AWS Praktik Terbaik Keamanan Dasar v1.0.0 () standar FSBP - AWS Security Hub

Kontrol yang berlaku untuk FSBP standar

AWS Praktik Terbaik Keamanan Dasar v1.0.0 () standar FSBP

Standar Praktik Terbaik Keamanan AWS Dasar adalah seperangkat kontrol yang mendeteksi kapan Anda Akun AWS dan sumber daya menyimpang dari praktik terbaik keamanan.

Standar ini memungkinkan Anda terus mengevaluasi semua beban kerja Akun AWS dan beban kerja Anda untuk dengan cepat mengidentifikasi area penyimpangan dari praktik terbaik. Ini memberikan panduan yang dapat ditindaklanjuti dan preskriptif tentang bagaimana meningkatkan dan mempertahankan postur keamanan organisasi Anda.

Kontrol mencakup praktik terbaik keamanan untuk sumber daya dari beberapa sumber daya Layanan AWS. Setiap kontrol juga diberi kategori yang mencerminkan fungsi keamanan yang berlaku. Untuk informasi selengkapnya, lihat Daftar kategori kontrol di Security Hub.

Kontrol yang berlaku untuk FSBP standar

[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS

[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu

[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit

[APIGateway.1] API Gateway REST dan logging WebSocket API eksekusi harus diaktifkan

[APIGateway.2] REST API Tahapan API gateway harus dikonfigurasi untuk menggunakan SSL sertifikat untuk otentikasi backend

[APIGateway.3] REST API Tahapan API gateway harus memiliki AWS X-Ray penelusuran diaktifkan

[APIGateway.4] API Gateway harus dikaitkan dengan Web WAF ACL

[APIGateway.5] Data REST API cache API gateway harus dienkripsi saat istirahat

[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi

[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2

[AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan

[AppSync.5] AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API

[Athena.4] Kelompok kerja Athena seharusnya mengaktifkan logging

[AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB

[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone

[AutoScaling.3] Konfigurasi peluncuran grup Auto Scaling harus EC2 mengonfigurasi instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2

[Autoscaling.5] Instans EC2 Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik

[AutoScaling.6] Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone

[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2

[Cadangan.1] AWS Backup titik pemulihan harus dienkripsi saat istirahat

[CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi

[CloudFront.3] CloudFront distribusi harus memerlukan enkripsi dalam perjalanan

[CloudFront.4] CloudFront distribusi harus memiliki failover asal yang dikonfigurasi

[CloudFront.5] CloudFront distribusi seharusnya mengaktifkan logging

[CloudFront.6] CloudFront distribusi seharusnya diaktifkan WAF

[CloudFront.7] CloudFront distribusi harus menggunakan kustom/sertifikat SSL TLS

[CloudFront.8] CloudFront distribusi harus digunakan SNI untuk melayani permintaan HTTPS

[CloudFront.9] CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus

[CloudFront.10] CloudFront distribusi tidak boleh menggunakan SSL protokol usang antara lokasi tepi dan asal khusus

[CloudFront.12] CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada

[CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal

[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis

[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat

[CloudTrail.4] validasi file CloudTrail log harus diaktifkan

[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch

[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif

[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas

[CodeBuild.3] Log CodeBuild S3 harus dienkripsi

[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki pencatatan AWS Config buang air kecil

[CodeBuild.7] ekspor kelompok CodeBuild laporan harus dienkripsi saat istirahat

[Konfigurasi.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya

[DataFirehose.1] Aliran pengiriman Firehose harus dienkripsi saat istirahat

[DataSync.1] DataSync tugas harus mengaktifkan logging

[DMS.1] Contoh replikasi Layanan Migrasi Database tidak boleh bersifat publik

[DMS.6] contoh DMS replikasi harus mengaktifkan peningkatan versi minor otomatis

[DMS.7] tugas DMS replikasi untuk database target seharusnya mengaktifkan logging

[DMS.8] tugas DMS replikasi untuk database sumber seharusnya mengaktifkan logging

[DMS.9] DMS titik akhir harus digunakan SSL

[DMS.10] DMS titik akhir untuk database Neptunus harus mengaktifkan otorisasi IAM

[DMS.11] DMS titik akhir untuk MongoDB harus mengaktifkan mekanisme otentikasi

[DMS.12] DMS titik akhir untuk Redis seharusnya diaktifkan OSS TLS

[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat

[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai

[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik

[DocumentDB.4] Cluster Amazon DocumentDB harus menerbitkan log audit ke Log CloudWatch

[DocumentDB.5] Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan

[DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time

[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX

[DynamoDB.6] Tabel DynamoDB harus mengaktifkan perlindungan penghapusan

[DynamoDB.7] Cluster DynamoDB Accelerator harus dienkripsi saat transit

[EC2.1] EBS Cuplikan Amazon tidak boleh dipulihkan secara publik

[EC2.2] Grup keamanan VPC default tidak boleh mengizinkan lalu lintas masuk atau keluar

[EC2.3] EBS Volume Amazon yang terlampir harus dienkripsi saat istirahat

[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu

[EC2.6] VPC flow logging harus diaktifkan di semua VPCs

[EC2.7] enkripsi EBS default harus diaktifkan

[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

[EC2.9] EC2 Instans Amazon seharusnya tidak memiliki alamat publik IPv4

[EC2.10] Amazon EC2 harus dikonfigurasi untuk menggunakan VPC titik akhir yang dibuat untuk layanan Amazon EC2

[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik

[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus

[EC2.17] EC2 Instans Amazon seharusnya tidak menggunakan banyak ENIs

[EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi

[EC2.19] Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi

[EC2.20] Kedua VPN terowongan untuk AWS VPNKoneksi situs-ke-situs harus aktif

[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389

[EC2.23] Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC

[EC2.24] Jenis instance EC2 paravirtual Amazon tidak boleh digunakan

[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan

[EC2.51] VPN Titik akhir EC2 klien harus mengaktifkan pencatatan koneksi klien

[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi

[ECR.2] repositori ECR pribadi harus memiliki kekekalan tag yang dikonfigurasi

[ECR.3] ECR repositori harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi

[ECS.1] Definisi ECS tugas Amazon harus memiliki mode jaringan yang aman dan definisi pengguna.

[ECS.2] ECS layanan seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis

[ECS.3] definisi ECS tugas tidak boleh membagikan namespace proses host

[ECS.4] ECS kontainer harus berjalan sebagai non-hak istimewa

[ECS.5] ECS wadah harus dibatasi pada akses hanya-baca ke sistem file root

[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer

[ECS.9] definisi ECS tugas harus memiliki konfigurasi logging

[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru

[ECS.12] ECS cluster harus menggunakan Wawasan Kontainer

[ECS.16] set ECS tugas tidak boleh secara otomatis menetapkan alamat IP publik

[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS

[EFS.2] EFS Volume Amazon harus ada dalam rencana cadangan

[EFS.3] titik EFS akses harus menegakkan direktori root

[EFS.4] titik EFS akses harus menegakkan identitas pengguna

[EFS.6] target EFS pemasangan tidak boleh dikaitkan dengan subnet publik

[EFS.7] sistem EFS file harus mengaktifkan pencadangan otomatis

[EKS.1] titik akhir EKS cluster tidak boleh diakses publik

[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung

[EKS.3] EKS cluster harus menggunakan rahasia Kubernetes terenkripsi

[EKS.8] EKS cluster harus mengaktifkan pencatatan audit

[ElastiCache.1] Cluster ElastiCache (RedisOSS) harus mengaktifkan pencadangan otomatis

[ElastiCache.2] Kluster ElastiCache (RedisOSS) harus mengaktifkan peningkatan versi minor otomatis

[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis

[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat

[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit

[ElastiCache.6] ElastiCache (RedisOSS) grup replikasi dari versi sebelumnya seharusnya mengaktifkan Redis OSS AUTH

[ElastiCache.7] ElastiCache cluster tidak boleh menggunakan grup subnet default

[ElasticBeanstalk.1] Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan

[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan

[ElasticBeanstalk.3] Elastic Beanstalk harus mengalirkan log ke CloudWatch

[ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan HTTP semua permintaan ke HTTPS

[ELB.2] Classic Load Balancer SSL HTTPS dengan/pendengar harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager

[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan atau penghentian HTTPS TLS

[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid

[ELB.5] Pencatatan Aplikasi dan Classic Load Balancer harus diaktifkan

[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan

[ELB.7] Classic Load Balancer harus mengaktifkan pengurasan koneksi

[ELB.8] Classic Load Balancer dengan SSL pendengar harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki urasi yang kuat AWS Config

[ELB.9] Penyeimbang Beban Klasik harus mengaktifkan penyeimbangan beban lintas zona

[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone

[ELB.12] Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat

[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone

[ELB.14] Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat

[EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik

[EMR.2] Pengaturan akses publik EMR blok Amazon harus diaktifkan

[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat

[ES.2] Domain Elasticsearch tidak boleh diakses publik

[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node

[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan

[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit

[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data

[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus

[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan terbaru TLS

[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir

[FSx.1] FSx untuk sistem ZFS file Terbuka harus dikonfigurasi untuk menyalin tag ke cadangan dan volume

[FSx.2] FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke cadangan

[Lem. 2] AWS Glue pekerjaan harus mengaktifkan pencatatan

[Lem. 3] AWS Glue transformasi pembelajaran mesin harus dienkripsi saat istirahat

[GuardDuty.1] GuardDuty harus diaktifkan

[GuardDuty.5] Pemantauan Log GuardDuty EKS Audit harus diaktifkan

[GuardDuty.6] Perlindungan GuardDuty Lambda harus diaktifkan

[GuardDuty.7] GuardDuty EKS Runtime Monitoring harus diaktifkan

[GuardDuty.8] Perlindungan GuardDuty Malware untuk EC2 harus diaktifkan

[GuardDuty.9] GuardDuty RDS Perlindungan harus diaktifkan

[GuardDuty.10] Perlindungan GuardDuty S3 harus diaktifkan

[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh

[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan

[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang

[IAM.4] kunci akses pengguna IAM root seharusnya tidak ada

[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol

[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root

[IAM.7] Kebijakan kata sandi untuk IAM pengguna harus memiliki konfigurasi yang kuat

[IAM.8] Kredensi IAM pengguna yang tidak digunakan harus dihapus

[IAM.21] Kebijakan terkelola IAM pelanggan yang Anda buat seharusnya tidak mengizinkan tindakan wildcard untuk layanan

[Inspektor.1] Pemindaian Amazon Inspector harus diaktifkan EC2

[Inspektor.2] Pemindaian Amazon Inspector harus diaktifkan ECR

[Inspektor.3] Pemindaian kode Amazon Inspector Lambda harus diaktifkan

[Inspektor.4] Pemindaian standar Amazon Inspector Lambda harus diaktifkan

[Kinesis.1] Aliran kinesis harus dienkripsi saat istirahat

[Kinesis.3] Aliran kinesis harus memiliki periode retensi data yang memadai

[KMS.1] Kebijakan yang dikelola IAM pelanggan tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS

[KMS.2] IAM prinsipal tidak boleh memiliki kebijakan IAM sebaris yang memungkinkan tindakan dekripsi pada semua kunci KMS

[KMS.3] AWS KMS keys tidak boleh dihapus secara tidak sengaja

[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik

[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung

[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone

[Macie.1] Amazon Macie harus diaktifkan

[Macie.2] Penemuan data sensitif otomatis Macie harus diaktifkan

[MQ.2] Pialang ActiveMQ harus mengalirkan log audit ke CloudWatch

[MQ.3] Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis

[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker

[MSK.3] Konektor MSK Connect harus dienkripsi saat transit

[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat

[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch

[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik

[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan

[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis

[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat

[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM

[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot

[NetworkFirewall.2] Pencatatan Firewall Jaringan harus diaktifkan

[NetworkFirewall.3] Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait

[NetworkFirewall.4] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket penuh

[NetworkFirewall.5] Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket yang terfragmentasi

[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong

[NetworkFirewall.9] Firewall Firewall Jaringan harus mengaktifkan perlindungan penghapusan

[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat

[Opensearch.2] OpenSearch domain tidak boleh diakses publik

[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node

[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch

[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit

[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data

[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus

[Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan terbaru TLS

[Opensearch.10] OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal

[PCA.1] AWS Private CA otoritas sertifikat root harus dinonaktifkan

[Route53.2] Route 53 zona yang dihosting publik harus mencatat kueri DNS

[RDS.1] RDS snapshot harus bersifat pribadi

[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible

[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat

[RDS.4] snapshot RDS cluster dan snapshot database harus dienkripsi saat istirahat

[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone

[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB

[RDS.7] RDS cluster harus mengaktifkan perlindungan penghapusan

[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan

[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch

[RDS.10] IAM otentikasi harus dikonfigurasi untuk instance RDS

[RDS.11] RDS instance harus mengaktifkan pencadangan otomatis

[RDS.12] IAM otentikasi harus dikonfigurasi untuk cluster RDS

[RDS.13] peningkatan versi minor RDS otomatis harus diaktifkan

[RDS.14] Cluster Amazon Aurora seharusnya mengaktifkan backtracking

[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone

[RDS.16] Cluster RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot

[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot

[RDS.18] RDS instance harus diterapkan di a VPC

[RDS.19] Langganan pemberitahuan RDS acara yang ada harus dikonfigurasi untuk peristiwa klaster kritis

[RDS.20] Langganan pemberitahuan RDS acara yang ada harus dikonfigurasi untuk peristiwa instance basis data penting

[RDS.21] Langganan pemberitahuan RDS acara harus dikonfigurasi untuk peristiwa grup parameter basis data kritis

[RDS.22] Langganan pemberitahuan RDS acara harus dikonfigurasi untuk acara grup keamanan basis data penting

[RDS.23] RDS instance tidak boleh menggunakan port default mesin database

[RDS.24] Kluster RDS basis data harus menggunakan nama pengguna administrator khusus

[RDS.25] instance RDS database harus menggunakan nama pengguna administrator khusus

[RDS.27] Cluster RDS DB harus dienkripsi saat istirahat

[RDS.34] Aurora Cluster DB SQL saya harus menerbitkan log audit ke Log CloudWatch

[RDS.35] Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis

[RDS.36] RDS untuk instance Postgre SQL DB harus menerbitkan log ke Log CloudWatch

[RDS.37] Cluster Aurora SQL Postgre DB harus menerbitkan log ke Log CloudWatch

[Redshift.1] Cluster Amazon Redshift harus melarang akses publik

[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit

[Redshift.3] Cluster Amazon Redshift harus mengaktifkan snapshot otomatis

[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit

[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama

[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC

[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default

[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default

[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat

[Redshift.15] Grup keamanan Redshift harus mengizinkan masuknya port cluster hanya dari asal yang dibatasi

[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok

[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik

[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik

[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk digunakan SSL

[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS

[S3.8] Bucket tujuan umum S3 harus memblokir akses publik

[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server

[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3

[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup

[S3.19] Titik akses S3 harus mengaktifkan pengaturan akses publik blok

[S3.24] Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik blok

[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung

[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC

[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook

[SageMaker.4] varian produksi SageMaker titik akhir harus memiliki jumlah instance awal yang lebih besar dari 1

[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis

[SecretsManager.2] Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar

[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan

[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam beberapa hari tertentu

[ServiceCatalog.1] Portofolio Service Catalog harus dibagikan dalam AWS organisasi saja

[SQS.1] SQS Antrian Amazon harus dienkripsi saat istirahat

[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager

[SSM.2] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah penginstalan tambalan

[SSM.3] EC2 Instans Amazon yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT

[SSM.4] SSM dokumen tidak boleh dipublikasikan

[StepFunctions.1] Mesin status Step Functions seharusnya mengaktifkan logging

[Transfer.2] Server Transfer Family tidak boleh menggunakan FTP protokol untuk koneksi titik akhir

[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan

[WAF.2] AWS WAF Aturan Regional Klasik harus memiliki setidaknya satu syarat

[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan

[WAF.4] AWS WAF Web Regional Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat

[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan

[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan

[WAF.12] AWS WAF aturan harus mengaktifkan CloudWatch metrik

[WorkSpaces.1] volume WorkSpaces pengguna harus dienkripsi saat istirahat

[WorkSpaces.2] volume WorkSpaces root harus dienkripsi saat istirahat

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Referensi standar Security Hub

CIS AWS Tolok Ukur Yayasan