Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Referensi kontrol Security Hub
Referensi kontrol ini menyediakan daftar AWS Security Hub kontrol yang tersedia dengan tautan ke informasi lebih lanjut tentang setiap kontrol. Tabel ikhtisar menampilkan kontrol dalam urutan abjad dengan ID kontrol. Hanya kontrol yang digunakan aktif oleh Security Hub yang disertakan di sini. Kontrol pensiun dikecualikan dari daftar ini. Tabel memberikan informasi berikut untuk setiap kontrol:
-
ID kontrol keamanan — ID ini berlaku di seluruh standar dan menunjukkan Layanan AWS dan sumber daya yang terkait dengan kontrol. Konsol Security Hub menampilkan kontrol keamanan IDs, terlepas dari apakah temuan kontrol konsolidasi diaktifkan atau dinonaktifkan di akun Anda. Namun, temuan Security Hub mengacu pada kontrol keamanan IDs hanya jika temuan kontrol konsolidasi diaktifkan di akun Anda. Jika temuan kontrol konsolidasi dimatikan di akun Anda, beberapa kontrol IDs bervariasi menurut standar dalam temuan kontrol Anda. Untuk pemetaan kontrol khusus standar IDs ke kontrol keamanan, lihat. IDs Bagaimana konsolidasi berdampak pada kontrol IDs dan judul
Jika Anda ingin mengatur otomatisasi untuk kontrol keamanan, sebaiknya filter berdasarkan ID kontrol daripada judul atau deskripsi. Sementara Security Hub kadang-kadang dapat memperbarui judul atau deskripsi kontrol, kontrol IDs tetap sama.
Kontrol IDs dapat melewati angka. Ini adalah placeholder untuk kontrol masa depan.
-
Standar yang berlaku - Menunjukkan standar mana yang berlaku untuk kontrol. Pilih kontrol untuk melihat persyaratan spesifik dari kerangka kerja kepatuhan pihak ketiga.
-
Judul kontrol keamanan - Judul ini berlaku di seluruh standar. Konsol Security Hub menampilkan judul kontrol keamanan, terlepas dari apakah temuan kontrol konsolidasi diaktifkan atau dinonaktifkan di akun Anda. Namun, temuan Security Hub merujuk judul kontrol keamanan hanya jika temuan kontrol konsolidasi diaktifkan di akun Anda. Jika temuan kontrol konsolidasi dimatikan di akun Anda, beberapa judul kontrol bervariasi menurut standar dalam temuan kontrol Anda. Untuk pemetaan kontrol khusus standar IDs ke kontrol keamanan, lihat. IDs Bagaimana konsolidasi berdampak pada kontrol IDs dan judul
-
Keparahan — Tingkat keparahan kontrol mengidentifikasi pentingnya dari sudut pandang keamanan. Untuk informasi tentang cara Security Hub menentukan tingkat keparahan kontrol, lihatTingkat keparahan temuan kontrol.
-
Jenis jadwal - Menunjukkan kapan kontrol dievaluasi. Untuk informasi selengkapnya, lihat Jadwal untuk menjalankan pemeriksaan keamanan.
-
Mendukung parameter kustom - Menunjukkan apakah kontrol mendukung nilai kustom untuk satu atau beberapa parameter. Pilih kontrol untuk melihat detail parameter. Untuk informasi selengkapnya, lihat Memahami parameter kontrol di Security Hub.
Pilih kontrol untuk melihat detail lebih lanjut. Kontrol tercantum dalam urutan abjad dari nama layanan.
| ID kontrol keamanan | Judul kontrol keamanan | Standar yang berlaku | Kepelikan | Mendukung parameter kustom | Jenis jadwal |
|---|---|---|---|---|---|
| Akun.1 | Informasi kontak keamanan harus disediakan untuk Akun AWS | CIS AWS Foundations Benchmark v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIUM | Berkala | |
| Akun.2 | Akun AWS harus menjadi bagian dari sebuah AWS Organizations organisasi | NIST SP 800-53 Wahyu 5 | TINGGI | |
Berkala |
| ACM.1 | Sertifikat yang diimpor dan diterbitkan ACM harus diperpanjang setelah jangka waktu tertentu | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu dan periodik |
| ACM.2 | Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | |
Perubahan dipicu |
| ACM.3 | Sertifikat ACM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| APIGateway.1 | API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| APIGateway.2 | Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| APIGateway.3 | Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| APIGateway.4 | API Gateway harus dikaitkan dengan WAF Web ACL | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| APIGateway.5 | Data cache API Gateway REST API harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| APIGateway.8 | Rute API Gateway harus menentukan jenis otorisasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| APIGateway.9 | Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| AppConfig.1 | AWS AppConfig aplikasi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| AppConfig.2 | AWS AppConfig profil konfigurasi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| AppConfig.3 | AWS AppConfig lingkungan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| AppConfig.4 | AWS AppConfig asosiasi ekstensi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| AppFlow.1 | AppFlow Aliran Amazon harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| AppRunner.1 | Layanan App Runner harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| AppRunner.2 | Konektor VPC App Runner harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| AppSync.1 | AWS AppSync Cache API harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| AppSync.2 | AWS AppSync harus mengaktifkan logging tingkat lapangan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| AppSync.4 | AWS AppSync APIs GraphQL harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| AppSync.5 | AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| AppSync.6 | AWS AppSync Cache API harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| Athena.2 | Katalog data Athena harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Athena.3 | Kelompok kerja Athena harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Athena.4 | Kelompok kerja Athena seharusnya mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| AutoScaling.1 | Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | Perubahan dipicu | |
| AutoScaling.2 | Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| AutoScaling.3 | Konfigurasi peluncuran grup Auto Scaling harus mengonfigurasi EC2 instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 | TINGGI | |
Perubahan dipicu |
| Autoscaling.5 | EC2 Instans Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP Publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 | TINGGI | |
Perubahan dipicu |
| AutoScaling.6 | Grup Auto Scaling harus menggunakan beberapa jenis instance di beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| AutoScaling.9 | EC2 Grup Auto Scaling harus menggunakan template peluncuran EC2 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| AutoScaling.10 | EC2 Grup Auto Scaling harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Backup.1 | AWS Backup titik pemulihan harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Backup.2 | AWS Backup poin pemulihan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Backup.3 | AWS Backup brankas harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Backup.4 | AWS Backup rencana laporan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Backup.5 | AWS Backup rencana cadangan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Batch.1 | AWS Batch antrian pekerjaan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Batch.2 | AWS Batch kebijakan penjadwalan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Batch.3 | AWS Batch lingkungan komputasi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Batch.1 | AWS Batch antrian pekerjaan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| CloudFormation.2 | CloudFormation tumpukan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| CloudFront.1 | CloudFront distribusi harus memiliki objek root default yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | TINGGI | Perubahan dipicu | |
| CloudFront.3 | CloudFront distribusi harus memerlukan enkripsi dalam perjalanan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| CloudFront.4 | CloudFront distribusi harus memiliki failover asal yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| CloudFront.5 | CloudFront distribusi harus mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| CloudFront.6 | CloudFront distribusi harus mengaktifkan WAF | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| CloudFront.7 | CloudFront distribusi harus menggunakan sertifikat SSL/TLS khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| CloudFront.8 | CloudFront distribusi harus menggunakan SNI untuk melayani permintaan HTTPS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| CloudFront.9 | CloudFront distribusi harus mengenkripsi lalu lintas ke asal khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| CloudFront.10 | CloudFront distribusi tidak boleh menggunakan protokol SSL yang tidak digunakan lagi antara lokasi tepi dan asal kustom | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| CloudFront.12 | CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | TINGGI | |
Berkala |
| CloudFront.13 | CloudFront distribusi harus menggunakan kontrol akses asal | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | |
Perubahan dipicu |
| CloudFront.14 | CloudFront distribusi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| CloudTrail.1 | CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, AWS Standar yang Dikelola Layanan:, NIST SP 800-53 Rev. 5 AWS Control Tower | TINGGI | Berkala | |
| CloudTrail.2 | CloudTrail harus mengaktifkan enkripsi saat istirahat | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.2.0, Tolok Ukur AWS Yayasan CIS v1.4.0 Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS AWS Control Tower | MEDIUM | |
Berkala |
| CloudTrail.3 | Setidaknya satu CloudTrail jejak harus diaktifkan | PCI DSS v3.2.1, PCI DSS v4.0.1 | TINGGI | Berkala | |
| CloudTrail.4 | CloudTrail validasi file log harus diaktifkan | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, PCI DSS v4.0.1, Tolok Ukur Yayasan CIS v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 AWS | RENDAH | |
Berkala |
| CloudTrail.5 | CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Berkala |
| CloudTrail.6 | Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur AWS Yayasan CIS v1.4.0, PCI DSS v4.0.1 | KRITIS | |
Perubahan dipicu dan periodik |
| CloudTrail.7 | Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3 | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur Yayasan CIS v3.0.0, PCI DSS v4.0.1 AWS | RENDAH | |
Berkala |
| CloudTrail.9 | CloudTrail jalan setapak harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| CloudWatch.1 | Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root” | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS v1.4.0 AWS | RENDAH | |
Berkala |
| CloudWatch.2 | Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah | Tolok Ukur AWS Yayasan CIS v1.2.0 | RENDAH | |
Berkala |
| CloudWatch.3 | Pastikan ada filter metrik log dan alarm untuk login Management Console tanpa MFA | Tolok Ukur AWS Yayasan CIS v1.2.0 | RENDAH | |
Berkala |
| CloudWatch.4 | Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
| CloudWatch.5 | Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
| CloudWatch.6 | Pastikan filter metrik log dan alarm ada untuk kegagalan AWS Management Console otentikasi | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
| CloudWatch.7 | Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau terjadwal penghapusan pelanggan yang dibuat CMKs | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
| CloudWatch.8 | Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3 | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
| CloudWatch.9 | Pastikan filter metrik log dan alarm ada untuk perubahan AWS Config konfigurasi | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
| CloudWatch.10 | Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
| CloudWatch.11 | Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL) | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
| CloudWatch.12 | Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
| CloudWatch.13 | Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
| CloudWatch.14 | Pastikan filter metrik log dan alarm ada untuk perubahan VPC | Tolok Ukur AWS Yayasan CIS v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0 | RENDAH | |
Berkala |
| CloudWatch.15 | CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi | NIST SP 800-53 Wahyu 5 | TINGGI | |
Perubahan dipicu |
| CloudWatch.16 | CloudWatch grup log harus dipertahankan untuk jangka waktu tertentu | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Berkala |
| CloudWatch.17 | CloudWatch tindakan alarm harus diaktifkan | NIST SP 800-53 Wahyu 5 | TINGGI | |
Perubahan dipicu |
| CodeArtifact.1 | CodeArtifact repositori harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| CodeBuild.1 | CodeBuild Repositori sumber Bitbucket tidak URLs boleh berisi kredensyal sensitif | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | KRITIS | Perubahan dipicu | |
| CodeBuild.2 | CodeBuild variabel lingkungan proyek tidak boleh berisi kredensyal teks yang jelas | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | KRITIS | |
Perubahan dipicu |
| CodeBuild.3 | CodeBuild Log S3 harus dienkripsi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan:, AWS Control Tower | RENDAH | |
Perubahan dipicu |
| CodeBuild.4 | CodeBuild lingkungan proyek harus memiliki konfigurasi logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| CodeBuild.7 | CodeBuild ekspor kelompok laporan harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| CodeGuruProfiler.1 | CodeGuru Grup profil profiler harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| CodeGuruReviewer.1 | CodeGuru Asosiasi repositori reviewer harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Kognito.1 | Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| Konfigurasi.1 | AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS | KRITIS | Berkala | |
| Hubungkan.1 | Jenis objek Amazon Connect Customer Profiles harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| DataFirehose.1 | Aliran pengiriman Firehose harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| DataSync.1 | DataSync tugas harus mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| Detektif.1 | Grafik perilaku Detektif harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| DMS.1 | Contoh replikasi Database Migration Service tidak boleh bersifat publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | KRITIS | |
Berkala |
| DMS.2 | Sertifikat DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| DMS.3 | Langganan acara DMS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| DMS.4 | Instans replikasi DMS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| DMS.5 | Grup subnet replikasi DMS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| DMS.6 | Instans replikasi DMS harus mengaktifkan peningkatan versi minor otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| DMS.7 | Tugas replikasi DMS untuk database target harus mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| DMS.8 | Tugas replikasi DMS untuk database sumber harus mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| DMS.9 | Titik akhir DMS harus menggunakan SSL | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| DMS.10 | Titik akhir DMS untuk database Neptunus harus mengaktifkan otorisasi IAM | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | Perubahan dipicu | |
| DMS.11 | Titik akhir DMS untuk MongoDB harus mengaktifkan mekanisme otentikasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | Perubahan dipicu | |
| DMS.12 | Titik akhir DMS untuk Redis OSS harus mengaktifkan TLS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | Perubahan dipicu | |
| DokumenDB.1 | Cluster Amazon DocumentDB harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| DokumenDB.2 | Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| DokumenDB.3 | Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITIS | |
Perubahan dipicu |
| DokumenDB.4 | Cluster Amazon DocumentDB harus mempublikasikan log audit ke Log CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| DokumenDB.5 | Cluster Amazon DocumentDB harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| DynamoDB.1 | Tabel DynamoDB harus secara otomatis menskalakan kapasitas dengan permintaan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| DynamoDB.2 | Tabel DynamoDB harus mengaktifkan pemulihan point-in-time | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| DynamoDB.3 | Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| DynamoDB.4 | Tabel DynamoDB harus ada dalam rencana cadangan | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Berkala |
| DynamoDb.5 | Tabel DynamoDB harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| DynamoDb.6 | Tabel DynamoDB harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| DynamoDb.7 | Cluster DynamoDB Accelerator harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | Berkala | |
| EC2.1 | Snapshot EBS tidak boleh dipulihkan secara publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Berkala |
| EC2.2 | Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS v1.4.0, NIST SP 800-53 AWS Control Tower Rev. 5 AWS | TINGGI | |
Perubahan dipicu |
| EC2.3 | Volume EBS yang terpasang harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| EC2.4 | EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| EC2.6 | Pencatatan aliran VPC harus diaktifkan di semua VPCs | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS v1.4.0, NIST SP 800-53 AWS Control Tower Rev. 5 AWS | MEDIUM | |
Berkala |
| EC2.7 | Enkripsi default EBS harus diaktifkan | Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, Tolok Ukur Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 AWS | MEDIUM | |
Berkala |
| EC2.8 | EC2 instance harus menggunakan Instance Metadata Service Version 2 () IMDSv2 | Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Perubahan dipicu |
| EC2.9 | EC2 instans seharusnya tidak memiliki alamat publik IPv4 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| EC2.10 | Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| EC2.12 | Tidak terpakai EC2 EIPs harus dihapus | PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5 | RENDAH | |
Perubahan dipicu |
| EC2.13 | Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22 | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 | TINGGI | Perubahan dipicu dan periodik | |
| EC2.14 | Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389 | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 | TINGGI | Perubahan dipicu dan periodik | |
| EC2.15 | EC2 subnet seharusnya tidak secara otomatis menetapkan alamat IP publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan:, AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| EC2.16 | Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan:, AWS Control Tower | RENDAH | |
Perubahan dipicu |
| EC2.17 | EC2 instance tidak boleh menggunakan banyak ENIs | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| EC2.18 | Grup keamanan hanya boleh mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| EC2.19 | Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | Perubahan dipicu dan periodik | |
| EC2.20 | Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus siap | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| EC2.21 | Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389 | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| EC2.22 | Kelompok EC2 keamanan yang tidak digunakan harus dihapus | Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | Berkala | |
| EC2.23 | EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| EC2.24 | EC2 tipe instance paravirtual tidak boleh digunakan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| EC2.25 | EC2 template peluncuran tidak boleh menetapkan publik IPs ke antarmuka jaringan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Perubahan dipicu |
| EC2.28 | Volume EBS harus dalam rencana cadangan | NIST SP 800-53 Wahyu 5 | RENDAH | |
Berkala |
| EC2.33 | EC2 lampiran transit gateway harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.34 | EC2 tabel rute gateway transit harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.35 | EC2 antarmuka jaringan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.36 | EC2 gateway pelanggan harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.37 | EC2 Alamat IP elastis harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.38 | EC2 instance harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.39 | EC2 gateway internet harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.40 | EC2 Gateway NAT harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.41 | EC2 jaringan ACLs harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.42 | EC2 tabel rute harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.43 | EC2 kelompok keamanan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.44 | EC2 subnet harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.45 | EC2 volume harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.46 | Amazon VPCs harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.47 | Layanan endpoint Amazon VPC harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.48 | Log aliran VPC Amazon harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.49 | Koneksi peering VPC Amazon harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.50 | EC2 Gateway VPN harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.51 | EC2 Titik akhir Client VPN harus mengaktifkan pencatatan koneksi klien | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | RENDAH | |
Perubahan dipicu |
| EC2.52 | EC2 gateway transit harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EC2.53 | EC2 grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh | Tolok Ukur AWS Yayasan CIS v3.0.0, PCI DSS v4.0.1 | TINGGI | Berkala | |
| EC2.54 | EC2 grup keamanan tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh | Tolok Ukur AWS Yayasan CIS v3.0.0, PCI DSS v4.0.1 | TINGGI | Berkala | |
| EC2.55 | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk ECR API | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
| EC2.56 | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Docker Registry | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
| EC2.57 | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
| EC2.58 | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Kontak Manajer Insiden Systems Manager | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
| EC2.60 | VPCs harus dikonfigurasi dengan titik akhir antarmuka untuk Systems Manager Incident Manager | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
| EC2.170 | EC2 template peluncuran harus menggunakan Instance Metadata Service Version 2 () IMDSv2 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | RENDAH | Perubahan dipicu | |
| EC2.171 | EC2 Koneksi VPN seharusnya mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | MEDIUM | Perubahan dipicu | |
| EC2.172 | EC2 Pengaturan Akses Publik Blok VPC harus memblokir lalu lintas gateway internet | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| ECR.1 | Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Berkala |
| ECR.2 | Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ECR.3 | Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ECR.4 | Repositori publik ECR harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| ECS.1 | Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna. | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| ECS.2 | Layanan ECS seharusnya tidak memiliki alamat IP publik yang ditetapkan kepadanya secara otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Perubahan dipicu |
| ECS.3 | Definisi tugas ECS tidak boleh berbagi namespace proses host | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| ECS.4 | Kontainer ECS harus berjalan sebagai non-hak istimewa | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| ECS.5 | Kontainer ECS harus dibatasi pada akses hanya-baca ke sistem file root | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| ECS.8 | Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Perubahan dipicu |
| ECS.9 | Definisi tugas ECS harus memiliki konfigurasi logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| ECS.10 | Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| ECS.12 | Cluster ECS harus menggunakan Wawasan Kontainer | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ECS.13 | Layanan ECS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| ECS.14 | Cluster ECS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| ECS.15 | Definisi tugas ECS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| ECS.16 | Set tugas ECS seharusnya tidak secara otomatis menetapkan alamat IP publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | Perubahan dipicu | |
| EFS.1 | Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS | CIS AWS Foundations Benchmark v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIUM | |
Berkala |
| EFS.2 | Volume Amazon EFS harus ada dalam paket cadangan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| EFS.3 | Titik akses EFS harus menerapkan direktori root | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| EFS.4 | Titik akses EFS harus menegakkan identitas pengguna | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| EFS.5 | Titik akses EFS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EFS.6 | Target pemasangan EFS tidak boleh dikaitkan dengan subnet publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Berkala | |
| EFS.7 | Sistem file EFS harus mengaktifkan pencadangan otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| EFS.8 | Sistem file EFS harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| EKS.1 | Titik akhir klaster EKS tidak boleh diakses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | TINGGI | |
Berkala |
| EKS.2 | Kluster EKS harus berjalan pada versi Kubernetes yang didukung | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Perubahan dipicu |
| EKS.3 | Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | Berkala | |
| EKS.6 | Kluster EKS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EKS.7 | Konfigurasi penyedia identitas EKS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EKS.8 | Kluster EKS harus mengaktifkan pencatatan audit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| ElastiCache.1 | ElastiCache Cluster (Redis OSS) harus mengaktifkan pencadangan otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Berkala |
| ElastiCache.2 | ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | TINGGI | |
Berkala |
| ElastiCache.3 | ElastiCache grup replikasi harus mengaktifkan failover otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| ElastiCache.4 | ElastiCache kelompok replikasi harus encrypted-at-rest | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| ElastiCache.5 | ElastiCache kelompok replikasi harus encrypted-in-transit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Berkala |
| ElastiCache.6 | ElastiCache (Redis OSS) grup replikasi dari versi sebelumnya harus mengaktifkan Redis OSS AUTH | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Berkala |
| ElastiCache.7 | ElastiCache cluster tidak boleh menggunakan grup subnet default | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | |
Berkala |
| ElasticBeanstalk.1 | Lingkungan Elastic Beanstalk seharusnya mengaktifkan pelaporan kesehatan yang ditingkatkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| ElasticBeanstalk.2 | Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Perubahan dipicu |
| ElasticBeanstalk.3 | Elastic Beanstalk harus mengalirkan log ke CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | |
Perubahan dipicu |
| ELB.1 | Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| ELB.2 | Classic Load Balancer dengan pendengar SSL/HTTPS harus menggunakan sertifikat yang disediakan oleh AWS Certificate Manager | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ELB.3 | Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| ELB.4 | Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| ELB.5 | Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ELB.6 | Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
| ELB.7 | Classic Load Balancers harus mengaktifkan pengurasan koneksi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ELB.8 | Classic Load Balancer dengan pendengar SSL harus menggunakan kebijakan keamanan yang telah ditentukan sebelumnya yang memiliki konfigurasi yang kuat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| ELB.9 | Penyeimbang Beban Klasik harus mengaktifkan penyeimbangan beban lintas zona | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ELB.10 | Classic Load Balancer harus menjangkau beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ELB.12 | Application Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| ELB.13 | Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus menjangkau beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ELB.14 | Classic Load Balancer harus dikonfigurasi dengan mode mitigasi desync defensif atau paling ketat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| ELB.16 | Application Load Balancers harus dikaitkan dengan ACL web AWS WAF | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Perubahan dipicu |
| EMR.1 | Node primer klaster EMR Amazon seharusnya tidak memiliki alamat IP publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Berkala |
| EMR.2 | Amazon EMR memblokir pengaturan akses publik harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITIS | |
Berkala |
| ES.1 | Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| ES.2 | Domain Elasticsearch tidak boleh diakses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | KRITIS | |
Berkala |
| ES.3 | Domain Elasticsearch harus mengenkripsi data yang dikirim antar node | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan:, AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| ES.4 | Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ES.5 | Domain Elasticsearch harus mengaktifkan pencatatan audit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| ES.6 | Domain Elasticsearch harus memiliki setidaknya tiga node data | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ES.7 | Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| ES.8 | Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | Perubahan dipicu | |
| ES.9 | Domain Elasticsearch harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EventBridge.2 | EventBridge bus acara harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| EventBridge.3 | EventBridge bus acara khusus harus memiliki kebijakan berbasis sumber daya terlampir | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | RENDAH | |
Perubahan dipicu |
| EventBridge.4 | EventBridge titik akhir global harus mengaktifkan replikasi acara | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Perubahan dipicu |
| FraudDetector.1 | Jenis entitas Amazon Fraud Detector harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| FraudDetector.2 | Label Amazon Fraud Detector harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| FraudDetector.3 | Hasil Amazon Fraud Detector harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| FraudDetector.4 | Variabel Amazon Fraud Detector harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| FSx.1 | FSx untuk sistem file OpenZFS harus dikonfigurasi untuk menyalin tag ke backup dan volume | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Berkala |
| FSx.2 | FSx untuk sistem file Lustre harus dikonfigurasi untuk menyalin tag ke backup | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | Berkala | |
| Lem. 1 | AWS Glue pekerjaan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Lem.3 | AWS Glue transformasi pembelajaran mesin harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| GlobalAccelerator.1 | Akselerator Global Accelerator harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| GuardDuty.1 | GuardDuty harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Berkala |
| GuardDuty.2 | GuardDuty filter harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| GuardDuty.3 | GuardDuty IPSets harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| GuardDuty.4 | GuardDuty detektor harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| GuardDuty.5 | GuardDuty Pemantauan Log Audit EKS harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | TINGGI | Berkala | |
| GuardDuty.6 | GuardDuty Perlindungan Lambda harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | Berkala | |
| GuardDuty.7 | GuardDuty EKS Runtime Monitoring harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | MEDIUM | Berkala | |
| GuardDuty.8 | GuardDuty Perlindungan Malware untuk EC2 harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | TINGGI | Berkala | |
| GuardDuty.9 | GuardDuty Perlindungan RDS harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | Berkala | |
| GuardDuty.10 | GuardDuty Perlindungan S3 harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | Berkala | |
| IAM.1 | Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, Tolok Ukur Yayasan CIS AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5 AWS | TINGGI | |
Perubahan dipicu |
| IAM.2 | Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS Control Tower | RENDAH | |
Perubahan dipicu |
| IAM.3 | Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, AWS NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Berkala |
| IAM.4 | Kunci akses pengguna root IAM seharusnya tidak ada | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, AWS Standar yang Dikelola Layanan:, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS Control Tower | KRITIS | |
Berkala |
| IAM.5 | MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, AWS NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Berkala |
| IAM.6 | MFA perangkat keras harus diaktifkan untuk pengguna root | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Tolok Ukur Yayasan CIS AWS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | KRITIS | |
Berkala |
| IAM.7 | Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Berkala |
| IAM.8 | Kredensyal pengguna IAM yang tidak digunakan harus dihapus | Tolok Ukur AWS Yayasan CIS v1.2.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Berkala |
| IAM.9 | MFA harus diaktifkan untuk pengguna root | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-53 AWS Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | KRITIS | |
Berkala |
| IAM.10 | Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat | PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIUM | |
Berkala |
| IAM.11 | Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu huruf besar | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 | MEDIUM | |
Berkala |
| IAM.12 | Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu huruf kecil | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 | MEDIUM | |
Berkala |
| IAM.13 | Pastikan kebijakan kata sandi IAM memerlukan setidaknya satu simbol | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 | MEDIUM | |
Berkala |
| IAM.14 | Pastikan kebijakan kata sandi IAM membutuhkan setidaknya satu nomor | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 | MEDIUM | |
Berkala |
| IAM.15 | Pastikan kebijakan kata sandi IAM memerlukan panjang kata sandi minimum 14 atau lebih | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0 AWS | MEDIUM | |
Berkala |
| IAM.16 | Pastikan kebijakan kata sandi IAM mencegah penggunaan kembali kata sandi | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 AWS | RENDAH | |
Berkala |
| IAM.17 | Pastikan kebijakan kata sandi IAM kedaluwarsa kata sandi dalam waktu 90 hari atau kurang | Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 | RENDAH | |
Berkala |
| IAM.18 | Pastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, PCI DSS v4.0.1 AWS | RENDAH | |
Berkala |
| IAM.19 | MFA harus diaktifkan untuk semua pengguna IAM | NIST SP 800-53 Wahyu 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIUM | |
Berkala |
| IAM.21 | Kebijakan terkelola pelanggan IAM yang Anda buat tidak boleh mengizinkan tindakan wildcard untuk layanan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| IAM.22 | Kredensi pengguna IAM yang tidak digunakan selama 45 hari harus dihapus | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0 AWS | MEDIUM | |
Berkala |
| IAM.23 | Alat analisis IAM Access Analyzer harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| IAM.24 | Peran IAM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| IAM.25 | Pengguna IAM harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| IAM.26 | Sertifikat SSL/TLS yang kedaluwarsa yang dikelola di IAM harus dihapus | Tolok Ukur AWS Yayasan CIS v3.0.0 | MEDIUM | Berkala | |
| IAM.27 | Identitas IAM seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloud ShellFullAccess | Tolok Ukur AWS Yayasan CIS v3.0.0 | MEDIUM | Perubahan dipicu | |
| IAM.28 | IAM Access Analyzer penganalisis akses eksternal harus diaktifkan | Tolok Ukur AWS Yayasan CIS v3.0.0 | TINGGI | Berkala | |
| Inspektor.1 | EC2 Pemindaian Amazon Inspector harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | Berkala | |
| Inspektor.2 | Pemindaian ECR Amazon Inspector harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | Berkala | |
| Inspektor.3 | Pemindaian kode Amazon Inspector Lambda harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | Berkala | |
| Inspektor.4 | Pemindaian standar Amazon Inspector Lambda harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | Berkala | |
| IoT.1 | AWS IoT Device Defender profil keamanan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| IoT.2 | AWS IoT Core tindakan mitigasi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| IoT.3 | AWS IoT Core dimensi harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| IoT.4 | AWS IoT Core pemberi otorisasi harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| IoT.5 | AWS IoT Core alias peran harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| IoT.6 | AWS IoT Core kebijakan harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Io TEvents .1 | AWS IoT Events input harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Io TEvents .2 | AWS IoT Events model detektor harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Io TEvents .3 | AWS IoT Events model alarm harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Io TSite Bijak.1 | AWS IoT SiteWise model aset harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Io TSite Bijak.2 | AWS IoT SiteWise dasbor harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Io TSite Bijak.3 | AWS IoT SiteWise gateway harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Io TSite Bijak.4 | AWS IoT SiteWise portal harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Io TSite Bijak.5 | AWS IoT SiteWise proyek harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| TTwinPembuat Io. 1 | AWS Pekerjaan TwinMaker sinkronisasi IoT harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| TTwinPembuat Io.2 | AWS TwinMaker Ruang kerja IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| TTwinPembuat Io.3 | AWS TwinMaker Adegan IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| TTwinPembuat Io.4 | AWS TwinMaker Entitas IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Io TWireless .1 | AWS Grup multicast Nirkabel IoT harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Io TWireless .2 | AWS Profil layanan IoT Wireless harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Io TWireless .3 | AWS Tugas FUOTA IoT Wireless harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| IVS.1 | Pasangan kunci pemutaran IVS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| IVS.2 | Konfigurasi perekaman IVS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| IVS.3 | Saluran IVS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Ruang kunci.1 | Ruang kunci Amazon Keyspaces harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Kinesis.1 | Aliran Kinesis harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Kinesis.2 | Aliran Kinesis harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Kinesis.3 | Aliran Kinesis harus memiliki periode retensi data yang memadai | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| KMS.1 | Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| KMS.2 | Prinsipal IAM seharusnya tidak memiliki kebijakan inline IAM yang memungkinkan tindakan dekripsi pada semua kunci KMS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| KMS.3 | AWS KMS keys tidak boleh dihapus secara tidak sengaja | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
| KMS.4 | AWS KMS key rotasi harus diaktifkan | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur Yayasan CIS v1.4.0, Tolok Ukur AWS Yayasan CIS v1.2.0, NIST SP 800-53 AWS Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIUM | |
Berkala |
| KMS.5 | Kunci KMS tidak boleh diakses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | KRITIS | Perubahan dipicu | |
| Lambda.1 | Kebijakan fungsi Lambda harus melarang akses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | KRITIS | |
Perubahan dipicu |
| Lambda.2 | Fungsi Lambda harus menggunakan runtime yang didukung | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| Lambda.3 | Fungsi Lambda harus dalam VPC | PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5 | RENDAH | |
Perubahan dipicu |
| Lambda.5 | Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Lambda.6 | Fungsi Lambda harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Macie.1 | Amazon Macie harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| Macie.2 | Penemuan data sensitif otomatis Macie harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | Berkala | |
| MSK.1 | Cluster MSK harus dienkripsi dalam perjalanan di antara node broker | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| MSK.2 | Cluster MSK harus memiliki pemantauan yang ditingkatkan yang dikonfigurasi | NIST SP 800-53 Wahyu 5 | RENDAH | |
Perubahan dipicu |
| MSK.3 | Konektor MSK Connect harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | MEDIUM | Perubahan dipicu | |
| MQ.2 | Broker ActiveMQ harus mengalirkan log audit ke CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | Perubahan dipicu | |
| MQ.3 | Broker Amazon MQ harus mengaktifkan peningkatan versi minor otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | RENDAH | Perubahan dipicu | |
| MQ.4 | Broker Amazon MQ harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| MQ.5 | Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga | NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
| MQ.6 | Broker RabbitMQ harus menggunakan mode penerapan cluster | NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
| Neptunus.1 | Cluster DB Neptunus harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| Neptunus.2 | Cluster DB Neptunus harus mempublikasikan log audit ke Log CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| Neptunus.3 | Snapshot cluster Neptunus DB seharusnya tidak bersifat publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | KRITIS | |
Perubahan dipicu |
| Neptunus.4 | Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
| Neptunus.5 | Cluster DB Neptunus harus mengaktifkan cadangan otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| Neptunus.6 | Snapshot cluster Neptunus DB harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| Neptunus.7 | Cluster DB Neptunus harus mengaktifkan otentikasi database IAM | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| Neptunus.8 | Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
| Neptunus.9 | Cluster DB Neptunus harus digunakan di beberapa Availability Zone | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Perubahan dipicu |
| NetworkFirewall.1 | Firewall Network Firewall harus digunakan di beberapa Availability Zone | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Perubahan dipicu |
| NetworkFirewall.2 | Pencatatan Network Firewall harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Berkala |
| NetworkFirewall.3 | Kebijakan Network Firewall harus memiliki setidaknya satu kelompok aturan yang terkait | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| NetworkFirewall.4 | Tindakan stateless default untuk kebijakan Network Firewall harus drop atau forward untuk paket penuh | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| NetworkFirewall.5 | Tindakan stateless default untuk kebijakan Network Firewall harus dijatuhkan atau diteruskan untuk paket yang terfragmentasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| NetworkFirewall.6 | Grup aturan firewall jaringan stateless tidak boleh kosong | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| NetworkFirewall.7 | Firewall Network Firewall harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| NetworkFirewall.8 | Kebijakan firewall Network Firewall harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| NetworkFirewall.9 | Firewall Network Firewall harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Opensearch.1 | OpenSearch domain harus mengaktifkan enkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Opensearch.2 | OpenSearch Domain tidak boleh diakses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
| Opensearch.3 | OpenSearch domain harus mengenkripsi data yang dikirim antar node | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Opensearch.4 | OpenSearch kesalahan domain saat masuk ke CloudWatch Log harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Opensearch.5 | OpenSearch domain harus mengaktifkan pencatatan audit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| Opensearch.6 | OpenSearch domain harus memiliki setidaknya tiga node data | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Opensearch.7 | OpenSearch domain harus mengaktifkan kontrol akses berbutir halus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| Opensearch.8 | Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
| Opensearch.9 | OpenSearch domain harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Opensearch.10 | OpenSearch domain harus memiliki pembaruan perangkat lunak terbaru yang diinstal | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | RENDAH | |
Perubahan dipicu |
| Opensearch.11 | OpenSearch domain harus memiliki setidaknya tiga node primer khusus | NIST SP 800-53 Wahyu 5 | RENDAH | Berkala | |
| PCA.1 | AWS Private CA otoritas sertifikat root harus dinonaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Berkala |
| PCA.2 | AWS Otoritas sertifikat CA swasta harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| RDS.1 | Cuplikan RDS harus bersifat pribadi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Perubahan dipicu |
| RDS.2 | Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible | Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS Control Tower, PCI DSS v4.0.1 | KRITIS | |
Perubahan dipicu |
| RDS.3 | Instans RDS DB harus mengaktifkan enkripsi saat istirahat | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, Standar yang Dikelola Layanan:, NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| RDS.4 | Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| RDS.5 | Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| RDS.6 | Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| RDS.7 | Cluster RDS harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| RDS.8 | Instans RDS DB harus mengaktifkan perlindungan penghapusan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| RDS.9 | Instans RDS DB harus menerbitkan log ke Log CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| RDS.10 | Autentikasi IAM harus dikonfigurasi untuk instance RDS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| RDS.11 | Instans RDS harus mengaktifkan pencadangan otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| RDS.12 | Autentikasi IAM harus dikonfigurasi untuk cluster RDS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| RDS.13 | Peningkatan versi minor otomatis RDS harus diaktifkan | Tolok Ukur AWS Yayasan CIS v3.0.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Perubahan dipicu |
| RDS.14 | Cluster Amazon Aurora seharusnya mengaktifkan backtracking | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| RDS.15 | Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| RDS.16 | Cluster RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| RDS.17 | Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| RDS.18 | Instans RDS harus digunakan dalam VPC | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| RDS.19 | Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa klaster kritis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| RDS.20 | Langganan pemberitahuan acara RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
| RDS.21 | Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup parameter basis data kritis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
| RDS.22 | Langganan pemberitahuan acara RDS harus dikonfigurasi untuk peristiwa grup keamanan basis data penting | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
| RDS.23 | Instans RDS tidak boleh menggunakan port default mesin database | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | |
Perubahan dipicu |
| RDS.24 | Cluster Database RDS harus menggunakan nama pengguna administrator khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| RDS.25 | Instans database RDS harus menggunakan nama pengguna administrator khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| RDS.26 | Instans RDS DB harus dilindungi oleh rencana cadangan | NIST SP 800-53 Wahyu 5 | MEDIUM | |
Berkala |
| RDS.27 | Cluster RDS DB harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| RDS.28 | Cluster RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| RDS.29 | Snapshot cluster RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| RDS.30 | Instans RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| RDS.31 | Grup keamanan RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| RDS.32 | Snapshot RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| RDS.33 | Grup subnet RDS DB harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| RDS.34 | Cluster Aurora MySQL DB harus mempublikasikan log audit ke Log CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| RDS.35 | Cluster RDS DB harus mengaktifkan peningkatan versi minor otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| RDS.36 | RDS untuk instance PostgreSQL DB harus mempublikasikan log ke Log CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | MEDIUM | Perubahan dipicu | |
| RDS.37 | Cluster Aurora PostgreSQL DB harus mempublikasikan log ke Log CloudWatch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | MEDIUM | Perubahan dipicu | |
| RDS.38 | RDS untuk instance PostgreSQL DB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Berkala | |
| RDS.39 | RDS untuk instance MySQL DB harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Berkala | |
| Pergeseran merah.1 | Cluster Amazon Redshift harus melarang akses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | KRITIS | |
Perubahan dipicu |
| Pergeseran merah.2 | Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| Pergeseran merah.3 | Cluster Amazon Redshift harus mengaktifkan snapshot otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Pergeseran merah.4 | Cluster Amazon Redshift harus mengaktifkan pencatatan audit | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| Pergeseran Merah.6 | Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Pergeseran Merah.7 | Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Pergeseran Merah.8 | Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Pergeseran Merah.9 | Cluster Redshift tidak boleh menggunakan nama database default | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Pergeseran Merah.10 | Cluster Redshift harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| Pergeseran Merah.11 | Cluster Redshift harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Pergeseran Merah.12 | Pemberitahuan berlangganan acara Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Pergeseran Merah.13 | Cuplikan klaster Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Pergeseran Merah.14 | Grup subnet cluster Redshift harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Pergeseran Merah.15 | Grup keamanan Redshift harus mengizinkan masuknya pada port cluster hanya dari asal yang dibatasi | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | Berkala | |
| Pergeseran Merah.16 | Grup subnet cluster Redshift harus memiliki subnet dari beberapa Availability Zone | NIST SP 800-53 Wahyu 5 | MEDIUM | Perubahan dipicu | |
| Route53.1 | Pemeriksaan kesehatan Route 53 harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Route53.2 | Rute 53 zona yang dihosting publik harus mencatat kueri DNS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| S3.1 | Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | Berkala | |
| S3.2 | Bucket tujuan umum S3 harus memblokir akses baca publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | Perubahan dipicu dan periodik | |
| S3.3 | Bucket tujuan umum S3 harus memblokir akses tulis publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | Perubahan dipicu dan periodik | |
| S3.5 | Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | Perubahan dipicu | |
| S3.6 | Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | Perubahan dipicu | |
| S3.7 | Bucket tujuan umum S3 harus menggunakan replikasi lintas wilayah | PCI DSS v3.2.1, NIST SP 800-53 Wahyu 5 | RENDAH | Perubahan dipicu | |
| S3.8 | Bucket tujuan umum S3 harus memblokir akses publik | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, Praktik Terbaik Keamanan AWS Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | Perubahan dipicu | |
| S3.9 | Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | Perubahan dipicu | |
| S3.10 | Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup | NIST SP 800-53 Wahyu 5 | MEDIUM | Perubahan dipicu | |
| S3.11 | Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara | NIST SP 800-53 Wahyu 5 | MEDIUM | Perubahan dipicu | |
| S3.12 | ACLs tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | Perubahan dipicu | |
| S3.13 | Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | RENDAH | Perubahan dipicu | |
| S3.14 | Bucket tujuan umum S3 harus mengaktifkan versi | NIST SP 800-53 Wahyu 5 | RENDAH | Perubahan dipicu | |
| S3.15 | Bucket tujuan umum S3 harus mengaktifkan Object Lock | NIST SP 800-53 Wahyu 5, PCI DSS v4.0.1 | MEDIUM | Perubahan dipicu | |
| S3.17 | Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys | NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | Perubahan dipicu | |
| S3.19 | Titik akses S3 harus mengaktifkan pengaturan akses publik blok | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | KRITIS | Perubahan dipicu | |
| S3.20 | Bucket tujuan umum S3 harus mengaktifkan penghapusan MFA | Tolok Ukur AWS Yayasan CIS v3.0.0, Tolok Ukur AWS Yayasan CIS v1.4.0, NIST SP 800-53 Rev. 5 | RENDAH | Perubahan dipicu | |
| S3.22 | Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek | Tolok Ukur AWS Yayasan CIS v3.0.0, PCI DSS v4.0.1 | MEDIUM | Berkala | |
| S3.23 | Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek | Tolok Ukur AWS Yayasan CIS v3.0.0, PCI DSS v4.0.1 | MEDIUM | Berkala | |
| S3.24 | Titik Akses Multi-Wilayah S3 harus mengaktifkan pengaturan akses publik yang diblokir | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | TINGGI | Perubahan dipicu | |
| SageMaker.1 | Instans notebook Amazon SageMaker AI seharusnya tidak memiliki akses internet langsung | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Berkala |
| SageMaker.2 | SageMaker instance notebook harus diluncurkan dalam VPC khusus | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| SageMaker.3 | Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | TINGGI | |
Perubahan dipicu |
| SageMaker.4 | SageMaker varian produksi endpoint harus memiliki jumlah instance awal yang lebih besar dari 1 | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Berkala | |
| SageMaker.5 | SageMaker model harus memblokir lalu lintas masuk | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| SecretsManager.1 | Rahasia Secrets Manager harus mengaktifkan rotasi otomatis | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| SecretsManager.2 | Rahasia Secrets Manager yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Perubahan dipicu |
| SecretsManager.3 | Hapus rahasia Secrets Manager yang tidak digunakan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Berkala |
| SecretsManager.4 | Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | MEDIUM | |
Berkala |
| SecretsManager.5 | Rahasia Secrets Manager harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| ServiceCatalog.1 | Portofolio Service Catalog harus dibagikan hanya dalam suatu organisasi AWS | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | TINGGI | Berkala | |
| SES.1 | Daftar kontak SES harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| SES.2 | Set konfigurasi SES harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| SNS.1 | Topik SNS harus dienkripsi saat istirahat menggunakan AWS KMS | NIST SP 800-53 Wahyu 5 | MEDIUM | Perubahan dipicu | |
| SNS.3 | Topik SNS harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| SNS.4 | Kebijakan akses topik SNS seharusnya tidak mengizinkan akses publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | TINGGI | Perubahan dipicu | |
| SQS.1 | Antrian Amazon SQS harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| SQ.2 | Antrian SQS harus ditandai | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| SSM.1 | EC2 Instance harus dikelola oleh AWS Systems Manager | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| SSM.2 | EC2 instans yang dikelola oleh Systems Manager harus memiliki status kepatuhan patch COMPLIANT setelah instalasi patch | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | TINGGI | |
Perubahan dipicu |
| SSM.3 | EC2 instans yang dikelola oleh Systems Manager harus memiliki status kepatuhan asosiasi COMPLIANT | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Standar yang Dikelola Layanan: AWS Control Tower | RENDAH | |
Perubahan dipicu |
| SSM.4 | Dokumen SSM tidak boleh bersifat publik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | KRITIS | |
Berkala |
| StepFunctions.1 | Mesin status Step Functions harus mengaktifkan logging | AWS Praktik Terbaik Keamanan Dasar v1.0.0, PCI DSS v4.0.1 | MEDIUM | |
Perubahan dipicu |
| StepFunctions.2 | Aktivitas Step Functions harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Transfer.1 | Alur kerja Transfer Family harus diberi tag | AWS Standar Penandaan Sumber Daya | RENDAH | Perubahan dipicu | |
| Transfer.2 | Server Transfer Family tidak boleh menggunakan protokol FTP untuk koneksi endpoint | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | Berkala | |
| WAF.1 | AWS Pencatatan ACL Web Global WAF Classic harus diaktifkan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIUM | |
Berkala |
| WAF.2 | AWS Aturan WAF Classic Regional harus memiliki setidaknya satu syarat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| WAF.3 | AWS Kelompok aturan WAF Classic Regional harus memiliki setidaknya satu aturan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| WAF.4 | AWS Web WAF Classic Regional ACLs harus memiliki setidaknya satu aturan atau kelompok aturan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| WAF.6 | AWS Aturan global WAF Classic harus memiliki setidaknya satu syarat | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| WAF.7 | AWS Grup aturan global WAF Classic harus memiliki setidaknya satu aturan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| WAF.8 | AWS Web global WAF Classic ACLs harus memiliki setidaknya satu aturan atau grup aturan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| WAF.10 | AWS Web WAF ACLs harus memiliki setidaknya satu aturan atau kelompok aturan | AWS Praktik Terbaik Keamanan Dasar v1.0.0, Standar yang Dikelola Layanan: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| WAF.11 | AWS Pencatatan ACL web WAF harus diaktifkan | NIST SP 800-53 Wahyu 5, PCI DSS v4.0.1 | RENDAH | |
Berkala |
| WAF.12 | AWS Aturan WAF harus mengaktifkan CloudWatch metrik | AWS Praktik Terbaik Keamanan Dasar v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Perubahan dipicu |
| WorkSpaces.1 | WorkSpaces volume pengguna harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu | |
| WorkSpaces.2 | WorkSpaces volume root harus dienkripsi saat istirahat | AWS Praktik Terbaik Keamanan Dasar v1.0.0 | MEDIUM | Perubahan dipicu |
Topik
- Kontrol Security Hub untuk Akun AWS
- Kontrol Security Hub untuk API Gateway
- Kontrol Security Hub untuk AWS AppConfig
- Kontrol Security Hub untuk Amazon AppFlow
- Kontrol Security Hub untuk AWS App Runner
- Kontrol Security Hub untuk AWS AppSync
- Kontrol Security Hub untuk Athena
- Kontrol Security Hub untuk AWS Backup
- Kontrol Security Hub untuk AWS Batch
- Kontrol Security Hub untuk ACM
- Kontrol Security Hub untuk AWS CloudFormation
- Kontrol Security Hub untuk CloudFront
- Kontrol Security Hub untuk CloudTrail
- Kontrol Security Hub untuk CloudWatch
- Kontrol Security Hub untuk CodeArtifact
- Kontrol Security Hub untuk CodeBuild
- Kontrol Security Hub untuk Amazon CodGuru Profiler
- Kontrol Security Hub untuk Amazon CodeGuru Reviewer
- Kontrol Security Hub untuk Amazon Cognito
- Kontrol Security Hub untuk AWS Config
- Kontrol Security Hub untuk Amazon Connect
- Kontrol Security Hub untuk Amazon Data Firehose
- Kontrol Security Hub untuk DataSync
- Kontrol Security Hub untuk Detektif
- Kontrol Security Hub untuk AWS DMS
- Kontrol Security Hub untuk Amazon DocumentDB
- Kontrol Security Hub untuk DynamoDB
- Kontrol Security Hub untuk Amazon EC2
- Kontrol Security Hub untuk Auto Scaling
- Kontrol Security Hub untuk Amazon ECR
- Kontrol Security Hub untuk Amazon ECS
- Kontrol Security Hub untuk Amazon EFS
- Kontrol Security Hub untuk Amazon EKS
- Kontrol Security Hub untuk ElastiCache
- Kontrol Security Hub untuk Elastic Beanstalk
- Kontrol Security Hub untuk Elastic Load Balancing
- Security Hub untuk Elasticsearch
- Kontrol Security Hub untuk Amazon EMR
- Kontrol Security Hub untuk EventBridge
- Kontrol Security Hub untuk Amazon Fraud Detector
- Kontrol Security Hub untuk Amazon FSx
- Kontrol Security Hub untuk Global Accelerator
- Kontrol Security Hub untuk AWS Glue
- Kontrol Security Hub untuk GuardDuty
- Kontrol Security Hub untuk IAM
- Kontrol Security Hub untuk Amazon Inspector
- Kontrol Security Hub untuk AWS IoT
- Kontrol Security Hub untuk AWS Acara IoT
- Kontrol Security Hub untuk AWS IoT SiteWise
- Kontrol Security Hub untuk AWS IoT TwinMaker
- Kontrol Security Hub untuk AWS IoT Wireless
- Kontrol Security Hub untuk Amazon IVS
- Kontrol Security Hub untuk Amazon Keyspaces
- Kontrol Security Hub untuk Kinesis
- Kontrol Security Hub untuk AWS KMS
- Kontrol Security Hub untuk Lambda
- Kontrol Security Hub untuk Macie
- Kontrol Security Hub untuk Amazon MSK
- Kontrol Security Hub untuk Amazon MQ
- Kontrol Security Hub untuk Neptunus
- Kontrol Security Hub untuk Network Firewall
- Kontrol Security Hub untuk OpenSearch Layanan
- Kontrol Security Hub untuk AWS Private CA
- Kontrol Security Hub untuk Amazon RDS
- Kontrol Security Hub untuk Amazon Redshift
- Kontrol Security Hub untuk Route 53
- Kontrol Security Hub untuk Amazon S3
- Kontrol Security Hub untuk SageMaker AI
- Kontrol Security Hub untuk Secrets Manager
- Kontrol Security Hub untuk Service Catalog
- Kontrol Security Hub untuk Amazon SES
- Kontrol Security Hub untuk Amazon SNS
- Kontrol Security Hub untuk Amazon SQS
- Kontrol Security Hub untuk Step Functions
- Kontrol Security Hub untuk Systems Manager
- Kontrol Security Hub untuk Transfer Family
- Kontrol Security Hub untuk AWS WAF
- Kontrol Security Hub untuk WorkSpaces
