Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Standar yang Dikelola Layanan: AWS Control Tower
Bagian ini memberikan informasi tentang Standar yang Dikelola Layanan:. AWS Control Tower
Apa itu Standar yang Dikelola Layanan:? AWS Control Tower
Standar ini dirancang untuk pengguna AWS Security Hub dan AWS Control Tower. Ini memungkinkan Anda mengonfigurasi kontrol proaktif AWS Control Tower di samping kontrol detektif Security Hub dalam layanan. AWS Control Tower
Kontrol proaktif membantu memastikan bahwa Anda Akun AWS mempertahankan kepatuhan karena mereka menandai tindakan yang dapat menyebabkan pelanggaran kebijakan atau kesalahan konfigurasi. Kontrol Detektif mendeteksi ketidakpatuhan sumber daya (misalnya, kesalahan konfigurasi) di dalam Anda. Akun AWS Dengan mengaktifkan kontrol proaktif dan detektif untuk AWS lingkungan Anda, Anda dapat meningkatkan postur keamanan Anda pada berbagai tahap pengembangan.
Tip
Standar yang dikelola layanan berbeda dari standar yang dikelola AWS Security Hub. Misalnya, Anda harus membuat dan menghapus standar yang dikelola layanan di layanan pengelolaan. Untuk informasi selengkapnya, lihat Standar yang dikelola layanan di Security Hub.
Di konsol Security Hub dan API, Anda dapat melihat Standar yang Dikelola Layanan: AWS Control Tower bersama standar Security Hub lainnya.
Menciptakan standar
Standar ini hanya tersedia jika Anda membuat standar di AWS Control Tower. AWS Control Tower membuat standar saat Anda pertama kali mengaktifkan kontrol yang berlaku dengan menggunakan salah satu metode berikut:
-
AWS Control Tower konsol
-
AWS Control Tower API (panggil
EnableControlAPI) -
AWS CLI (jalankan
enable-controlperintah)
Kontrol Security Hub diidentifikasi di AWS Control Tower konsol sebagai SH. ControlID(misalnya, SH. CodeBuild.1).
Bila Anda membuat standar, jika Anda belum mengaktifkan Security Hub, AWS Control Tower juga mengaktifkan Security Hub untuk Anda.
Jika belum menyiapkan AWS Control Tower, Anda tidak dapat melihat atau mengakses standar ini di konsol Security Hub, Security Hub API, atau AWS CLI. Bahkan jika Anda telah menyiapkan AWS Control Tower, Anda tidak dapat melihat atau mengakses standar ini di Security Hub tanpa terlebih dahulu membuat standar dalam AWS Control Tower menggunakan salah satu metode sebelumnya.
Standar ini hanya tersedia di Wilayah AWS tempat yang AWS Control Tower tersedia, termasuk AWS GovCloud (US).
Mengaktifkan dan menonaktifkan kontrol dalam standar
Setelah Anda membuat standar di AWS Control Tower konsol, Anda dapat melihat standar dan kontrol yang tersedia di kedua layanan.
Setelah Anda pertama kali membuat standar, itu tidak memiliki kontrol apa pun yang diaktifkan secara otomatis. Selain itu, saat Security Hub menambahkan kontrol baru, kontrol tersebut tidak diaktifkan secara otomatis untuk Standar yang Dikelola Layanan:. AWS Control Tower Anda harus mengaktifkan dan menonaktifkan kontrol untuk standar AWS Control Tower dengan menggunakan salah satu metode berikut:
-
AWS Control Tower konsol
-
AWS Control Tower API (panggil
EnableControldanDisableControlAPIs) -
AWS CLI (jalankan
enable-controldan disable-controlperintah)
Saat Anda mengubah status pengaktifan kontrol AWS Control Tower, perubahan tersebut juga tercermin di Security Hub.
Namun, menonaktifkan kontrol di Security Hub yang diaktifkan AWS Control Tower menghasilkan penyimpangan kontrol. Status kontrol di AWS Control Tower menunjukkan sebagaiDrifted. Anda dapat mengatasi penyimpangan ini dengan memilih Registrasi ulang OU di AWS Control Tower konsol, atau dengan menonaktifkan dan mengaktifkan kembali kontrol dalam AWS Control Tower menggunakan salah satu metode sebelumnya.
Menyelesaikan tindakan pemberdayaan dan penonaktifan AWS Control Tower membantu Anda menghindari penyimpangan kontrol.
Saat Anda mengaktifkan atau menonaktifkan kontrol AWS Control Tower, tindakan akan berlaku di seluruh akun dan Wilayah. Jika Anda mengaktifkan dan menonaktifkan kontrol di Security Hub (tidak disarankan untuk standar ini), tindakan hanya berlaku untuk akun saat ini dan Wilayah.
catatan
Konfigurasi pusat tidak dapat digunakan untuk mengelola Standar yang Dikelola Layanan:. AWS Control Tower Jika Anda menggunakan konfigurasi pusat, Anda hanya dapat menggunakan AWS Control Tower layanan untuk mengaktifkan dan menonaktifkan kontrol dalam standar ini untuk akun yang dikelola secara terpusat.
Melihat status pemberdayaan dan status kontrol
Anda dapat melihat status pemberdayaan kontrol dengan menggunakan salah satu metode berikut:
-
Konsol Security Hub, Security Hub API, atau AWS CLI
-
AWS Control Tower konsol
-
AWS Control Tower API untuk melihat daftar kontrol yang diaktifkan (panggil
ListEnabledControlsAPI) -
AWS CLI untuk melihat daftar kontrol yang diaktifkan (jalankan
list-enabled-controlsperintah)
Kontrol yang Anda nonaktifkan AWS Control Tower memiliki status pengaktifan Disabled di Security Hub kecuali Anda secara eksplisit mengaktifkan kontrol tersebut di Security Hub.
Security Hub menghitung status kontrol berdasarkan status alur kerja dan status kepatuhan temuan kontrol. Untuk informasi selengkapnya tentang status pemberdayaan dan status kontrol, lihatMelihat detail kontrol.
Berdasarkan status kontrol, Security Hub menghitung skor keamanan untuk Service-Managed Standard:. AWS Control Tower Skor ini hanya tersedia di Security Hub. Selain itu, Anda hanya dapat melihat temuan kontrol di Security Hub. Skor keamanan standar dan temuan kontrol tidak tersedia di AWS Control Tower.
catatan
Saat Anda mengaktifkan kontrol untuk Standar yang Dikelola Layanan: AWS Control Tower, Security Hub mungkin memerlukan waktu hingga 18 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan terkait AWS Config layanan yang ada. Anda mungkin memiliki aturan terkait layanan yang ada jika Anda telah mengaktifkan standar dan kontrol lain di Security Hub. Untuk informasi selengkapnya, lihat Jadwal untuk menjalankan pemeriksaan keamanan.
Menghapus standar
Anda dapat menghapus standar ini AWS Control Tower dengan menonaktifkan semua kontrol yang berlaku menggunakan salah satu metode berikut:
-
AWS Control Tower konsol
-
AWS Control Tower API (panggil
DisableControlAPI) -
AWS CLI (jalankan
disable-controlperintah)
Menonaktifkan semua kontrol akan menghapus standar di semua akun terkelola dan Wilayah yang diatur di. AWS Control Tower Menghapus standar di AWS Control Tower menghapusnya dari halaman Standar konsol Security Hub, dan Anda tidak dapat lagi mengaksesnya dengan menggunakan Security Hub API atau AWS CLI.
catatan
Menonaktifkan semua kontrol dari standar di Security Hub tidak menonaktifkan atau menghapus standar.
Menonaktifkan layanan Security Hub akan menghapus Standar yang Dikelola Layanan: AWS Control Tower dan standar lain yang telah Anda aktifkan.
Menemukan format bidang untuk Standar yang Dikelola Layanan: AWS Control Tower
Saat Anda membuat Service-Managed Standard: AWS Control Tower dan mengaktifkan kontrol untuk itu, Anda akan mulai menerima temuan kontrol di Security Hub. Security Hub melaporkan temuan kontrol diAWS Format Pencarian Keamanan (ASFF). Ini adalah nilai ASFF untuk Amazon Resource Name (ARN) standar ini dan: GeneratorId
-
ARN standar —
arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1
Untuk contoh temuan Standar yang Dikelola Layanan: AWS Control Tower, lihat. Temuan kontrol sampel di Security Hub
Kontrol yang berlaku untuk Standar yang Dikelola Layanan: AWS Control Tower
Service-Managed Standard: AWS Control Tower mendukung subset kontrol yang merupakan bagian dari standar AWS Foundational Security Best Practices (FSBP). Pilih kontrol dari tabel berikut untuk melihat informasi tentangnya, termasuk langkah-langkah perbaikan untuk temuan yang gagal.
Daftar berikut menunjukkan kontrol yang tersedia untuk Standar yang Dikelola Layanan:. AWS Control Tower Batas regional pada kontrol cocok dengan batas Regional pada kontrol wajar dalam standar FSBP. Daftar ini menunjukkan kontrol keamanan agnostik standar. IDs Di AWS Control Tower konsol, kontrol IDs diformat sebagai SH. ControlID(misalnya SH. CodeBuild.1). Di Security Hub, jika temuan kontrol konsolidasi dimatikan di akun Anda, ProductFields.ControlId bidang tersebut menggunakan ID kontrol berbasis standar. ID kontrol berbasis standar diformat sebagai CT. ControlId(misalnya, CT. CodeBuild.1).
-
[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS
-
[ACM.1] Sertifikat yang diimpor dan ACM diterbitkan harus diperbarui setelah jangka waktu tertentu
-
[ACM.2] RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[APIGateway.1] API Gateway REST dan logging WebSocket API eksekusi harus diaktifkan
-
[APIGateway.3] REST API Tahapan API gateway harus mengaktifkan AWS X-Ray penelusuran
-
[APIGateway.4] API Gateway harus dikaitkan dengan Web WAF ACL
-
[APIGateway.5] Data REST API cache API gateway harus dienkripsi saat istirahat
-
[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2
-
[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API
-
[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2
-
[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat
-
[CloudTrail.4] validasi file CloudTrail log harus diaktifkan
-
[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config
-
[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan
-
[DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time
-
[DynamoDB.3] Cluster DynamoDB Accelerator () harus dienkripsi saat istirahat DAX
-
[EC2.1] Snapshot Amazon EBS tidak boleh dipulihkan secara publik
-
[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar
-
[EC2.3] Volume Amazon EBS yang terpasang harus dienkripsi saat istirahat
-
[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs
-
[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2
-
[EC2.9] EC2 Instans Amazon seharusnya tidak memiliki alamat publik IPv4
-
[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus
-
[EC2.17] EC2 Instans Amazon seharusnya tidak menggunakan banyak ENIs
-
[EC2.19] Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi
-
[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus siap
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan
-
[ECR.1] repositori ECR pribadi harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] repositori ECR pribadi harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] ECR repositori harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.1] Definisi ECS tugas Amazon harus memiliki mode jaringan yang aman dan definisi pengguna.
-
[ECS.3] definisi ECS tugas tidak boleh membagikan namespace proses host
-
[ECS.4] ECS kontainer harus berjalan sebagai non-hak istimewa
-
[ECS.5] ECS wadah harus dibatasi pada akses hanya-baca ke sistem file root
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[EKS.1] titik akhir EKS cluster tidak boleh diakses oleh publik
-
[EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan atau penghentian HTTPS TLS
-
[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid
-
[ELB.5] Pencatatan Aplikasi dan Classic Load Balancer harus diaktifkan
-
[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan
-
[ELB.7] Classic Load Balancer harus mengaktifkan pengurasan koneksi
-
[ELB.9] Penyeimbang Beban Klasik harus mengaktifkan penyeimbangan beban lintas zona
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[EMR.1] Node primer cluster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit
-
[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data
-
[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus
-
[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja
-
[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
-
[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[MSK.1] MSK cluster harus dienkripsi saat transit di antara node broker
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Cuplikan cluster DB Neptunus seharusnya tidak bersifat publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat
-
[RDS.4] Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat
-
[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone
-
[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB
-
[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan
-
[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
-
[RDS.10] Otentikasi IAM harus dikonfigurasi untuk instance RDS
-
[RDS.11] Instans RDS harus mengaktifkan pencadangan otomatis
-
[RDS.12] Otentikasi IAM harus dikonfigurasi untuk cluster RDS
-
[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot
-
[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[Redshift.1] Cluster Amazon Redshift harus melarang akses publik
-
[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
-
[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit
-
[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama
-
[Redshift.7] Cluster Redshift harus menggunakan perutean yang ditingkatkan VPC
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik
-
[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik
-
[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk digunakan SSL
-
[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS
-
[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server
-
[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys
-
[SageMaker.1] Instans notebook Amazon SageMaker AI seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] Instans notebook SageMaker AI harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance notebook SageMaker AI
-
[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis
-
[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan
-
[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu
-
[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager
-
[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat
-
[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan
-
[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Untuk informasi selengkapnya tentang standar ini, lihat Kontrol Security Hub di Panduan AWS Control Tower Pengguna.
