config Default: 80). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instans siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Terowongan VPN Site-to-Site yang berlebihan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi VPN Site-to-Site menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi VPN Site-to-Site kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda. | |
| T0051 | Tentukan tingkat ketersediaan sistem yang sesuai berdasarkan fungsi sistem kritis dan pastikan bahwa persyaratan sistem mengidentifikasi pemulihan bencana yang tepat dan kelangsungan persyaratan operasi untuk memasukkan persyaratan lokasi kegagalan/alternatif yang sesuai, persyaratan cadangan, dan persyaratan dukungan material untuk pemulihan/pemulihan sistem. | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Elastic Compute Cloud (Amazon EC2) Anda merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Pastikan bahwa titik pemulihan AWS Backup Anda memiliki kebijakan berbasis sumber daya terlampir yang mencegah penghapusan titik pemulihan. Menggunakan kebijakan berbasis sumber daya untuk mencegah penghapusan titik pemulihan dapat membantu mencegah penghapusan yang tidak disengaja atau disengaja. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Elastic Compute Cloud (Amazon EC2) Anda merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instans siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Terowongan VPN Site-to-Site yang berlebihan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi VPN Site-to-Site menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi VPN Site-to-Site kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| T0065 | Mengembangkan dan menerapkan prosedur pencadangan dan pemulihan jaringan. | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Pastikan bahwa titik pemulihan AWS Backup Anda memiliki kebijakan berbasis sumber daya terlampir yang mencegah penghapusan titik pemulihan. Menggunakan kebijakan berbasis sumber daya untuk mencegah penghapusan titik pemulihan dapat membantu mencegah penghapusan yang tidak disengaja atau disengaja. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Elastic Compute Cloud (Amazon EC2) Anda merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instans siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. | |
| T0070 | Mengembangkan rencana Pemulihan Bencana dan Kontinuitas Operasi untuk sistem yang sedang dikembangkan dan memastikan pengujian sebelum sistem memasuki lingkungan produksi. | Terowongan VPN Site-to-Site yang berlebihan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi VPN Site-to-Site menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi VPN Site-to-Site kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| T0086 | Memastikan bahwa penerapan patch keamanan untuk produk komersial yang diintegrasikan ke dalam desain sistem memenuhi jadwal yang ditentukan oleh otoritas manajemen untuk lingkungan operasional yang dimaksud. | Aktifkan upgrade versi minor otomatis pada instans Amazon Relational Database Service (RDS) Amazon Relational Database Service (RDS) untuk memastikan pembaruan versi minor terbaru ke Relational Database Management System (RDBMS) diinstal, yang mungkin mencakup patch keamanan dan perbaikan bug. | |
| T0086 | Memastikan bahwa penerapan patch keamanan untuk produk komersial yang diintegrasikan ke dalam desain sistem memenuhi jadwal yang ditentukan oleh otoritas manajemen untuk lingkungan operasional yang dimaksud. | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| T0086 | Memastikan bahwa penerapan patch keamanan untuk produk komersial yang diintegrasikan ke dalam desain sistem memenuhi jadwal yang ditentukan oleh otoritas manajemen untuk lingkungan operasional yang dimaksud. | Mengaktifkan pembaruan platform terkelola untuk lingkungan Amazon Elastic Beanstalk memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah praktik terbaik dalam mengamankan sistem. | |
| T0086 | Memastikan bahwa penerapan patch keamanan untuk produk komersial yang diintegrasikan ke dalam desain sistem memenuhi jadwal yang ditentukan oleh otoritas manajemen untuk lingkungan operasional yang dimaksud. | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0110 | Mengidentifikasi dan/atau menentukan apakah insiden keamanan merupakan indikasi pelanggaran hukum yang memerlukan tindakan hukum tertentu. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| T0110 | Mengidentifikasi dan/atau menentukan apakah insiden keamanan merupakan indikasi pelanggaran hukum yang memerlukan tindakan hukum tertentu. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| T0110 | Mengidentifikasi dan/atau menentukan apakah insiden keamanan merupakan indikasi pelanggaran hukum yang memerlukan tindakan hukum tertentu. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0128 | Mengintegrasikan kemampuan otomatis untuk memperbarui atau menambal perangkat lunak sistem di mana praktis dan mengembangkan proses dan prosedur untuk memperbarui manual dan menambal perangkat lunak sistem berdasarkan persyaratan garis waktu patch saat ini dan yang diproyeksikan untuk lingkungan operasional sistem. | Aktifkan upgrade versi minor otomatis pada instans Amazon Relational Database Service (RDS) Amazon Relational Database Service (RDS) untuk memastikan pembaruan versi minor terbaru ke Relational Database Management System (RDBMS) diinstal, yang mungkin mencakup patch keamanan dan perbaikan bug. | |
| T0128 | Mengintegrasikan kemampuan otomatis untuk memperbarui atau menambal perangkat lunak sistem di mana praktis dan mengembangkan proses dan prosedur untuk memperbarui manual dan menambal perangkat lunak sistem berdasarkan persyaratan garis waktu patch saat ini dan yang diproyeksikan untuk lingkungan operasional sistem. | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| T0128 | Mengintegrasikan kemampuan otomatis untuk memperbarui atau menambal perangkat lunak sistem di mana praktis dan mengembangkan proses dan prosedur untuk memperbarui manual dan menambal perangkat lunak sistem berdasarkan persyaratan garis waktu patch saat ini dan yang diproyeksikan untuk lingkungan operasional sistem. | Mengaktifkan pembaruan platform terkelola untuk lingkungan Amazon Elastic Beanstalk memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah praktik terbaik dalam mengamankan sistem. | |
| T0128 | Mengintegrasikan kemampuan otomatis untuk memperbarui atau menambal perangkat lunak sistem di mana praktis dan mengembangkan proses dan prosedur untuk memperbarui manual dan menambal perangkat lunak sistem berdasarkan persyaratan garis waktu patch saat ini dan yang diproyeksikan untuk lingkungan operasional sistem. | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Profil instans EC2 meneruskan peran IAM ke instans EC2. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Pastikan Tindakan IAM dibatasi hanya pada tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melewati VPC Amazon Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan log aliran VPC untuk memantau lalu lintas jaringan. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kredensi diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci akses IAM diputar sebagaimana ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke AWS Cloud dengan memastikan Domain Amazon Elasticsearch Service (Amazon ES) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain Amazon ES dalam VPC Amazon memungkinkan komunikasi yang aman antara Amazon ES dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Aturan ini memastikan AWS rahasia Secrets Manager telah diaktifkan rotasi. Memutar rahasia pada jadwal reguler dapat mempersingkat periode rahasia aktif, dan berpotensi mengurangi dampak bisnis jika rahasia itu dikompromikan. | |
| T0144 | Kelola akun, hak jaringan, dan akses ke sistem dan peralatan. | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| T0151 | Memantau dan mengevaluasi efektivitas perlindungan keamanan siber perusahaan untuk memastikan bahwa mereka memberikan tingkat perlindungan yang diinginkan. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| T0151 | Memantau dan mengevaluasi efektivitas perlindungan keamanan siber perusahaan untuk memastikan bahwa mereka memberikan tingkat perlindungan yang diinginkan. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| T0151 | Memantau dan mengevaluasi efektivitas perlindungan keamanan siber perusahaan untuk memastikan bahwa mereka memberikan tingkat perlindungan yang diinginkan. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Aktifkan aturan ini untuk memastikan bahwa kapasitas throughput yang disediakan diperiksa di tabel Amazon DynamoDB Anda. Ini adalah jumlah aktivitas baca/tulis yang dapat didukung oleh setiap tabel. DynamoDB menggunakan informasi ini untuk mencadangkan sumber daya sistem yang memadai guna memenuhi persyaratan throughput Anda. Aturan ini menghasilkan peringatan ketika throughput mendekati batas maksimum untuk akun pelanggan. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter AccountRCU (ThresholdPercentage Config Default: 80) dan AccountWCU (ThresholdPercentage Config Default: 80). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Aktifkan upgrade versi minor otomatis pada instans Amazon Relational Database Service (RDS) Amazon Relational Database Service (RDS) untuk memastikan pembaruan versi minor terbaru ke Relational Database Management System (RDBMS) diinstal, yang mungkin mencakup patch keamanan dan perbaikan bug. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Aktifkan Amazon Relational Database Service (Amazon RDS) untuk membantu memantau ketersediaan Amazon RDS. Ini memberikan visibilitas terperinci ke dalam kesehatan instans database Amazon RDS Anda. Saat penyimpanan Amazon RDS menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans database Amazon RDS berjalan dalam penerapan multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instans siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melewati VPC Amazon Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan log aliran VPC untuk memantau lalu lintas jaringan. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0152 | Memantau dan memelihara database untuk memastikan kinerja yang optimal. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0153 | Memantau kapasitas dan kinerja jaringan. | Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan instans Amazon EC2 dalam grup auto-scaling. Jika instans tidak melaporkan kembali, lalu lintas dikirim ke instans Amazon EC2 baru. | |
| T0153 | Memantau kapasitas dan kinerja jaringan. | Aktifkan aturan ini untuk memastikan bahwa kapasitas throughput yang disediakan diperiksa di tabel Amazon DynamoDB Anda. Ini adalah jumlah aktivitas baca/tulis yang dapat didukung oleh setiap tabel. DynamoDB menggunakan informasi ini untuk mencadangkan sumber daya sistem yang memadai guna memenuhi persyaratan throughput Anda. Aturan ini menghasilkan peringatan ketika throughput mendekati batas maksimum untuk akun pelanggan. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter AccountRCU (ThresholdPercentage Config Default: 80) dan AccountWCU (ThresholdPercentage Config Default: 80). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0153 | Memantau kapasitas dan kinerja jaringan. | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| T0153 | Memantau kapasitas dan kinerja jaringan. | Terowongan VPN Site-to-Site yang berlebihan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi VPN Site-to-Site menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi VPN Site-to-Site kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Aturan ini memastikan bahwa batas tinggi dan rendah konkurensi fungsi Lambda ditetapkan. Ini dapat membantu dalam mendasarkan jumlah permintaan yang dilayani oleh fungsi Anda pada waktu tertentu. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Aktifkan aturan ini untuk membantu memberi tahu personel yang sesuai melalui Amazon Simple Queue Service (Amazon SQS) atau Amazon Simple Notification Service (Amazon SNS) saat fungsi gagal. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Aktifkan Amazon Relational Database Service (Amazon RDS) untuk membantu memantau ketersediaan Amazon RDS. Ini memberikan visibilitas terperinci ke dalam kesehatan instans database Amazon RDS Anda. Saat penyimpanan Amazon RDS menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans database Amazon RDS berjalan dalam penerapan multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan instans Amazon EC2 dalam grup auto-scaling. Jika instans tidak melaporkan kembali, lalu lintas dikirim ke instans Amazon EC2 baru. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | AWS Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi. Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Aktifkan aturan ini untuk memastikan bahwa kapasitas throughput yang disediakan diperiksa di tabel Amazon DynamoDB Anda. Ini adalah jumlah aktivitas baca/tulis yang dapat didukung oleh setiap tabel. DynamoDB menggunakan informasi ini untuk mencadangkan sumber daya sistem yang memadai guna memenuhi persyaratan throughput Anda. Aturan ini menghasilkan peringatan ketika throughput mendekati batas maksimum untuk akun pelanggan. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter AccountRCU (ThresholdPercentage Config Default: 80) dan AccountWCU (ThresholdPercentage Config Default: 80). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (Amazon EC2) di konsol Amazon EC2, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| T0154 | Memantau dan melaporkan penggunaan aset dan sumber daya manajemen pengetahuan. | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| T0156 | Mengawasi dan membuat rekomendasi mengenai manajemen konfigurasi. | Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif. | |
| T0156 | Mengawasi dan membuat rekomendasi mengenai manajemen konfigurasi. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| T0156 | Mengawasi dan membuat rekomendasi mengenai manajemen konfigurasi. | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| T0156 | Mengawasi dan membuat rekomendasi mengenai manajemen konfigurasi. | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| T0156 | Mengawasi dan membuat rekomendasi mengenai manajemen konfigurasi. | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0156 | Mengawasi dan membuat rekomendasi mengenai manajemen konfigurasi. | Mengaktifkan pembaruan platform terkelola untuk lingkungan Amazon Elastic Beanstalk memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah praktik terbaik dalam mengamankan sistem. | |
| T0156 | Mengawasi dan membuat rekomendasi mengenai manajemen konfigurasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0156 | Mengawasi dan membuat rekomendasi mengenai manajemen konfigurasi. | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| T0156 | Mengawasi dan membuat rekomendasi mengenai manajemen konfigurasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| T0160 | Patch kerentanan jaringan untuk memastikan bahwa informasi dilindungi terhadap pihak luar. | Aktifkan upgrade versi minor otomatis pada instans Amazon Relational Database Service (RDS) Amazon Relational Database Service (RDS) untuk memastikan pembaruan versi minor terbaru ke Relational Database Management System (RDBMS) diinstal, yang mungkin mencakup patch keamanan dan perbaikan bug. | |
| T0160 | Patch kerentanan jaringan untuk memastikan bahwa informasi dilindungi terhadap pihak luar. | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| T0160 | Patch kerentanan jaringan untuk memastikan bahwa informasi dilindungi terhadap pihak luar. | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDaysConfig default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Pastikan bahwa titik pemulihan AWS Backup Anda memiliki kebijakan berbasis sumber daya terlampir yang mencegah penghapusan titik pemulihan. Menggunakan kebijakan berbasis sumber daya untuk mencegah penghapusan titik pemulihan dapat membantu mencegah penghapusan yang tidak disengaja atau disengaja. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Untuk membantu proses pencadangan data, pastikan sumber daya Amazon Elastic Compute Cloud (Amazon EC2) Anda merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| T0162 | Lakukan pencadangan dan pemulihan database untuk memastikan integritas data. | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| T0166 | Lakukan korelasi peristiwa menggunakan informasi yang dikumpulkan dari berbagai sumber dalam perusahaan untuk mendapatkan kesadaran situasional dan menentukan efektivitas serangan yang diamati. | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| T0168 | Lakukan perbandingan hash terhadap database yang sudah mapan. | Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus, atau memalsukan CloudTrail file log tanpa deteksi. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melewati VPC Amazon Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan log aliran VPC untuk memantau lalu lintas jaringan. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke AWS Cloud dengan memastikan Domain Amazon Elasticsearch Service (Amazon ES) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain Amazon ES dalam VPC Amazon memungkinkan komunikasi yang aman antara Amazon ES dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| T0195 | Menyediakan aliran informasi yang relevan yang dikelola (melalui portal berbasis web atau cara lain) berdasarkan persyaratan misi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| T0215 | Kenali kemungkinan pelanggaran keamanan dan ambil tindakan yang tepat untuk melaporkan insiden tersebut, sebagaimana diperlukan. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0244 | Verifikasi bahwa perangkat lunak/jaringan/postur keamanan sistem aplikasi diimplementasikan sebagaimana dinyatakan, penyimpangan dokumen, dan merekomendasikan tindakan yang diperlukan untuk memperbaiki penyimpangan tersebut. | Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus, atau memalsukan CloudTrail file log tanpa deteksi. | |
| T0244 | Verifikasi bahwa perangkat lunak/jaringan/postur keamanan sistem aplikasi diimplementasikan sebagaimana dinyatakan, penyimpangan dokumen, dan merekomendasikan tindakan yang diperlukan untuk memperbaiki penyimpangan tersebut. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| T0244 | Verifikasi bahwa perangkat lunak/jaringan/postur keamanan sistem aplikasi diimplementasikan sebagaimana dinyatakan, penyimpangan dokumen, dan merekomendasikan tindakan yang diperlukan untuk memperbaiki penyimpangan tersebut. | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| T0258 | Memberikan deteksi, identifikasi, dan peringatan tepat waktu kemungkinan serangan/intrusi, aktivitas anomali, dan aktivitas penyalahgunaan dan membedakan insiden dan peristiwa ini dari aktivitas jinak. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0259 | Gunakan alat pertahanan cyber untuk pemantauan terus-menerus dan analisis aktivitas sistem untuk mengidentifikasi aktivitas berbahaya. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melewati VPC Amazon Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan log aliran VPC untuk memantau lalu lintas jaringan. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke AWS Cloud dengan memastikan Domain Amazon Elasticsearch Service (Amazon ES) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain Amazon ES dalam VPC Amazon memungkinkan komunikasi yang aman antara Amazon ES dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| T0262 | Gunakan defense-in-depth prinsip dan praktik yang disetujui (misalnya, defense-in-multiple tempat, pertahanan berlapis, ketahanan keamanan). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Manajemen terpusat Akun AWS dalam AWS Organizations membantu memastikan bahwa akun sesuai. Kurangnya tata kelola akun terpusat dapat menyebabkan konfigurasi akun yang tidak konsisten, yang dapat mengekspos sumber daya dan data sensitif. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Profil instans EC2 meneruskan peran IAM ke instans EC2. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Aktifkan upgrade versi minor otomatis pada instans Amazon Relational Database Service (RDS) Amazon Relational Database Service (RDS) untuk memastikan pembaruan versi minor terbaru ke Relational Database Management System (RDBMS) diinstal, yang mungkin mencakup patch keamanan dan perbaikan bug. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melewati VPC Amazon Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan log aliran VPC untuk memantau lalu lintas jaringan. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Pastikan bahwa titik pemulihan AWS Backup Anda memiliki kebijakan berbasis sumber daya terlampir yang mencegah penghapusan titik pemulihan. Menggunakan kebijakan berbasis sumber daya untuk mencegah penghapusan titik pemulihan dapat membantu mencegah penghapusan yang tidak disengaja atau disengaja. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus, atau memalsukan CloudTrail file log tanpa deteksi. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Pastikan kredensyal otentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak ada dalam lingkungan proyek Codebuild. AWS Jangan menyimpan variabel ini dalam teks yang jelas. Menyimpan variabel-variabel ini dalam teks yang jelas menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Pastikan URL repositori sumber GitHub atau Bitbucket tidak berisi token akses pribadi, kredenal masuk dalam lingkungan proyek Codebuild. AWS Gunakan OAuth alih-alih token akses pribadi atau kredensyal masuk untuk memberikan otorisasi untuk mengakses atau repositori Bitbucket. GitHub | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke AWS Cloud dengan memastikan Domain Amazon Elasticsearch Service (Amazon ES) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain Amazon ES dalam VPC Amazon memungkinkan komunikasi yang aman antara Amazon ES dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini mengharuskan Anda untuk mengatur allowVersionUpgrade. Bawaannya adalah benar. Ini juga memungkinkan Anda secara opsional mengatur preferredMaintenanceWindow (defaultnya adalah sat: 16:00 -sat: 16:30), dan automatedSnapshotRetention Periode (defaultnya adalah 1). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| T0284 | Merancang dan mengembangkan alat/teknologi baru yang terkait dengan keamanan siber. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| T0306 | Mendukung manajemen insiden, manajemen tingkat layanan, manajemen perubahan, manajemen rilis, manajemen kontinuitas, dan manajemen ketersediaan untuk database dan sistem manajemen data. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| T0306 | Mendukung manajemen insiden, manajemen tingkat layanan, manajemen perubahan, manajemen rilis, manajemen kontinuitas, dan manajemen ketersediaan untuk database dan sistem manajemen data. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| T0306 | Mendukung manajemen insiden, manajemen tingkat layanan, manajemen perubahan, manajemen rilis, manajemen kontinuitas, dan manajemen ketersediaan untuk database dan sistem manajemen data. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0314 | Mengembangkan konteks keamanan sistem, Konsep Operasi keamanan sistem awal (CONOPS), dan tentukan persyaratan keamanan sistem dasar sesuai dengan persyaratan keamanan siber yang berlaku. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| T0314 | Mengembangkan konteks keamanan sistem, Konsep Operasi keamanan sistem awal (CONOPS), dan tentukan persyaratan keamanan sistem dasar sesuai dengan persyaratan keamanan siber yang berlaku. | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| T0314 | Mengembangkan konteks keamanan sistem, Konsep Operasi keamanan sistem awal (CONOPS), dan tentukan persyaratan keamanan sistem dasar sesuai dengan persyaratan keamanan siber yang berlaku. | Aktifkan aturan ini untuk membantu konfigurasi dasar instans Amazon Elastic Compute Cloud (Amazon EC2) dengan memeriksa apakah instans Amazon EC2 telah dihentikan selama lebih dari jumlah hari yang diizinkan, sesuai dengan standar organisasi Anda. | |
| T0314 | Mengembangkan konteks keamanan sistem, Konsep Operasi keamanan sistem awal (CONOPS), dan tentukan persyaratan keamanan sistem dasar sesuai dengan persyaratan keamanan siber yang berlaku. | Aturan ini memastikan bahwa volume Amazon Elastic Block Store yang dilampirkan ke instans Amazon Elastic Compute Cloud (Amazon EC2) ditandai untuk dihapus saat instance dihentikan. Jika volume Amazon EBS tidak dihapus ketika instance yang dilampirkan dihentikan, itu mungkin melanggar konsep fungsionalitas terkecil. | |
| T0314 | Mengembangkan konteks keamanan sistem, Konsep Operasi keamanan sistem awal (CONOPS), dan tentukan persyaratan keamanan sistem dasar sesuai dengan persyaratan keamanan siber yang berlaku. | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| T0314 | Mengembangkan konteks keamanan sistem, Konsep Operasi keamanan sistem awal (CONOPS), dan tentukan persyaratan keamanan sistem dasar sesuai dengan persyaratan keamanan siber yang berlaku. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0333 | Lakukan analisis dan pelaporan tren pertahanan dunia maya. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| T0333 | Lakukan analisis dan pelaporan tren pertahanan dunia maya. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0347 | Menilai validitas data sumber dan temuan selanjutnya. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0358 | Merancang dan mengembangkan administrasi sistem dan fungsionalitas manajemen untuk pengguna akses istimewa. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| T0358 | Merancang dan mengembangkan administrasi sistem dan fungsionalitas manajemen untuk pengguna akses istimewa. | Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0358 | Merancang dan mengembangkan administrasi sistem dan fungsionalitas manajemen untuk pengguna akses istimewa. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| T0358 | Merancang dan mengembangkan administrasi sistem dan fungsionalitas manajemen untuk pengguna akses istimewa. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| T0358 | Merancang dan mengembangkan administrasi sistem dan fungsionalitas manajemen untuk pengguna akses istimewa. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0358 | Merancang dan mengembangkan administrasi sistem dan fungsionalitas manajemen untuk pengguna akses istimewa. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0358 | Merancang dan mengembangkan administrasi sistem dan fungsionalitas manajemen untuk pengguna akses istimewa. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| T0358 | Merancang dan mengembangkan administrasi sistem dan fungsionalitas manajemen untuk pengguna akses istimewa. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Profil instans EC2 meneruskan peran IAM ke instans EC2. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| T0376 | Menetapkan, sumber daya, mengimplementasikan, dan menilai program manajemen tenaga kerja cyber sesuai dengan persyaratan organisasi. | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| T0416 | Aktifkan aplikasi dengan kunci publik dengan memanfaatkan pustaka infrastruktur kunci publik (PKI) yang ada dan menggabungkan fungsi manajemen sertifikat dan enkripsi bila diperlukan. | Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0416 | Aktifkan aplikasi dengan kunci publik dengan memanfaatkan pustaka infrastruktur kunci publik (PKI) yang ada dan menggabungkan fungsi manajemen sertifikat dan enkripsi bila diperlukan. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0416 | Aktifkan aplikasi dengan kunci publik dengan memanfaatkan pustaka infrastruktur kunci publik (PKI) yang ada dan menggabungkan fungsi manajemen sertifikat dan enkripsi bila diperlukan. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0416 | Aktifkan aplikasi dengan kunci publik dengan memanfaatkan pustaka infrastruktur kunci publik (PKI) yang ada dan menggabungkan fungsi manajemen sertifikat dan enkripsi bila diperlukan. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| T0416 | Aktifkan aplikasi dengan kunci publik dengan memanfaatkan pustaka infrastruktur kunci publik (PKI) yang ada dan menggabungkan fungsi manajemen sertifikat dan enkripsi bila diperlukan. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| T0416 | Aktifkan aplikasi dengan kunci publik dengan memanfaatkan pustaka infrastruktur kunci publik (PKI) yang ada dan menggabungkan fungsi manajemen sertifikat dan enkripsi bila diperlukan. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0416 | Aktifkan aplikasi dengan kunci publik dengan memanfaatkan pustaka infrastruktur kunci publik (PKI) yang ada dan menggabungkan fungsi manajemen sertifikat dan enkripsi bila diperlukan. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0416 | Aktifkan aplikasi dengan kunci publik dengan memanfaatkan pustaka infrastruktur kunci publik (PKI) yang ada dan menggabungkan fungsi manajemen sertifikat dan enkripsi bila diperlukan. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0416 | Aktifkan aplikasi dengan kunci publik dengan memanfaatkan pustaka infrastruktur kunci publik (PKI) yang ada dan menggabungkan fungsi manajemen sertifikat dan enkripsi bila diperlukan. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0416 | Aktifkan aplikasi dengan kunci publik dengan memanfaatkan pustaka infrastruktur kunci publik (PKI) yang ada dan menggabungkan fungsi manajemen sertifikat dan enkripsi bila diperlukan. | Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| T0421 | Mengelola pengindeks/katalog, penyimpanan, dan akses pengetahuan organisasi eksplisit (misalnya, dokumen hard copy, file digital). | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Profil instans EC2 meneruskan peran IAM ke instans EC2. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke AWS Cloud dengan memastikan Domain Amazon Elasticsearch Service (Amazon ES) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain Amazon ES dalam VPC Amazon memungkinkan komunikasi yang aman antara Amazon ES dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| T0475 | Menilai kontrol akses yang memadai berdasarkan prinsip-prinsip hak istimewa yang paling rendah dan need-to-know. | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| T0489 | Menerapkan langkah-langkah keamanan sistem sesuai dengan prosedur yang ditetapkan untuk memastikan kerahasiaan, integritas, ketersediaan, otentikasi, dan non-penolakan. | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| T0491 | Instal dan konfigurasi perangkat keras, perangkat lunak, dan peralatan periferal untuk pengguna sistem sesuai dengan standar organisasi. | Inventarisasi platform perangkat lunak dan aplikasi dalam organisasi dimungkinkan dengan mengelola instans Amazon Elastic Compute Cloud (Amazon EC2) dengan Systems Manager. AWS Gunakan AWS Systems Manager untuk menyediakan konfigurasi sistem terperinci, tingkat patch sistem operasi, nama dan jenis layanan, instalasi perangkat lunak, nama aplikasi, penerbit dan versi, dan detail lainnya tentang lingkungan Anda. | |
| T0491 | Instal dan konfigurasi perangkat keras, perangkat lunak, dan peralatan periferal untuk pengguna sistem sesuai dengan standar organisasi. | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| T0491 | Instal dan konfigurasi perangkat keras, perangkat lunak, dan peralatan periferal untuk pengguna sistem sesuai dengan standar organisasi. | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| T0503 | Pantau sumber data eksternal (misalnya, situs vendor pertahanan dunia maya, Tim Tanggap Darurat Komputer, Fokus Keamanan) untuk mempertahankan mata uang kondisi ancaman pertahanan dunia maya dan menentukan masalah keamanan mana yang mungkin berdampak pada perusahaan. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0509 | Lakukan penilaian risiko keamanan informasi. | annual-risk-assessment-performed (pemeriksaan proses) | Lakukan penilaian risiko tahunan pada organisasi Anda. Penilaian risiko dapat membantu dalam menentukan kemungkinan dan dampak dari risiko dan/atau kerentanan yang diidentifikasi yang mempengaruhi suatu organisasi. |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Pastikan node-to-node enkripsi untuk Amazon Elasticsearch Service diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain Amazon Elasticsearch Service (Amazon ES) Anda. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Pastikan node-to-node enkripsi untuk Amazon Elasticsearch Service diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker notebook Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk metode API, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain Amazon Elasticsearch Service (Amazon ES) Anda. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| T0553 | Menerapkan fungsi keamanan siber (misalnya, enkripsi, kontrol akses, dan manajemen identitas) untuk mengurangi peluang eksploitasi. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk titik SageMaker akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| T0557 | Integrasikan fungsi manajemen kunci yang terkait dengan dunia maya. | Aktifkan rotasi kunci untuk memastikan bahwa kunci diputar setelah mencapai akhir periode crypto mereka. | |
| T0557 | Integrasikan fungsi manajemen kunci yang terkait dengan dunia maya. | Untuk membantu melindungi data saat istirahat, pastikan kunci master pelanggan (CMK) yang diperlukan tidak dijadwalkan untuk dihapus di Layanan Manajemen AWS Kunci (AWS KMS). Karena penghapusan kunci diperlukan pada waktu tertentu, aturan ini dapat membantu dalam memeriksa semua kunci yang dijadwalkan untuk dihapus, jika kunci dijadwalkan secara tidak sengaja. | |
| T0576 | Menilai semua sumber intelijen dan merekomendasikan target untuk mendukung tujuan operasi cyber. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke AWS Cloud dengan memastikan Domain Amazon Elasticsearch Service (Amazon ES) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain Amazon ES dalam VPC Amazon memungkinkan komunikasi yang aman antara Amazon ES dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses secara publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melewati VPC Amazon Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan log aliran VPC untuk memantau lalu lintas jaringan. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke AWS Cloud dengan memastikan Domain Amazon Elasticsearch Service (Amazon ES) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain Amazon ES dalam VPC Amazon memungkinkan komunikasi yang aman antara Amazon ES dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik di tingkat bucket. | |
| T0609 | Melakukan akses yang memungkinkan komputer nirkabel dan jaringan digital. | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| T0616 | Melakukan pengintaian jaringan dan analisis kerentanan sistem dalam jaringan. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0686 | Identifikasi kerentanan ancaman. | Aktifkan aturan ini untuk membantu identifikasi dan dokumentasi kerentanan Amazon Elastic Compute Cloud (Amazon EC2). Aturan memeriksa apakah instans Amazon EC2 menambal kepatuhan di AWS Systems Manager sebagaimana diwajibkan oleh kebijakan dan prosedur organisasi Anda. | |
| T0686 | Identifikasi kerentanan ancaman. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Pastikan domain layanan Amazon Elasticsearch mengaktifkan log kesalahan dan dialirkan ke Log CloudWatch Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Aturan ini memastikan bahwa batas tinggi dan rendah konkurensi fungsi Lambda ditetapkan. Ini dapat membantu dalam mendasarkan jumlah permintaan yang dilayani oleh fungsi Anda pada waktu tertentu. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Aktifkan aturan ini untuk membantu memberi tahu personel yang sesuai melalui Amazon Simple Queue Service (Amazon SQS) atau Amazon Simple Notification Service (Amazon SNS) saat fungsi gagal. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Aktifkan Amazon Relational Database Service (Amazon RDS) untuk membantu memantau ketersediaan Amazon RDS. Ini memberikan visibilitas terperinci ke dalam kesehatan instans database Amazon RDS Anda. Saat penyimpanan Amazon RDS menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans database Amazon RDS berjalan dalam penerapan multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan instans Amazon EC2 dalam grup auto-scaling. Jika instans tidak melaporkan kembali, lalu lintas dikirim ke instans Amazon EC2 baru. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | AWS Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi. Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi AWS akun yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Aktifkan aturan ini untuk memastikan bahwa kapasitas throughput yang disediakan diperiksa di tabel Amazon DynamoDB Anda. Ini adalah jumlah aktivitas baca/tulis yang dapat didukung oleh setiap tabel. DynamoDB menggunakan informasi ini untuk mencadangkan sumber daya sistem yang memadai guna memenuhi persyaratan throughput Anda. Aturan ini menghasilkan peringatan ketika throughput mendekati batas maksimum untuk akun pelanggan. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter AccountRCU (ThresholdPercentage Config Default: 80) dan AccountWCU (ThresholdPercentage Config Default: 80). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (Amazon EC2) di konsol Amazon EC2, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| T0706 | Kumpulkan informasi tentang jaringan melalui teknik tradisional dan alternatif, (misalnya, analisis jejaring sosial, rantai panggilan, analisis lalu lintas.) | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| T0777 | Profil jaringan atau administrator sistem dan aktivitas mereka. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0805 | Laporkan peristiwa dan intrusi jaringan signifikan yang diturunkan dari intelijen. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| T0877 | Bekerja secara kooperatif dengan unit organisasi yang berlaku dalam mengawasi hak akses informasi konsumen | Profil instans EC2 meneruskan peran IAM ke instans EC2. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit. | |
| T0877 | Bekerja secara kooperatif dengan unit organisasi yang berlaku dalam mengawasi hak akses informasi konsumen | Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan. | |
| T0877 | Bekerja secara kooperatif dengan unit organisasi yang berlaku dalam mengawasi hak akses informasi konsumen | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| T0877 | Bekerja secara kooperatif dengan unit organisasi yang berlaku dalam mengawasi hak akses informasi konsumen | Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0877 | Bekerja secara kooperatif dengan unit organisasi yang berlaku dalam mengawasi hak akses informasi konsumen | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| T0877 | Bekerja secara kooperatif dengan unit organisasi yang berlaku dalam mengawasi hak akses informasi konsumen | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| T0877 | Bekerja secara kooperatif dengan unit organisasi yang berlaku dalam mengawasi hak akses informasi konsumen | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| T0877 | Bekerja secara kooperatif dengan unit organisasi yang berlaku dalam mengawasi hak akses informasi konsumen | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0877 | Bekerja secara kooperatif dengan unit organisasi yang berlaku dalam mengawasi hak akses informasi konsumen | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| T0877 | Bekerja secara kooperatif dengan unit organisasi yang berlaku dalam mengawasi hak akses informasi konsumen | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| T0877 | Bekerja secara kooperatif dengan unit organisasi yang berlaku dalam mengawasi hak akses informasi konsumen | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0935 | Lakukan penilaian risiko keamanan informasi. | annual-risk-assessment-performed (pemeriksaan proses) | Lakukan penilaian risiko tahunan pada organisasi Anda. Penilaian risiko dapat membantu dalam menentukan kemungkinan dan dampak dari risiko dan/atau kerentanan yang diidentifikasi yang mempengaruhi suatu organisasi. |
| T0960 | Memantau perubahan pada sistem dan lingkungan operasinya. | Aturan ini memastikan bahwa batas tinggi dan rendah konkurensi fungsi Lambda ditetapkan. Ini dapat membantu dalam mendasarkan jumlah permintaan yang dilayani oleh fungsi Anda pada waktu tertentu. | |
| T0960 | Memantau perubahan pada sistem dan lingkungan operasinya. | Aktifkan aturan ini untuk membantu memberi tahu personel yang sesuai melalui Amazon Simple Queue Service (Amazon SQS) atau Amazon Simple Notification Service (Amazon SNS) saat fungsi gagal. | |
| T0960 | Memantau perubahan pada sistem dan lingkungan operasinya. | Aktifkan Amazon Relational Database Service (Amazon RDS) untuk membantu memantau ketersediaan Amazon RDS. Ini memberikan visibilitas terperinci ke dalam kesehatan instans database Amazon RDS Anda. Saat penyimpanan Amazon RDS menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans database Amazon RDS berjalan dalam penerapan multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder. | |
| T0960 | Memantau perubahan pada sistem dan lingkungan operasinya. | Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan instans Amazon EC2 dalam grup auto-scaling. Jika instans tidak melaporkan kembali, lalu lintas dikirim ke instans Amazon EC2 baru. | |
| T0960 | Memantau perubahan pada sistem dan lingkungan operasinya. | AWS Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi. Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. | |
| T0960 | Memantau perubahan pada sistem dan lingkungan operasinya. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| T0960 | Memantau perubahan pada sistem dan lingkungan operasinya. | Aktifkan aturan ini untuk memastikan bahwa kapasitas throughput yang disediakan diperiksa di tabel Amazon DynamoDB Anda. Ini adalah jumlah aktivitas baca/tulis yang dapat didukung oleh setiap tabel. DynamoDB menggunakan informasi ini untuk mencadangkan sumber daya sistem yang memadai guna memenuhi persyaratan throughput Anda. Aturan ini menghasilkan peringatan ketika throughput mendekati batas maksimum untuk akun pelanggan. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter AccountRCU (ThresholdPercentage Config Default: 80) dan AccountWCU (ThresholdPercentage Config Default: 80). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0960 | Memantau perubahan pada sistem dan lingkungan operasinya. | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (Amazon EC2) di konsol Amazon EC2, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Profil instans EC2 meneruskan peran IAM ke instans EC2. Melampirkan profil instans ke instans Anda dapat membantu pengelolaan hak istimewa dan izin paling sedikit. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Kredensi diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci akses IAM diputar sebagaimana ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| T0992 | Tentukan bagaimana hasil pemantauan berkelanjutan akan digunakan dalam otorisasi yang sedang berlangsung. | Aturan ini memastikan AWS rahasia Secrets Manager telah diaktifkan rotasi. Memutar rahasia pada jadwal reguler dapat mempersingkat periode rahasia aktif, dan berpotensi mengurangi dampak bisnis jika rahasia itu dikompromikan. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS Memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa yang paling sedikit dan pemisahan tugas. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM, atau grup IAM tidak memiliki kebijakan inline untuk mengizinkan tindakan yang diblokir pada semua kunci Layanan Manajemen Kunci. AWS AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi, pengembalian, dan pendelegasian manajemen izin. Aturan ini memungkinkan Anda untuk mengatur blockedActionsPatterns parameter. (Nilai Praktik Terbaik Keamanan AWS Dasar: KMS: Dekripsi, kms: Dari). ReEncrypt Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | Pastikan Tindakan IAM dibatasi hanya untuk tindakan yang diperlukan. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas paling sedikit. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensil yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredenal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna. | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| T0993 | Menetapkan alat pemantauan berkelanjutan dan teknologi proses kontrol akses dan prosedur. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan tambahan untuk nama pengguna dan kata sandi. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS |
Templat
Template tersedia di GitHub: Praktik Terbaik Operasional untuk NIST 800 181
