Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik Terbaik Operasional untuk NYDFS 23
Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.
Berikut ini memberikan contoh pemetaan antara persyaratan keamanan siber Departemen Layanan Keuangan Negara Bagian New York (NYDFS) untuk perusahaan jasa keuangan (23 NYCRR 500) dan aturan Config yang dikelola. AWS Setiap AWS Config aturan berlaku untuk AWS sumber daya tertentu, dan terkait dengan satu atau lebih kontrol NYDFS AS. Kontrol NYDFS 23 NYCRR 500 AS dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.
| ID Kontrol | Deskripsi Kontrol | AWS Aturan Config | Bimbingan |
|---|---|---|---|
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk metode API, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk titik SageMaker akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker notebook Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk membantu melindungi data saat istirahat, pastikan topik Amazon Simple Notification Service (Amazon SNS) Anda memerlukan enkripsi AWS menggunakan Key Management Service AWS (KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Kinesis Streams Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Memanfaatkan validasi file AWS CloudTrail log untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Penskalaan otomatis Amazon DynamoDB menggunakan layanan Application AWS Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan kapasitas baca/tulis yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Aturan ini memastikan bahwa Elastic Load Balancing memiliki perlindungan penghapusan yang diaktifkan. Gunakan fitur ini untuk mencegah penyeimbang beban Anda terhapus secara tidak sengaja atau jahat, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Dukungan multi-AZ di Amazon Relational Database Service (Amazon RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instans database Multi-AZ, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda telah mengaktifkan kunci, secara default. Karena data sensitif dapat ada saat diam di bucket S3, terapkan kunci objek saat istirahat untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Terowongan VPN Site-to-Site yang berlebihan dapat diimplementasikan untuk mencapai persyaratan ketahanan. Ini menggunakan dua terowongan untuk membantu memastikan konektivitas jika salah satu koneksi VPN Site-to-Site menjadi tidak tersedia. Untuk melindungi dari hilangnya konektivitas, jika gateway pelanggan Anda tidak tersedia, Anda dapat mengatur koneksi VPN Site-to-Site kedua ke Amazon Virtual Private Cloud (Amazon VPC) dan gateway pribadi virtual dengan menggunakan gateway pelanggan kedua. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pemeriksaan kesehatan Elastic Load Balancer (ELB) untuk grup Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. Penyeimbang beban secara berkala mengirimkan ping, mencoba koneksi, atau mengirim permintaan untuk menguji kesehatan instans Amazon EC2 dalam grup auto-scaling. Jika instans tidak melaporkan kembali, lalu lintas dikirim ke instans Amazon EC2 baru. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Jika Anda mengonfigurasi Antarmuka Jaringan Anda dengan alamat IP publik, maka sumber daya yang terkait dengan Antarmuka Jaringan tersebut dapat dijangkau dari internet. Sumber daya EC2 tidak boleh diakses publik, karena ini memungkinkan akses yang tidak diinginkan ke aplikasi atau server Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | AWS Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi. Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci master pelanggan (CMK) AWS yang dimiliki. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (Amazon EC2) di konsol Amazon EC2, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.02 (a) | (a) Program Keamanan Siber. Setiap Entitas yang Tercakup harus memelihara program keamanan siber yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan Sistem Informasi Entitas yang Tercakup. | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk AWS CodeBuild artefak Anda. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan ekstra di atas kredensyal masuk. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredensyal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Pastikan metode Instance Metadata Service Version 2 (IMDSv2) diaktifkan untuk membantu melindungi akses dan kontrol metadata instans Amazon Elastic Compute Cloud (Amazon EC2). Metode IMDSv2 menggunakan kontrol berbasis sesi. Dengan IMDSv2, kontrol dapat diimplementasikan untuk membatasi perubahan metadata instance. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0.0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada grup keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses ke port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Aturan ini memungkinkan Anda untuk secara opsional mengatur parameter BlockedPort1 - BlockedPort5 (Config Defaults: 20,21,3389,3306,4333). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya. AWS Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya Anda AWS . | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi di Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam kelompok keamanan dari internet (0.0.0.0/0) akses jarak jauh dapat dikontrol ke sistem internal. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | AWS WAF memungkinkan Anda mengonfigurasi seperangkat aturan (disebut daftar kontrol akses web (web ACL)) yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap Amazon API Gateway Anda dikaitkan dengan WAF Web ACL untuk melindunginya dari serangan berbahaya | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| 500,02 (b) (2) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (2) menggunakan infrastruktur defensif dan penerapan kebijakan dan prosedur untuk melindungi Sistem Informasi Entitas yang Tercakup, dan Informasi Nonpublik yang disimpan di Sistem Informasi tersebut, dari akses, penggunaan, atau tindakan jahat lainnya yang tidak sah. | Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. OpenSearch Log kesalahan layanan dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Untuk menangkap informasi tentang koneksi dan aktivitas pengguna di klaster Amazon Redshift, pastikan pencatatan audit diaktifkan. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Aktifkan aturan ini untuk membantu meningkatkan pemantauan instans Amazon Elastic Compute Cloud (Amazon EC2) di konsol Amazon EC2, yang menampilkan grafik pemantauan dengan periode 1 menit untuk instans. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Gunakan Asosiasi AWS Systems Manager untuk membantu inventaris platform perangkat lunak dan aplikasi dalam suatu organisasi. AWS Systems Manager menetapkan status konfigurasi untuk instans terkelola Anda dan memungkinkan Anda untuk mengatur dasar tingkat patch sistem operasi, instalasi perangkat lunak, konfigurasi aplikasi, dan detail lainnya tentang lingkungan Anda. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Aktifkan Amazon Relational Database Service (Amazon RDS) untuk membantu memantau ketersediaan Amazon RDS. Ini memberikan visibilitas terperinci ke dalam kesehatan instans database Amazon RDS Anda. Saat penyimpanan Amazon RDS menggunakan lebih dari satu perangkat fisik yang mendasarinya, Enhanced Monitoring mengumpulkan data untuk setiap perangkat. Selain itu, saat instans database Amazon RDS berjalan dalam penerapan multi-AZ, data untuk setiap perangkat di host sekunder dikumpulkan, dan metrik host sekunder. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Pastikan pencatatan audit diaktifkan di domain OpenSearch Layanan Amazon Anda. Pencatatan audit memungkinkan Anda melacak aktivitas pengguna di OpenSearch domain Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeks OpenSearch, dan kueri penelusuran yang masuk. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Pastikan pencatatan AWS CodeBuild proyek diaktifkan sehingga log keluaran build Anda dikirim ke Amazon CloudWatch atau Amazon Simple Storage Service (Amazon S3). Log keluaran build memberikan informasi mendetail tentang proyek build Anda. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| 500,02 (b) (3) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (3) mendeteksi Peristiwa Keamanan Siber. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Fitur cadangan Amazon RDS membuat cadangan database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB untuk setiap node perubahan data, atau mana yang lebih dulu. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa point-in-time pemulihan diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan pencadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Instans yang dioptimalkan di Amazon Elastic Block Store (Amazon EBS) menyediakan tambahan, kapasitas khusus untuk operasi Amazon EBS I/O. Pengoptimalan ini memberikan kinerja paling efisien untuk volume EBS Anda dengan meminimalkan perselisihan antara operasi Amazon EBS I/O dan lalu lintas lain dari instans Anda. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) mendukung pemeliharaan kapasitas dan ketersediaan yang memadai. CRR memungkinkan penyalinan objek secara otomatis dan asinkron di seluruh bucket Amazon S3 untuk membantu memastikan ketersediaan data tetap terjaga. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari AWS paket Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) merupakan bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (Amazon RDS) Anda adalah bagian dari paket Backup. AWS AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Untuk membantu proses pencadangan data, pastikan paket AWS Backup diatur untuk frekuensi dan retensi minimum. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Aturan ini memungkinkan Anda untuk mengatur parameter requiredFrequencyValue (Config default: 1), ( requiredRetentionDays Config default: 35) dan ( requiredFrequencyUnit Config default: days). Nilai aktual harus mencerminkan persyaratan organisasi Anda. | |
| 500,02 (b) (5) | (b) Program keamanan siber harus didasarkan pada Penilaian Risiko Entitas yang Tercakup dan dirancang untuk menjalankan fungsi keamanan siber inti berikut: (5) pemulihan dari Kejadian Keamanan Siber dan memulihkan operasi dan layanan normal. | Pastikan bahwa titik pemulihan AWS Backup Anda memiliki kebijakan berbasis sumber daya terlampir yang mencegah penghapusan titik pemulihan. Menggunakan kebijakan berbasis sumber daya untuk mencegah penghapusan titik pemulihan dapat membantu mencegah penghapusan yang tidak disengaja atau disengaja. | |
| 500,05 | Program keamanan siber untuk setiap entitas yang tercakup harus mencakup pemantauan dan pengujian, yang dikembangkan sesuai dengan penilaian risiko entitas yang tercakup, yang dirancang untuk menilai efektivitas program keamanan siber entitas yang tercakup. Pemantauan dan pengujian harus mencakup pemantauan berkelanjutan atau pengujian penetrasi berkala dan penilaian kerentanan. Tidak adanya pemantauan berkelanjutan yang efektif, atau sistem lain untuk mendeteksi, secara berkelanjutan, perubahan dalam sistem informasi yang dapat menciptakan atau menunjukkan kerentanan, entitas yang tercakup harus melakukan: (a) pengujian penetrasi tahunan terhadap sistem informasi entitas yang tercakup yang ditentukan setiap tahun berdasarkan risiko yang diidentifikasi yang relevan sesuai dengan penilaian risiko; dan (b) penilaian kerentanan dua tahunan, termasuk pemindaian sistematis atau tinjauan sistem informasi yang dirancang secara wajar untuk mengidentifikasi kerentanan keamanan siber yang diketahui publik kemampuan dalam mencakup sistem informasi entitas berdasarkan penilaian risiko. | vuln-management-plan-exists (pemeriksaan proses) | Pastikan rencana manajemen kerentanan dikembangkan dan diimplementasikan untuk memiliki proses yang ditentukan secara formal untuk mengatasi kerentanan di lingkungan Anda. |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Pastikan pencatatan AWS CodeBuild proyek diaktifkan sehingga log keluaran build Anda dikirim ke Amazon CloudWatch atau Amazon Simple Storage Service (Amazon S3). Log keluaran build memberikan informasi mendetail tentang proyek build Anda. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Untuk menangkap informasi tentang koneksi dan aktivitas pengguna di klaster Amazon Redshift, pastikan pencatatan audit diaktifkan. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Pastikan pencatatan audit diaktifkan di domain OpenSearch Layanan Amazon Anda. Pencatatan audit memungkinkan Anda melacak aktivitas pengguna di OpenSearch domain Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeks OpenSearch, dan kueri penelusuran yang masuk. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 500,06 (b) | (b) Setiap Entitas yang Tercakup harus menyimpan catatan yang disyaratkan oleh bagian 500.06 (a) (1) Bagian ini selama tidak kurang dari lima tahun dan harus menyimpan catatan yang disyaratkan oleh bagian 500.06 (a) (2) Bagian ini untuk tidak kurang dari tiga tahun. | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| 500.06 (a) | (a) Setiap Entitas yang Tercakup harus secara aman memelihara sistem yang, sejauh berlaku dan berdasarkan Penilaian Risikonya: (1) dirancang untuk merekonstruksi transaksi keuangan material yang cukup untuk mendukung operasi normal dan kewajiban Entitas yang Tercakup; dan (2) mencakup jejak audit yang dirancang untuk mendeteksi dan menanggapi Peristiwa Keamanan Siber yang memiliki kemungkinan wajar untuk secara material merugikan bagian material apa pun dari operasi normal Entitas yang Tercakup. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. OpenSearch Log kesalahan layanan dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke AWS Cloud dengan memastikan domain OpenSearch Layanan Amazon berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan Amazon dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan Amazon dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kredensyal diaudit untuk perangkat, pengguna, dan proses yang berwenang dengan memastikan kunci akses IAM diputar sebagaimana ditentukan oleh kebijakan organisasi. Mengubah kunci akses pada jadwal reguler adalah praktik terbaik keamanan. Ini mempersingkat periode kunci akses aktif dan mengurangi dampak bisnis jika kunci dikompromikan. Aturan ini memerlukan nilai rotasi kunci akses (Config Default: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Jika definisi tugas memiliki hak istimewa yang tinggi, itu karena pelanggan telah secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan belum ikut serta dalam hak istimewa yang ditinggikan. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Pastikan tabel rute Amazon EC2 tidak memiliki rute tak terbatas ke gateway internet. Menghapus atau membatasi akses ke internet untuk beban kerja dalam VPC Amazon dapat mengurangi akses yang tidak diinginkan dalam lingkungan Anda. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini memungkinkan Anda untuk secara opsional mengatur ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), (Config Default: True), dan restrictPublicBuckets parameter blockPublicAcls (Config Default: True). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke AWS Cloud dengan memastikan subnet Amazon Virtual Private Cloud (VPC) tidak secara otomatis ditetapkan alamat IP publik. Instans Amazon Elastic Compute Cloud (EC2) yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | AWS Identity and Access Management (IAM) dapat membantu Anda dengan izin akses dan otorisasi dengan memeriksa kata sandi IAM dan kunci akses yang tidak digunakan untuk jangka waktu tertentu. Jika kredensyal yang tidak digunakan ini diidentifikasi, Anda harus menonaktifkan dan/atau menghapus kredensialnya, karena hal ini dapat melanggar prinsip hak istimewa paling sedikit. Aturan ini mengharuskan Anda untuk menetapkan nilai ke maxCredentialUsage Usia (Config Default: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Aturan ini memastikan AWS rahasia Secrets Manager telah diaktifkan rotasi. Memutar rahasia pada jadwal reguler dapat mempersingkat periode rahasia aktif, dan berpotensi mengurangi dampak bisnis jika rahasia itu dikompromikan. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Aturan ini memastikan bahwa AWS rahasia Secrets Manager telah berhasil diputar sesuai dengan jadwal rotasi. Memutar rahasia pada jadwal reguler dapat mempersingkat periode di mana rahasia aktif, dan berpotensi mengurangi dampak bisnis jika dikompromikan. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Izin akses dan otorisasi dapat dikelola dan digabungkan dengan prinsip-prinsip hak istimewa dan pemisahan tugas, dengan mengaktifkan Kerberos untuk cluster EMR Amazon. Di Kerberos, layanan dan pengguna yang perlu mengautentikasi dikenal sebagai prinsipal. Prinsipal ada dalam ranah Kerberos. Di dunia, server Kerberos dikenal sebagai pusat distribusi kunci (KDC). Ini menyediakan sarana bagi kepala sekolah untuk mengotentikasi. KDC mengautentikasi dengan mengeluarkan tiket untuk otentikasi. KDC mempertahankan basis data utama dari ranah, kata sandi mereka, dan informasi administratif lainnya tentang setiap utama. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, dengan memastikan bahwa grup IAM memiliki setidaknya satu pengguna. Menempatkan pengguna dalam grup berdasarkan izin terkait atau fungsi pekerjaan adalah salah satu cara untuk memasukkan hak istimewa paling sedikit. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Identitas dan kredensialnya dikeluarkan, dikelola, dan diverifikasi berdasarkan kebijakan kata sandi IAM organisasi. Mereka memenuhi atau melampaui persyaratan sebagaimana dinyatakan oleh NIST SP 800-63 dan standar Praktik Terbaik Keamanan AWS Dasar untuk kekuatan kata sandi. Aturan ini memungkinkan Anda untuk mengatur secara opsional RequireUppercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireLowercaseCharacters (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireSymbols (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), RequireNumbers (Nilai Praktik Terbaik Keamanan AWS Dasar: benar), MinimumPasswordLength (Nilai Praktik Terbaik Keamanan AWS Dasar: 14), (Nilai Praktik Terbaik Keamanan AWS Dasar: 24), dan PasswordReusePrevention MaxPasswordAge (Nilai Praktik Terbaik Keamanan AWS Dasar: 90) untuk IAM Anda Kebijakan Kata Sandi. Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | AWS Identity and Access Management (IAM) dapat membantu Anda menggabungkan prinsip-prinsip hak istimewa dan pemisahan tugas dengan izin akses dan otorisasi, membatasi kebijakan agar tidak mengandung “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*”. Memungkinkan pengguna untuk memiliki lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa dan pemisahan tugas. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | AWS Identity and Access Management (IAM) dapat membantu Anda membatasi izin akses dan otorisasi, dengan memastikan pengguna adalah anggota setidaknya satu grup. Mengizinkan pengguna lebih banyak hak istimewa daripada yang dibutuhkan untuk menyelesaikan tugas dapat melanggar prinsip hak istimewa paling sedikit dan pemisahan tugas. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Aturan ini memastikan kebijakan AWS Identity and Access Management (IAM) dilampirkan hanya pada grup atau peran untuk mengontrol akses ke sistem dan aset. Menetapkan hak istimewa di kelompok atau tingkat peran membantu mengurangi peluang bagi identitas untuk menerima atau mempertahankan hak istimewa yang berlebihan. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke AWS Cloud dengan mengaktifkan s3_ bucket_policy_grantee_check. Aturan ini memastikan bahwa akses yang diberikan oleh bucket Amazon S3 dibatasi oleh AWS prinsipal, pengguna federasi, kepala layanan, alamat IP, atau ID Amazon Virtual Private Cloud (Amazon VPC) yang Anda berikan. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Pastikan pengguna AWS Identity and Access Management (IAM) and Access Management (IAM), peran IAM atau grup IAM tidak memiliki kebijakan inline untuk mengontrol akses ke sistem dan aset. AWS merekomendasikan untuk menggunakan kebijakan terkelola alih-alih kebijakan inline. Kebijakan terkelola memungkinkan penggunaan kembali, pembuatan versi dan pemutaran kembali, serta mendelegasikan manajemen izin. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke AWS Cloud dengan memastikan instans replikasi DMS tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke AWS Cloud dengan memastikan snapshot EBS tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke AWS Cloud dengan memastikan Domain OpenSearch Layanan Amazon (OpenSearch Layanan) berada dalam Amazon Virtual Private Cloud (Amazon VPC). Domain OpenSearch Layanan dalam VPC Amazon memungkinkan komunikasi yang aman antara OpenSearch Layanan dan layanan lain dalam VPC Amazon tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke AWS Cloud dengan memastikan node master cluster EMR Amazon tidak dapat diakses publik. Node master cluster EMR Amazon dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa gateway internet hanya dilampirkan ke Amazon Virtual Private Cloud (Amazon VPC) resmi. Gateway internet memungkinkan akses internet dua arah ke dan dari VPC Amazon yang berpotensi menyebabkan akses tidak sah ke sumber daya VPC Amazon. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan fungsi AWS Lambda tidak dapat diakses secara publik. Akses publik berpotensi menyebabkan degradasi ketersediaan sumber daya. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Menerapkan fungsi AWS Lambda dalam Amazon Virtual Private Cloud (Amazon VPC) untuk komunikasi yang aman antara fungsi dan layanan lain dalam Amazon VPC. Dengan konfigurasi ini, tidak ada persyaratan untuk gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di dalam AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Untuk mengelola akses dengan benar, fungsi AWS Lambda harus ditetapkan ke VPC. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| 500.07 | Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko Entitas Tercakup, setiap Entitas yang Tercakup akan membatasi hak akses pengguna ke Sistem Informasi yang menyediakan akses ke Informasi Nonpublik dan secara berkala akan meninjau hak akses tersebut. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa SageMaker notebook Amazon tidak mengizinkan akses internet langsung. Dengan mencegah akses internet langsung, Anda dapat menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| 500,8 (a) | (a) Setiap program keamanan siber Entitas Tercakup harus mencakup prosedur, pedoman, dan standar tertulis yang dirancang untuk memastikan penggunaan praktik pengembangan yang aman untuk aplikasi yang dikembangkan secara internal yang digunakan oleh Entitas Tercakup, dan prosedur untuk mengevaluasi, menilai, atau menguji keamanan aplikasi yang dikembangkan secara eksternal yang digunakan oleh Entitas Tercakup dalam konteks lingkungan teknologi Entitas Tercakup. | Pastikan kredensyal otentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak ada dalam lingkungan proyek Codebuild. AWS Jangan simpan variabel-variabel ini dalam teks yang jelas. Menyimpan variabel-variabel ini dalam teks yang jelas menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah. | |
| 500,8 (a) | (a) Setiap program keamanan siber Entitas Tercakup harus mencakup prosedur, pedoman, dan standar tertulis yang dirancang untuk memastikan penggunaan praktik pengembangan yang aman untuk aplikasi yang dikembangkan secara internal yang digunakan oleh Entitas Tercakup, dan prosedur untuk mengevaluasi, menilai, atau menguji keamanan aplikasi yang dikembangkan secara eksternal yang digunakan oleh Entitas Tercakup dalam konteks lingkungan teknologi Entitas Tercakup. | Pastikan URL repositori sumber GitHub atau Bitbucket tidak berisi token akses pribadi, kredenal masuk dalam lingkungan proyek Codebuild. AWS Gunakan OAuth alih-alih token akses pribadi atau kredensyal masuk untuk memberikan otorisasi untuk mengakses atau repositori Bitbucket. GitHub | |
| 500.09 | (a) Setiap entitas yang tercakup harus melakukan penilaian risiko berkala terhadap sistem informasi entitas yang tercakup yang cukup untuk menginformasikan desain program keamanan siber sebagaimana disyaratkan oleh Bagian ini. Penilaian risiko tersebut harus diperbarui sebagaimana diperlukan secara wajar untuk mengatasi perubahan pada sistem informasi, informasi nonpublik, atau operasi bisnis entitas yang tercakup. Penilaian risiko entitas yang tercakup akan memungkinkan revisi kontrol untuk menanggapi perkembangan teknologi dan ancaman yang berkembang dan harus mempertimbangkan risiko tertentu dari operasi bisnis entitas yang tercakup terkait dengan keamanan siber, informasi nonpublik yang dikumpulkan atau disimpan, sistem informasi yang digunakan dan ketersediaan dan efektivitas kontrol untuk melindungi sistem informasi dan informasi nonpublik. | annual-risk-assessment-performed (pemeriksaan proses) > | Lakukan penilaian risiko tahunan pada organisasi Anda. Penilaian risiko dapat membantu dalam menentukan kemungkinan dan dampak dari risiko dan/atau kerentanan yang diidentifikasi yang mempengaruhi suatu organisasi. |
| 500.12 | (a) Otentikasi Multi-Faktor. Berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menggunakan kontrol yang efektif, yang dapat mencakup Otentikasi Multi-Faktor atau Otentikasi Berbasis Risiko, untuk melindungi terhadap akses tidak sah ke Sistem Informasi atau Informasi Nonpublik. (b) Otentikasi Multi-Faktor akan digunakan untuk setiap individu yang mengakses jaringan internal Entitas Tercakup dari jaringan eksternal, kecuali CISO Entitas Tercakup telah menyetujui secara tertulis penggunaan kontrol akses yang setara atau lebih aman secara wajar. | Aktifkan aturan ini untuk membatasi akses ke sumber daya di AWS Cloud. Aturan ini memastikan otentikasi multi-faktor (MFA) diaktifkan untuk semua pengguna. MFA menambahkan lapisan perlindungan ekstra di atas kredensyal masuk. Kurangi insiden akun yang disusupi dengan mewajibkan MFA untuk pengguna. | |
| 500.12 | (a) Otentikasi Multi-Faktor. Berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menggunakan kontrol yang efektif, yang dapat mencakup Otentikasi Multi-Faktor atau Otentikasi Berbasis Risiko, untuk melindungi terhadap akses tidak sah ke Sistem Informasi atau Informasi Nonpublik. (b) Otentikasi Multi-Faktor akan digunakan untuk setiap individu yang mengakses jaringan internal Entitas Tercakup dari jaringan eksternal, kecuali CISO Entitas Tercakup telah menyetujui secara tertulis penggunaan kontrol akses yang setara atau lebih aman secara wajar. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa MFA diaktifkan untuk semua pengguna AWS Identity and Access Management (IAM) and Access Management (IAM) yang memiliki kata sandi konsol. MFA menambahkan lapisan perlindungan ekstra di atas kredensyal masuk. Dengan mewajibkan MFA untuk pengguna, Anda dapat mengurangi insiden akun yang disusupi dan menjaga agar data sensitif tidak diakses oleh pengguna yang tidak sah. | |
| 500.12 | (a) Otentikasi Multi-Faktor. Berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menggunakan kontrol yang efektif, yang dapat mencakup Otentikasi Multi-Faktor atau Otentikasi Berbasis Risiko, untuk melindungi terhadap akses tidak sah ke Sistem Informasi atau Informasi Nonpublik. (b) Otentikasi Multi-Faktor akan digunakan untuk setiap individu yang mengakses jaringan internal Entitas Tercakup dari jaringan eksternal, kecuali CISO Entitas Tercakup telah menyetujui secara tertulis penggunaan kontrol akses yang setara atau lebih aman secara wajar. | Akses ke sistem dan aset dapat dikontrol dengan memeriksa bahwa pengguna root tidak memiliki kunci akses yang melekat pada peran AWS Identity and Access Management (IAM) mereka. Pastikan kunci akses root dihapus. Sebaliknya, buat dan gunakan berbasis peran Akun AWS untuk membantu menggabungkan prinsip fungsionalitas terkecil. | |
| 500.12 | (a) Otentikasi Multi-Faktor. Berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menggunakan kontrol yang efektif, yang dapat mencakup Otentikasi Multi-Faktor atau Otentikasi Berbasis Risiko, untuk melindungi terhadap akses tidak sah ke Sistem Informasi atau Informasi Nonpublik. (b) Otentikasi Multi-Faktor akan digunakan untuk setiap individu yang mengakses jaringan internal Entitas Tercakup dari jaringan eksternal, kecuali CISO Entitas Tercakup telah menyetujui secara tertulis penggunaan kontrol akses yang setara atau lebih aman secara wajar. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA perangkat keras diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| 500.12 | (a) Otentikasi Multi-Faktor. Berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menggunakan kontrol yang efektif, yang dapat mencakup Otentikasi Multi-Faktor atau Otentikasi Berbasis Risiko, untuk melindungi terhadap akses tidak sah ke Sistem Informasi atau Informasi Nonpublik. (b) Otentikasi Multi-Faktor akan digunakan untuk setiap individu yang mengakses jaringan internal Entitas Tercakup dari jaringan eksternal, kecuali CISO Entitas Tercakup telah menyetujui secara tertulis penggunaan kontrol akses yang setara atau lebih aman secara wajar. | Kelola akses ke sumber daya di AWS Cloud dengan memastikan MFA diaktifkan untuk pengguna root. Pengguna root adalah pengguna yang paling istimewa dalam file Akun AWS. MFA menambahkan lapisan perlindungan ekstra untuk kredensi masuk. Dengan mewajibkan MFA untuk pengguna root, Anda dapat mengurangi insiden yang disusupi. Akun AWS | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Amazon CloudWatch memperingatkan ketika metrik melanggar ambang batas untuk sejumlah periode evaluasi tertentu. Alarm tersebut melakukan satu atau beberapa tindakan berdasarkan pada nilai metrik atau ekspresi relatif terhadap ambang batas selama beberapa periode waktu. Aturan ini memerlukan nilai untuk alarmActionRequired (Config Default: True), insufficientDataAction Required (Config Default: True), ( okActionRequired Config Default: False). Nilai aktual harus mencerminkan tindakan alarm untuk lingkungan Anda. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Pencatatan API Gateway menampilkan tampilan mendetail dari pengguna yang mengakses API dan cara mereka mengakses API. Wawasan ini memungkinkan visibilitas aktivitas pengguna. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Gunakan Amazon CloudWatch untuk mengumpulkan dan mengelola aktivitas peristiwa log secara terpusat. Penyertaan AWS CloudTrail data memberikan detail aktivitas panggilan API di dalam Anda Akun AWS. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan Akun AWS yang disebut AWS layanan, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam Isi AWS CloudTrail Rekam. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup Akun AWS informasi yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | AWS CloudTrail merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun mana yang dipanggil AWS, alamat IP sumber dari mana panggilan dilakukan, dan kapan panggilan terjadi. CloudTrail akan mengirimkan file log dari semua AWS Wilayah ke bucket S3 Anda jika MULTI_REGION_CLOUD_TRAIL_ENABLED diaktifkan. Selain itu, ketika AWS meluncurkan Wilayah baru, CloudTrail akan membuat jejak yang sama di Wilayah baru. Akibatnya, Anda akan menerima file log yang berisi aktivitas API untuk Wilayah baru tanpa mengambil tindakan apa pun. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Amazon Simple Storage Service (Amazon S3) pencatatan akses server menyediakan metode untuk memantau jaringan untuk potensi peristiwa keamanan siber. Acara dipantau dengan menangkap catatan terperinci untuk permintaan yang dibuat ke bucket Amazon S3. Setiap catatan log akses memberikan rincian tentang permintaan akses tunggal. Detailnya mencakup pemohon, nama bucket, waktu permintaan, tindakan permintaan, status respons, dan kode kesalahan, jika relevan. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Log aliran VPC menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di Amazon Virtual Private Cloud (Amazon VPC) Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Pastikan pencatatan AWS CodeBuild proyek diaktifkan sehingga log keluaran build Anda dikirim ke Amazon CloudWatch atau Amazon Simple Storage Service (Amazon S3). Log keluaran build memberikan informasi mendetail tentang proyek build Anda. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, aktifkan pencatatan AWS WAF (V2) di ACL web regional dan global. AWS Pencatatan WAF memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Log mencatat waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Amazon GuardDuty dapat membantu memantau dan mendeteksi potensi peristiwa keamanan siber dengan menggunakan umpan intelijen ancaman. Ini termasuk daftar IP berbahaya dan pembelajaran mesin untuk mengidentifikasi aktivitas tak terduga, tidak sah, dan berbahaya dalam lingkungan AWS Cloud Anda. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari berbagai layanan. AWS Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity and Access Management (IAM) Access Analyzer, dan Firewall Manager, AWS dan solusi Partner. AWS | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Pastikan pencatatan audit diaktifkan di domain OpenSearch Layanan Amazon Anda. Pencatatan audit memungkinkan Anda melacak aktivitas pengguna di OpenSearch domain Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan, perubahan indeks OpenSearch, dan kueri penelusuran yang masuk. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Untuk menangkap informasi tentang koneksi dan aktivitas pengguna di klaster Amazon Redshift, pastikan pencatatan audit diaktifkan. | |
| 500.14 (a) | (a) menerapkan kebijakan, prosedur, dan kontrol berbasis risiko yang dirancang untuk memantau aktivitas Pengguna Resmi dan mendeteksi akses atau penggunaan yang tidak sah, atau merusak, Informasi Nonpublik oleh Pengguna Resmi tersebut. | Pastikan domain OpenSearch Layanan Amazon mengaktifkan log kesalahan dan dialirkan ke CloudWatch Log Amazon untuk penyimpanan dan respons. OpenSearch Log kesalahan layanan dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan. | |
| 500.14 (b) | Sebagai bagian dari program keamanan siber, setiap entitas yang tercakup harus: (b) memberikan pelatihan kesadaran keamanan siber reguler untuk semua personel yang diperbarui untuk mencerminkan risiko yang diidentifikasi oleh entitas yang tercakup dalam penilaian risikonya. | security-awareness-program-exists (pemeriksaan proses) | Membangun dan memelihara program kesadaran keamanan untuk organisasi Anda. Program kesadaran keamanan mendidik karyawan tentang cara melindungi organisasi mereka dari berbagai pelanggaran atau insiden keamanan. |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon Anda. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai untuk daysToExpiration (Nilai Praktik Terbaik Keamanan AWS Dasar: 90). Nilai sebenarnya harus mencerminkan kebijakan organisasi Anda. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk metode API, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk AWS CloudTrail jejak Anda. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk domain OpenSearch Layanan Amazon (OpenSearch Layanan) Anda. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini mensyaratkan bahwa nilai ditetapkan untuk clusterDbEncrypted (Config Default: TRUE), dan LoggingEnabled (Config Default: TRUE). Nilai aktual harus mencerminkan kebijakan organisasi Anda. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Pastikan klaster Amazon Redshift Anda memerlukan enkripsi TLS/SSL untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk titik SageMaker akhir Anda. Karena data sensitif dapat ada saat istirahat di SageMaker titik akhir, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk SageMaker notebook Anda. Karena data sensitif dapat ada saat diam di SageMaker notebook, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data saat istirahat, pastikan topik Amazon Simple Notification Service (Amazon SNS) Anda memerlukan enkripsi AWS menggunakan Key Management Service AWS (KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi untuk menjatuhkan header http. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Pastikan node-to-node enkripsi untuk OpenSearch Layanan Amazon diaktifkan. ode-to-node Enkripsi N memungkinkan enkripsi TLS 1.2 untuk semua komunikasi dalam Amazon Virtual Private Cloud (Amazon VPC). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Pastikan tahapan API REST API Amazon API Gateway dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan yang berasal dari API Gateway. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci master pelanggan (CMK) AWS yang dimiliki. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Karena data sensitif dapat ada dan membantu melindungi data saat transit, pastikan enkripsi diaktifkan untuk Elastic Load Balancing Anda. Gunakan AWS Certificate Manager untuk mengelola, menyediakan, dan menyebarkan sertifikat SSL/TLS publik dan pribadi dengan AWS layanan dan sumber daya internal. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk klaster Amazon Redshift Anda. Karena data sensitif dapat ada saat diam di cluster Redshift, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk AWS rahasia Secrets Manager. Karena data sensitif dapat ada saat diam di rahasia Secrets Manager, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Pastikan enkripsi diaktifkan untuk titik pemulihan AWS Backup Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk AWS CodeBuild artefak Anda. | |
| 500.15 (a) | (a) Sebagai bagian dari program keamanan sibernya, berdasarkan Penilaian Risiko, setiap Entitas yang Tercakup harus menerapkan kontrol, termasuk enkripsi, untuk melindungi Informasi Nonpublik yang disimpan atau dikirimkan oleh Entitas yang Tercakup baik dalam perjalanan melalui jaringan eksternal maupun saat istirahat. | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Kinesis Streams Anda. | |
| 500.16 | (a) Sebagai bagian dari program keamanan sibernya, setiap entitas yang tercakup harus membuat rencana respons insiden tertulis yang dirancang untuk segera menanggapi, dan memulihkan dari, peristiwa keamanan siber apa pun yang secara material memengaruhi kerahasiaan, integritas, atau ketersediaan sistem informasi entitas yang tercakup atau fungsionalitas berkelanjutan dari setiap aspek bisnis atau operasi entitas yang tercakup. | response-plan-exists-maintained (pemeriksaan proses) | Memastikan rencana respons insiden dibuat, dipelihara, dan didistribusikan kepada personel yang bertanggung jawab. |
Templat
Template tersedia di GitHub: Praktik Terbaik Operasional untuk NYDFS 23
