本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
NIST 800 181 的操作最佳實務
合規套件提供一般用途的合規架構,旨在讓您使用受管或自訂 AWS Config 規則和 AWS Config 修補動作來建立安全、營運或成本最佳化控管檢查。一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。
以下提供 NIST 800 181 與 AWS 受管 Config 規則之間的範例映射。每個 Config 規則都適用於特定 AWS 資源,並與一或多個 NIST 800 181 控制項相關。一個 NIST 800 181 控制可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引,請參閱下方資料表。
| 控制 ID | 控制描述 | AWS 組態規則 | 指引 |
|---|---|---|---|
| T0008 | 分析並規劃資料容量要求的預期變更。 | Amazon DynamoDB 自動擴展使用 AWS Application Auto Scaling 服務來調整佈建的輸送量容量,以自動回應實際的流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | 為了協助處理資料備份程序,請確保您的 Amazon DynamoDB 資料表是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | 啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原,藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | 啟用此規則可確保檢查 Amazon DynamoDB 資料表上的佈建輸送容量。這是每份資料表能夠支援的讀取/寫入活動量。DynamoDB 會使用這項資訊保留足夠的系統資源,以便符合您的輸送量要求。當輸送量接近客戶帳戶的上限時,此規則會產生提醒。此規則可讓您選擇是否設定 accountRCUThresholdPercentage (Config 預設值:80) 和 accountWCUThresholdPercentage (Config 預設值:80) 參數。實際值應反映貴組織的政策。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計劃的一部分。 AWS 備份是全受管備份服務,具有以政策為基礎的備份解決方案。此解決方案可簡化備份管理,使您能夠符合業務與法規的備份合規要求。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | 啟用自動備份後,Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新叢集,從最新的備份還原您的資料。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | 為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡,以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式處理一或多個執行個體遺失的能力。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | 為了協助處理資料備份程序,請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 備份計劃的一部分 AWS 。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時,Amazon RDS 會自動建立主要資料庫執行個體,並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行,而且具備高度可靠的設計。如果基礎設施失敗,Amazon RDS 會執行自動容錯移轉到待命執行個體,以便您可以在容錯移轉完成後立即恢復資料庫操作。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | 請確保 Amazon Redshift 叢集具有自動快照,以利處理資料備份。當叢集的自動快照已啟用時,Redshift 將定期為該叢集拍攝快照。根據預設,Redshift 會每 8 小時或每個資料變更節點每 5 GB 拍攝一次快照,以先發生者為準。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製,以協助確保維護資料可用性。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | 為了協助處理資料備份程序,請確保您 AWS 的備份計劃設定為最低頻率和保留。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredFrequencyValue (Config 預設值:1)、requiredRetentionDays (Config 預設值:35) 以及 requiredFrequencyUnit (Config 預設值:days) 參數。實際值應反映貴組織的要求。 | |
| T0008 | 分析並規劃資料容量要求的預期變更。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Compute Cloud (Amazon EC2) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 透過確保 ACM AWS 發行 X509 憑證,確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要 daysToExpiration 的值 (AWS 基本安全最佳實務值:90)。實際值應反映貴組織的政策。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助保護靜態資料,請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取,因為這可能會導致意外存取應用程式或伺服器。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助處理資料備份程序,請確保您 AWS 的備份計劃設定為最低頻率和保留。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredFrequencyValue (Config 預設值:1)、requiredRetentionDays (Config 預設值:35) 以及 requiredFrequencyUnit (Config 預設值:days) 參數。實際值應反映貴組織的要求。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保您的 AWS 備份復原點具有連接的資源型政策,以防止刪除復原點。使用資源型政策防止刪除復原點,有助於防止意外或故意刪除。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 由於可能存在敏感資料,且為了協助保護靜態資料,請確保已啟用 AWS CloudTrail 追蹤的加密。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後,日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案,而無需偵測。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 啟用金鑰輪換功能,以確保金鑰於加密期間結束後即輪換。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照,並備份整個資料庫執行個體。系統可讓您設定特定保留期,以符合您的恢復能力要求。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 DMS 複寫執行個體無法公開存取,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | Amazon DynamoDB 自動擴展使用 AWS Application Auto Scaling 服務來調整佈建的輸送量容量,以自動回應實際的流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原,藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計劃的一部分。 AWS 備份是全受管備份服務,具有以政策為基礎的備份解決方案。此解決方案可簡化備份管理,使您能夠符合業務與法規的備份合規要求。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 EBS 快照不可公開還原,藉此管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Compute Cloud (Amazon EC2) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 啟用自動備份後,Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新叢集,從最新的備份還原您的資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon OpenSearch Service (OpenSearch Service) 網域啟用加密功能。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡,以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式處理一或多個執行個體遺失的能力。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 此規則可確保 Elastic Load Balancing 已啟用刪除保護。使用此功能可防止意外或惡意刪除負載平衡器,從而導致應用程式喪失可用性。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 Amazon EMR 叢集主節點無法公開存取,藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助保護靜態資料,請確保必要的客戶主金鑰 CMKs) 未排定在 AWS 金鑰管理服務 (AWS KMS) 中刪除。因為刪除金鑰有時為必要,而這個規則可協助檢查所有排程要刪除的金鑰,以防無意中排程刪除金鑰。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 AWS Lambda 函數無法公開存取,藉此管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon Elasticsearch Service (Amazon ES) 網域啟用加密功能。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體,從而導致應用程式喪失可用性。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助處理資料備份程序,請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 備份計劃的一部分 AWS 。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時,Amazon RDS 會自動建立主要資料庫執行個體,並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行,而且具備高度可靠的設計。如果基礎設施失敗,Amazon RDS 會執行自動容錯移轉到待命執行個體,以便您可以在容錯移轉完成後立即恢復資料庫操作。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 請確保 Amazon Redshift 叢集具有自動快照,以利處理資料備份。當叢集的自動快照已啟用時,Redshift 將定期為該叢集拍攝快照。根據預設,Redshift 會每 8 小時或每個資料變更節點每 5 GB 拍攝一次快照,以先發生者為準。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值:TRUE) 和 loggingEnabled (Config 預設值:TRUE) 設定一個值。實際值應反映貴組織的政策。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 Amazon Redshift 叢集不公開,以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值:True)、blockPublicPolicy (Config 預設值:True)、blockPublicAcls (Config 預設值:True) 以及 restrictPublicBuckets 參數 (Config 預設值:True)。實際值應反映貴組織的政策。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製,以協助確保維護資料可用性。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助保護靜態資料,請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助保護靜態資料,請確定已啟用 SageMaker 端點的金鑰管理服務 (AWS KMS) 加密 AWS 。由於 SageMaker 端點中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助保護靜態資料,請確定已啟用 SageMaker 筆記本的金鑰管理服務 (AWS KMS) 加密 AWS 。由於 SageMaker 筆記本中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 AWS Systems Manager (SSM) 文件不公開,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力,以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線,您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定,以允許後端系統驗證來自 API Gateway 的請求。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 為了協助保護靜態資料,請確定您的 Amazon Redshift 叢集已啟用 Key AWS Management Service (AWS KMS) 加密。由於 Redshift 叢集中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0017 | 套用服務導向安全架構原則,以滿足組織的機密性、完整性和可用性要求。 | 確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路,藉此管理 AWS 對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| T0024 | 收集並維護符合系統網路安全報告所需的資料。 | 確保為日誌群組保留最短的事件日誌資料持續時間,以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料,就很難重建和識別潛在的惡意事件。 | |
| T0042 | 與 Cyber Defense Analysts 協調,以管理特殊網路防禦應用程式的規則和簽章更新 (例如,入侵偵測/保護系統、防毒和內容黑名單)。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0047 | 建立事件資料關聯以識別特定漏洞,並提出有助於快速修復的建議。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 確保您的 AWS 備份復原點具有連接的資源型政策,以防止刪除復原點。使用資源型政策防止刪除復原點,有助於防止意外或故意刪除。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照,並備份整個資料庫執行個體。系統可讓您設定特定保留期,以符合您的恢復能力要求。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | Amazon DynamoDB 自動擴展使用 AWS Application Auto Scaling 服務來調整佈建的輸送量容量,以自動回應實際的流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 為了協助處理資料備份程序,請確保您的 Amazon DynamoDB 資料表是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原,藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 啟用此規則可確保檢查 Amazon DynamoDB 資料表上的佈建輸送容量。這是每份資料表能夠支援的讀取/寫入活動量。DynamoDB 會使用這項資訊保留足夠的系統資源,以便符合您的輸送量要求。當輸送量接近客戶帳戶的上限時,此規則會產生提醒。此規則可讓您選擇是否設定 accountRCUThresholdPercentage (Config 預設值:80) 和 accountWCUThresholdPercentage (Config 預設值:80) 參數。實際值應反映貴組織的政策。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計劃的一部分。 AWS 備份是全受管備份服務,具有以政策為基礎的備份解決方案。此解決方案可簡化備份管理,使您能夠符合業務與法規的備份合規要求。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 啟用自動備份後,Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新叢集,從最新的備份還原您的資料。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡,以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式處理一或多個執行個體遺失的能力。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 此規則可確保 Elastic Load Balancing 已啟用刪除保護。使用此功能可防止意外或惡意刪除負載平衡器,從而導致應用程式喪失可用性。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體,從而導致應用程式喪失可用性。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 為了協助處理資料備份程序,請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 備份計劃的一部分 AWS 。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時,Amazon RDS 會自動建立主要資料庫執行個體,並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行,而且具備高度可靠的設計。如果基礎設施失敗,Amazon RDS 會執行自動容錯移轉到待命執行個體,以便您可以在容錯移轉完成後立即恢復資料庫操作。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 請確保 Amazon Redshift 叢集具有自動快照,以利處理資料備份。當叢集的自動快照已啟用時,Redshift 將定期為該叢集拍攝快照。根據預設,Redshift 會每 8 小時或每個資料變更節點每 5 GB 拍攝一次快照,以先發生者為準。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製,以協助確保維護資料可用性。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力,以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線,您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 為了協助處理資料備份程序,請確保您 AWS 的備份計劃設定為最低頻率和保留。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredFrequencyValue (Config 預設值:1)、requiredRetentionDays (Config 預設值:35) 以及 requiredFrequencyUnit (Config 預設值:days) 參數。實際值應反映貴組織的要求。 | |
| T0051 | 根據關鍵系統功能,定義適當的系統可用性層級,並確保系統要求識別適當的災難復原和營運持續性要求,以包含任何適當的容錯移轉/替代站台要求、備份要求,以及系統復原/還原的實質支援能力要求。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Compute Cloud (Amazon EC2) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 為了協助處理資料備份程序,請確保您 AWS 的備份計劃設定為最低頻率和保留。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredFrequencyValue (Config 預設值:1)、requiredRetentionDays (Config 預設值:35) 以及 requiredFrequencyUnit (Config 預設值:days) 參數。實際值應反映貴組織的要求。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 確保您的 AWS 備份復原點具有連接的資源型政策,以防止刪除復原點。使用資源型政策防止刪除復原點,有助於防止意外或故意刪除。 | |
| T0065 | 制定並實作網路備份和復原程序。 | Amazon DynamoDB 自動擴展使用 AWS Application Auto Scaling 服務來調整佈建的輸送量容量,以自動回應實際的流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 為了協助處理資料備份程序,請確保您的 Amazon DynamoDB 資料表是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計劃的一部分。 AWS 備份是全受管備份服務,具有以政策為基礎的備份解決方案。此解決方案可簡化備份管理,使您能夠符合業務與法規的備份合規要求。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Compute Cloud (Amazon EC2) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡,以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式處理一或多個執行個體遺失的能力。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 此規則可確保 Elastic Load Balancing 已啟用刪除保護。使用此功能可防止意外或惡意刪除負載平衡器,從而導致應用程式喪失可用性。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體,從而導致應用程式喪失可用性。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 為了協助處理資料備份程序,請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 備份計劃的一部分 AWS 。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0065 | 制定並實作網路備份和復原程序。 | Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時,Amazon RDS 會自動建立主要資料庫執行個體,並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行,而且具備高度可靠的設計。如果基礎設施失敗,Amazon RDS 會執行自動容錯移轉到待命執行個體,以便您可以在容錯移轉完成後立即恢復資料庫操作。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 請確保 Amazon Redshift 叢集具有自動快照,以利處理資料備份。當叢集的自動快照已啟用時,Redshift 將定期為該叢集拍攝快照。根據預設,Redshift 會每 8 小時或每個資料變更節點每 5 GB 拍攝一次快照,以先發生者為準。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力,以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線,您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。 | |
| T0065 | 制定並實作網路備份和復原程序。 | Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照,並備份整個資料庫執行個體。系統可讓您設定特定保留期,以符合您的恢復能力要求。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原,藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 啟用自動備份後,Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新叢集,從最新的備份還原您的資料。 | |
| T0065 | 制定並實作網路備份和復原程序。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。並可讓您選擇是否設定 preferredMaintenanceWindow (預設值為 sat:16:00-sat:16:30) 和 automatedSnapshotRetentionPeriod (預設值為 1)。實際值應反映貴組織的政策。 | |
| T0065 | 制定並實作網路備份和復原程序。 | Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製,以協助確保維護資料可用性。 | |
| T0065 | 制定並實作網路備份和復原程序。 | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 為了協助處理資料備份程序,請確保您 AWS 的備份計劃設定為最低頻率和保留。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredFrequencyValue (Config 預設值:1)、requiredRetentionDays (Config 預設值:35) 以及 requiredFrequencyUnit (Config 預設值:days) 參數。實際值應反映貴組織的要求。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 確保您的 AWS 備份復原點具有連接的資源型政策,以防止刪除復原點。使用資源型政策防止刪除復原點,有助於防止意外或故意刪除。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 為了協助處理資料備份程序,請確保您的 Amazon DynamoDB 資料表是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計劃的一部分。 AWS 備份是全受管備份服務,具有以政策為基礎的備份解決方案。此解決方案可簡化備份管理,使您能夠符合業務與法規的備份合規要求。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Compute Cloud (Amazon EC2) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡,以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式處理一或多個執行個體遺失的能力。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體,從而導致應用程式喪失可用性。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 為了協助處理資料備份程序,請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是 備份計劃的一部分 AWS 。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 請確保 Amazon Redshift 叢集具有自動快照,以利處理資料備份。當叢集的自動快照已啟用時,Redshift 將定期為該叢集拍攝快照。根據預設,Redshift 會每 8 小時或每個資料變更節點每 5 GB 拍攝一次快照,以先發生者為準。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照,並備份整個資料庫執行個體。系統可讓您設定特定保留期,以符合您的恢復能力要求。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | Amazon DynamoDB 自動擴展使用 AWS Application Auto Scaling 服務來調整佈建的輸送量容量,以自動回應實際的流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原,藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 啟用自動備份後,Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新叢集,從最新的備份還原您的資料。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 此規則可確保 Elastic Load Balancing 已啟用刪除保護。使用此功能可防止意外或惡意刪除負載平衡器,從而導致應用程式喪失可用性。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時,Amazon RDS 會自動建立主要資料庫執行個體,並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行,而且具備高度可靠的設計。如果基礎設施失敗,Amazon RDS 會執行自動容錯移轉到待命執行個體,以便您可以在容錯移轉完成後立即恢復資料庫操作。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製,以協助確保維護資料可用性。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。 | |
| T0070 | 為開發中的系統制定災難復原和營運持續性計畫,並確保在系統進入生產環境之前進行測試。 | 您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力,以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線,您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。 | |
| T0086 | 確保針對整合到系統設計中商業產品套用的安全修補程式,符合管理機構為預定操作環境所指定的時間表。 | 在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級,以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新,其中可能包括安全修補程式和錯誤修正。 | |
| T0086 | 確保針對整合到系統設計中商業產品套用的安全修補程式,符合管理機構為預定操作環境所指定的時間表。 | 啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序要求的 Amazon EC2 執行個體修補程式合規。 | |
| T0086 | 確保針對整合到系統設計中商業產品套用的安全修補程式,符合管理機構為預定操作環境所指定的時間表。 | 針對 Amazon Elastic Beanstalk 環境啟用受管平台更新,可確保已安裝適用於環境的最新可用平台修正、更新和功能。安裝最新的修補程式是保護系統安全的最佳實務。 | |
| T0086 | 確保針對整合到系統設計中商業產品套用的安全修補程式,符合管理機構為預定操作環境所指定的時間表。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。並可讓您選擇是否設定 preferredMaintenanceWindow (預設值為 sat:16:00-sat:16:30) 和 automatedSnapshotRetentionPeriod (預設值為 1)。實際值應反映貴組織的政策。 | |
| T0110 | 識別和/或確定安全事件是否表示違反法律,而需要採取特定法律行動。 | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會彙總、組織和排定來自多個 AWS 服務的安全提醒或問題清單的優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer,以及 AWS Firewall Manager 和 AWS 合作夥伴解決方案。 | |
| T0110 | 識別和/或確定安全事件是否表示違反法律,而需要採取特定法律行動。 | 當指標超過閾值達到指定的評估期間數,Amazon CloudWatch 警示會發出提醒。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則要求 alarmActionRequired (Config 預設值:True)、insufficientDataActionRequired (Config 預設值:True)、okActionRequired (Config 預設值:False) 皆有值。實際值應反映您環境的警示動作。 | |
| T0110 | 識別和/或確定安全事件是否表示違反法律,而需要採取特定法律行動。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0128 | 整合自動化功能,以便在可行的情況下更新或修補系統軟體,並根據系統操作環境目前和預計的修補時間表要求,制定手動更新和修補系統軟體的流程和程序。 | 在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級,以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新,其中可能包括安全修補程式和錯誤修正。 | |
| T0128 | 整合自動化功能,以便在可行的情況下更新或修補系統軟體,並根據系統操作環境目前和預計的修補時間表要求,制定手動更新和修補系統軟體的流程和程序。 | 啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序要求的 Amazon EC2 執行個體修補程式合規。 | |
| T0128 | 整合自動化功能,以便在可行的情況下更新或修補系統軟體,並根據系統操作環境目前和預計的修補時間表要求,制定手動更新和修補系統軟體的流程和程序。 | 針對 Amazon Elastic Beanstalk 環境啟用受管平台更新,可確保已安裝適用於環境的最新可用平台修正、更新和功能。安裝最新的修補程式是保護系統安全的最佳實務。 | |
| T0128 | 整合自動化功能,以便在可行的情況下更新或修補系統軟體,並根據系統操作環境目前和預計的修補時間表要求,制定手動更新和修補系統軟體的流程和程序。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。並可讓您選擇是否設定 preferredMaintenanceWindow (預設值為 sat:16:00-sat:16:30) 和 automatedSnapshotRetentionPeriod (預設值為 1)。實際值應反映貴組織的政策。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | Organizations AWS 帳戶 內的 AWS 集中式管理有助於確保帳戶合規。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或在環境中耗用過多資源。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL)),以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯,以保護其免於遭受惡意攻擊 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取,因為這可能會導致意外存取應用程式或伺服器。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量的狀態篩選來協助管理網路存取 AWS 。不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量,有助於限制遠端存取。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端內。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取,可減少環境中的意外存取。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後,您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。您也可以使用 VPC 流程日誌來監控網路流量。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值:True)、blockPublicPolicy (Config 預設值:True)、blockPublicAcls (Config 預設值:True) 以及 restrictPublicBuckets 參數 (Config 預設值:True)。實際值應反映貴組織的政策。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 AWS Systems Manager (SSM) 文件不公開,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量至 AWS 資源的狀態篩選,協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 透過確保 IAM 存取金鑰依照組織政策所指定輪換,對憑證進行授權裝置、使用者和程序的稽核。定期變更存取金鑰是安全最佳實務。這可縮短存取金鑰的作用中時間,並在金鑰洩漏時降低業務影響。此規則需要存取金鑰輪換值 (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 DMS 複寫執行個體無法公開存取,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 EBS 快照不可公開還原,藉此管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 Amazon OpenSearch Service (OpenSearch Service) 網域位於 Amazon Virtual Private Cloud (Amazon VPC) 內, AWS 以管理對雲端的存取。Amazon VPC 內的 OpenSearch Service 網域可在 Amazon VPC 內的 OpenSearch Service 與其他服務之間進行安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 透過啟用適用於 Amazon EMR 叢集的 Kerberos,即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內,Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保無法公開存取 Amazon EMR 叢集主節點,藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,確保 IAM 群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策,以允許封鎖對所有 AWS Key Management Service Key. AWS recommends 執行受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色,即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之,請建立和使用角色型 AWS 帳戶 ,以協助整合功能最少的原則。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 啟用此規則可限制對 AWS Cloud 資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在使用者名稱和密碼之外,多增加一層保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色,以控制對系統和資產的存取。在群組或角色層級指派權限,有助於降低某身分收到或保留過多權限的機會。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰,協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 AWS Lambda 函數無法公開存取,藉此管理對 AWS 雲端中資源的存取。公開存取可能會導致資源可用性降低。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 AWS Lambda 函數,以在 Amazon VPC 內的函數和其他服務之間進行安全通訊。有了這項組態,就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 Amazon Elasticsearch Service (Amazon ES) 網域位於 Amazon Virtual Private AWS Cloud (Amazon VPC) 內,以管理對雲端的存取。 Amazon Virtual Private Cloud Amazon VPC 內的 Amazon ES 網域可在 Amazon VPC 內的 Amazon ES 與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,以管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,以管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 Amazon Redshift 叢集不公開,以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值:20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保 Amazon SageMaker 筆記本不允許直接網際網路存取,以管理 AWS 對雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 此規則可確保 AWS Secrets Manager 秘密已啟用輪換。定期輪換密碼可縮短密碼的作用中時間,並可能降低密碼洩漏時所造成的業務影響。 | |
| T0144 | 管理帳戶、網路權限以及系統和設備的存取。 | 確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路,藉此管理 AWS 對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| T0151 | 監控並評估企業網路安全防護措施的有效性,以確保其提供預期的保護層級。 | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會從多個 AWS 服務彙總、組織和排定安全提醒或調查結果的優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer,以及 AWS Firewall Manager 和 AWS 合作夥伴解決方案。 | |
| T0151 | 監控並評估企業網路安全防護措施的有效性,以確保其提供預期的保護層級。 | 當指標超過閾值達到指定的評估期間數,Amazon CloudWatch 警示會發出提醒。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則要求 alarmActionRequired (Config 預設值:True)、insufficientDataActionRequired (Config 預設值:True)、okActionRequired (Config 預設值:False) 皆有值。實際值應反映您環境的警示動作。 | |
| T0151 | 監控並評估企業網路安全防護措施的有效性,以確保其提供預期的保護層級。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。這包括惡意 IPs和機器學習的清單,以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照,並備份整個資料庫執行個體。系統可讓您設定特定保留期,以符合您的恢復能力要求。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | Amazon DynamoDB 自動擴展使用 AWS Application Auto Scaling 服務來調整佈建的輸送量容量,以自動回應實際的流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 為了協助處理資料備份程序,請確保您的 Amazon DynamoDB 資料表是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原,藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 啟用此規則可確保檢查 Amazon DynamoDB 資料表上的佈建輸送容量。這是每份資料表能夠支援的讀取/寫入活動量。DynamoDB 會使用這項資訊保留足夠的系統資源,以便符合您的輸送量要求。當輸送量接近客戶帳戶的上限時,此規則會產生提醒。此規則可讓您選擇是否設定 accountRCUThresholdPercentage (Config 預設值:80) 和 accountWCUThresholdPercentage (Config 預設值:80) 參數。實際值應反映貴組織的政策。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級,以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新,其中可能包括安全修補程式和錯誤修正。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 啟用 Amazon Relational Database Service (Amazon RDS) 可協助監控 Amazon RDS 的可用性。這可讓您詳細掌握 Amazon RDS 資料庫執行個體的運作狀態。當 Amazon RDS 儲存體使用多個基礎實體裝置時,增強型監控會收集每部裝置的資料。此外,當 Amazon RDS 資料庫執行個體在多可用區部署中執行時,就會收集次要主機上每部裝置的資料,以及次要主機指標。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體,從而導致應用程式喪失可用性。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,以管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 為了協助處理資料備份程序,請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是備份計劃的一部分 AWS 。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | Amazon Relational Database Service (Amazon RDS) 中的多可用區域支援可為資料庫執行個體提供增強的可用性與持久性。佈建多可用區域資料庫執行個體時,Amazon RDS 會自動建立主要資料庫執行個體,並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行,而且具備高度可靠的設計。如果基礎設施失敗,Amazon RDS 會執行自動容錯移轉到待命執行個體,以便您可以在容錯移轉完成後立即恢復資料庫操作。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,以管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 請確保 Amazon Redshift 叢集具有自動快照,以利處理資料備份。當叢集的自動快照已啟用時,Redshift 將定期為該叢集拍攝快照。根據預設,Redshift 會每 8 小時或每個資料變更節點每 5 GB 拍攝一次快照,以先發生者為準。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值:TRUE) 和 loggingEnabled (Config 預設值:TRUE) 設定一個值。實際值應反映貴組織的政策。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。並可讓您選擇是否設定 preferredMaintenanceWindow (預設值為 sat:16:00-sat:16:30) 和 automatedSnapshotRetentionPeriod (預設值為 1)。實際值應反映貴組織的政策。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 確保 Amazon Redshift 叢集不公開,以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後,您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。您也可以使用 VPC 流程日誌來監控網路流量。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0152 | 監控並維護資料庫以確保最佳效能。 | 為了協助保護靜態資料,請確定您的 Amazon Redshift 叢集已啟用 Key AWS Management Service (AWS KMS) 加密。由於 Redshift 叢集中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0153 | 監控網路容量和效能。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 群組的 Elastic Load Balancer (ELB) 運作狀態檢查可讓您維持足夠的容量和可用性。負載平衡器會定期傳送 ping、嘗試連線或傳送請求,以測試 Auto Scaling 群組中的 Amazon EC2 執行個體運作狀態。如果執行個體未回報,流量就會傳送到新的 Amazon EC2 執行個體。 | |
| T0153 | 監控網路容量和效能。 | 啟用此規則可確保檢查 Amazon DynamoDB 資料表上的佈建輸送容量。這是每份資料表能夠支援的讀取/寫入活動量。DynamoDB 會使用這項資訊保留足夠的系統資源,以便符合您的輸送量要求。當輸送量接近客戶帳戶的上限時,此規則會產生提醒。此規則可讓您選擇是否設定 accountRCUThresholdPercentage (Config 預設值:80) 和 accountWCUThresholdPercentage (Config 預設值:80) 參數。實際值應反映貴組織的政策。 | |
| T0153 | 監控網路容量和效能。 | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| T0153 | 監控網路容量和效能。 | 您可以實作備援的站台對站台 VPN 通道以達到恢復能力要求。這會使用兩個通道來確保連線能力,以防其中一個站台對站台 VPN 連線無法使用。為免在無法使用客戶閘道時失去連線,您可以使用第二個客戶閘道設定 Amazon Virtual Private Cloud (Amazon VPC) 和虛擬私有閘道的第二個站台對站台 VPN 連線。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 確保為日誌群組保留最短的事件日誌資料持續時間,以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料,就很難重建和識別潛在的惡意事件。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 確保 Amazon OpenSearch Service 網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 此規則可確保建立 Lambda 函數的並行上限和下限。這可為函數在任何指定時間服務的請求數設定基準。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 啟用此規則可在功能失敗時,透過 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知適當的人員。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址,以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外,當 AWS 啟動新的區域時,CloudTrail 會在新的區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔,卻無需採取任何動作。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 啟用 Amazon Relational Database Service (Amazon RDS) 可協助監控 Amazon RDS 的可用性。這可讓您詳細掌握 Amazon RDS 資料庫執行個體的運作狀態。當 Amazon RDS 儲存體使用多個基礎實體裝置時,增強型監控會收集每部裝置的資料。此外,當 Amazon RDS 資料庫執行個體在多可用區部署中執行時,就會收集次要主機上每部裝置的資料,以及次要主機指標。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會從多個 AWS 服務彙總、組織和排定安全提醒或調查結果的優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer,以及 AWS Firewall Manager 和 AWS 合作夥伴解決方案。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 為了協助您在環境中記錄和監控,請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供有關 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊,以及每個請求相符規則的動作。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 群組的 Elastic Load Balancer (ELB) 運作狀態檢查可讓您維持足夠的容量和可用性。負載平衡器會定期傳送 ping、嘗試連線或傳送請求,以測試 Auto Scaling 群組中的 Amazon EC2 執行個體運作狀態。如果執行個體未回報,流量就會傳送到新的 Amazon EC2 執行個體。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | AWS Elastic Beanstalk 增強型運作狀態報告可更快速回應基礎基礎設施的運作狀態變化。這些變更可能會導致應用程式缺乏可用性。Elastic Beanstalk 增強型運作狀態報告提供狀態描述項,以評估已識別問題的嚴重性,並找出可能的調查原因。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您 內 API 呼叫活動的詳細資訊 AWS 帳戶。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫,協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶 、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體的 AWS 帳戶資訊、IP 地址和事件時間。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 當指標超過閾值達到指定的評估期間數,Amazon CloudWatch 警示會發出提醒。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則要求 alarmActionRequired (Config 預設值:True)、insufficientDataActionRequired (Config 預設值:True)、okActionRequired (Config 預設值:False) 皆有值。實際值應反映您環境的警示動作。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 啟用此規則可確保檢查 Amazon DynamoDB 資料表上的佈建輸送容量。這是每份資料表能夠支援的讀取/寫入活動量。DynamoDB 會使用這項資訊保留足夠的系統資源,以便符合您的輸送量要求。當輸送量接近客戶帳戶的上限時,此規則會產生提醒。此規則可讓您選擇是否設定 accountRCUThresholdPercentage (Config 預設值:80) 和 accountWCUThresholdPercentage (Config 預設值:80) 參數。實際值應反映貴組織的政策。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 啟用此規則可協助改善 Amazon EC2 主控台上的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體監控,並顯示執行個體以 1 分鐘為區間的監控圖形。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。這包括惡意 IPs和機器學習的清單,以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值:TRUE) 和 loggingEnabled (Config 預設值:TRUE) 設定一個值。實際值應反映貴組織的政策。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| T0154 | 監控並報告知識管理資產和資源的使用情況。 | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| T0156 | 監督並提出有關組態管理的建議。 | Organizations AWS 帳戶 內的 AWS 集中式管理有助於確保帳戶合規。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| T0156 | 監督並提出有關組態管理的建議。 | 使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本,以及有關您環境的其他詳細資訊。 | |
| T0156 | 監督並提出有關組態管理的建議。 | 使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的受管執行個體指派組態狀態,並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態,以及環境其他詳細資訊的基準。 | |
| T0156 | 監督並提出有關組態管理的建議。 | 啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序要求的 Amazon EC2 執行個體修補程式合規。 | |
| T0156 | 監督並提出有關組態管理的建議。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。並可讓您選擇是否設定 preferredMaintenanceWindow (預設值為 sat:16:00-sat:16:30) 和 automatedSnapshotRetentionPeriod (預設值為 1)。實際值應反映貴組織的政策。 | |
| T0156 | 監督並提出有關組態管理的建議。 | 針對 Amazon Elastic Beanstalk 環境啟用受管平台更新,可確保已安裝適用於環境的最新可用平台修正、更新和功能。安裝最新的修補程式是保護系統安全的最佳實務。 | |
| T0156 | 監督並提出有關組態管理的建議。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值:20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | |
| T0156 | 監督並提出有關組態管理的建議。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過提供輸入和輸出網路流量至 AWS 資源的狀態篩選,協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | |
| T0156 | 監督並提出有關組態管理的建議。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。 | |
| T0160 | 修補網路漏洞,以確保資訊受到保護免於外界威脅。 | 在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級,以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新,其中可能包括安全修補程式和錯誤修正。 | |
| T0160 | 修補網路漏洞,以確保資訊受到保護免於外界威脅。 | 使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的受管執行個體指派組態狀態,並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態,以及環境其他詳細資訊的基準。 | |
| T0160 | 修補網路漏洞,以確保資訊受到保護免於外界威脅。 | 啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序要求的 Amazon EC2 執行個體修補程式合規。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 為了協助處理資料備份程序,請確保您的 Amazon DynamoDB 資料表是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS 備份計劃的一部分。 AWS 備份是全受管備份服務,具有以政策為基礎的備份解決方案。此解決方案可簡化備份管理,使您能夠符合業務與法規的備份合規要求。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 為了協助處理資料備份程序,請確保您的 Amazon Relational Database Service (Amazon RDS) 執行個體是備份計劃的一部分 AWS 。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 請確保 Amazon Redshift 叢集具有自動快照,以利處理資料備份。當叢集的自動快照已啟用時,Redshift 將定期為該叢集拍攝快照。根據預設,Redshift 會每 8 小時或每個資料變更節點每 5 GB 拍攝一次快照,以先發生者為準。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 為了協助處理資料備份程序,請確保您 AWS 的備份計劃設定為最低頻率和保留。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。此規則可讓您設定 requiredFrequencyValue (Config 預設值:1)、requiredRetentionDays (Config 預設值:35) 以及 requiredFrequencyUnit (Config 預設值:days) 參數。實際值應反映貴組織的要求。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 確定已為您的 AWS 備份復原點啟用加密。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 確保您的 AWS 備份復原點具有連接的資源型政策,以防止刪除復原點。使用資源型政策防止刪除復原點,有助於防止意外或故意刪除。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | Amazon RDS 的備份功能可建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照,並備份整個資料庫執行個體。系統可讓您設定特定保留期,以符合您的恢復能力要求。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原,藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Compute Cloud (Amazon EC2) 資源是 AWS 備份計畫的一部分。 AWS 備份是具有政策型備份解決方案的全受管備份服務。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 啟用自動備份後,Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新叢集,從最新的備份還原您的資料。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。並可讓您選擇是否設定 preferredMaintenanceWindow (預設值為 sat:16:00-sat:16:30) 和 automatedSnapshotRetentionPeriod (預設值為 1)。實際值應反映貴組織的政策。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | Amazon Simple Storage Service (Amazon S3) 跨區域複寫 (CRR) 可讓您維持足夠的容量和可用性。CRR 支援跨 Amazon S3 儲存貯體自動進行物件的非同步複製,以協助確保維護資料可用性。 | |
| T0162 | 執行資料庫的備份和復原,以確保資料完整性。 | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | 確保為日誌群組保留最短的事件日誌資料持續時間,以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料,就很難重建和識別潛在的惡意事件。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | 確保 Amazon OpenSearch Service 網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址,以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外,當 AWS 啟動新的區域時,CloudTrail 會在新的區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔,卻無需採取任何動作。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | 為了協助您在環境中記錄和監控,請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供有關 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊,以及每個請求相符規則的動作。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您 內 API 呼叫活動的詳細資訊 AWS 帳戶。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫,協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶 、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體的 AWS 帳戶資訊、IP 地址和事件時間。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值:TRUE) 和 loggingEnabled (Config 預設值:TRUE) 設定一個值。實際值應反映貴組織的政策。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| T0166 | 使用從企業內各種來源收集的資訊來執行事件關聯,以獲得情境感知並判斷觀察到的攻擊有效性。 | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| T0168 | 根據已建立的資料庫執行雜湊比較。 | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後,日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案,而無需偵測。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或在環境中耗用過多資源。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL)),以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯,以保護其免於遭受惡意攻擊 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取,因為這可能會導致意外存取應用程式或伺服器。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量的狀態篩選來協助管理網路存取 AWS 。不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量,有助於限制遠端存取。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端內。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取,可減少環境中的意外存取。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後,您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。您也可以使用 VPC 流程日誌來監控網路流量。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值:True)、blockPublicPolicy (Config 預設值:True)、blockPublicAcls (Config 預設值:True) 以及 restrictPublicBuckets 參數 (Config 預設值:True)。實際值應反映貴組織的政策。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保 AWS Systems Manager (SSM) 文件不公開,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保 DMS 複寫執行個體無法公開存取,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保 EBS 快照不可公開還原,藉此管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保 Amazon OpenSearch Service (OpenSearch Service) 網域位於 Amazon Virtual Private Cloud (Amazon VPC) 內, AWS 以管理對雲端的存取。Amazon VPC 內的 OpenSearch Service 網域可在 Amazon VPC 內的 OpenSearch Service 與其他服務之間進行安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保無法公開存取 Amazon EMR 叢集主節點,藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保 AWS Lambda 函數無法公開存取,藉此管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 AWS Lambda 函數,以在 Amazon VPC 內的函數和其他服務之間進行安全通訊。有了這項組態,就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保 Amazon Elasticsearch Service (Amazon ES) 網域位於 Amazon Virtual Private AWS Cloud (Amazon VPC) 內,以管理對雲端的存取。 Amazon Virtual Private Cloud Amazon VPC 內的 Amazon ES 網域可在 Amazon VPC 內的 Amazon ES 與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保 Amazon Redshift 叢集不公開,以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值:20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保 Amazon SageMaker 筆記本不允許直接網際網路存取,藉此管理 AWS 對雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路,藉此管理 AWS 對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量至 AWS 資源的狀態篩選,協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | |
| T0195 | 根據任務要求提供相關資訊的受管流程 (透過 Web 型入口網站或其他方式)。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。 | |
| T0215 | 辨識可能的安全違規,並視需要採取適當的動作來報告事件。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0244 | 驗證應用程式軟體/網路/系統安全狀態是否按照規定實作、記錄偏差,並建議所需的動作以修正這些偏差。 | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後,日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案,而無需偵測。 | |
| T0244 | 驗證應用程式軟體/網路/系統安全狀態是否按照規定實作、記錄偏差,並建議所需的動作以修正這些偏差。 | 透過 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,可以清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本,以及有關您環境的其他詳細資訊。 | |
| T0244 | 驗證應用程式軟體/網路/系統安全狀態是否按照規定實作、記錄偏差,並建議所需的動作以修正這些偏差。 | 使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的受管執行個體指派組態狀態,並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態,以及環境其他詳細資訊的基準。 | |
| T0258 | 針對可能的攻擊/入侵、異常活動和濫用活動提供及時偵測、識別和警示,並將這些事件與良性活動區分開來。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0259 | 使用網路防禦工具持續監控和分析系統活動,以識別惡意活動。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或在環境中耗用過多資源。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL)),以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯,以保護其免於遭受惡意攻擊 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取,因為這可能會導致意外存取應用程式或伺服器。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端內。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取,可減少環境中的意外存取。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後,您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。您也可以使用 VPC 流程日誌來監控網路流量。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值:True)、blockPublicPolicy (Config 預設值:True)、blockPublicAcls (Config 預設值:True) 以及 restrictPublicBuckets 參數 (Config 預設值:True)。實際值應反映貴組織的政策。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 AWS Systems Manager (SSM) 文件不公開,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 DMS 複寫執行個體無法公開存取,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 EBS 快照不可公開還原,藉此管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 Amazon OpenSearch Service (OpenSearch Service) 網域位於 Amazon Virtual Private Cloud (Amazon VPC) 內, AWS 以管理對雲端的存取。Amazon VPC 內的 OpenSearch Service 網域可在 Amazon VPC 內的 OpenSearch Service 與其他服務之間進行安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 Amazon EMR 叢集主節點無法公開存取,藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 AWS Lambda 函數無法公開存取,藉此管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 AWS Lambda 函數,以在 Amazon VPC 內的函數和其他服務之間進行安全通訊。有了這項組態,就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 Amazon Elasticsearch Service (Amazon ES) 網域位於 Amazon Virtual Private AWS Cloud (Amazon VPC) 內,以管理對雲端的存取。 Amazon Virtual Private Cloud Amazon VPC 內的 Amazon ES 網域可在 Amazon VPC 內的 Amazon ES 與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 Amazon Redshift 叢集不公開,以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值:20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保 Amazon SageMaker 筆記本不允許直接網際網路存取,藉此管理 AWS 對雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路,藉此管理 AWS 對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量至 AWS 資源的狀態篩選,協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | |
| T0262 | 採用核准的defense-in-depth原則和實務 (例如defense-in-multiple、分層防禦、安全穩健性)。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | Organizations AWS 帳戶 內的 AWS 集中式管理有助於確保帳戶合規。缺乏集中式帳戶控管可能會導致帳戶組態不一致,這可能會公開資源和敏感資料。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或在環境中耗用過多資源。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL)),以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯,以保護其免於遭受惡意攻擊 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取,因為這可能會導致意外存取應用程式或伺服器。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端內。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取,可減少環境中的意外存取。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 在 Amazon Relational Database Service (RDS) 執行個體上啟用自動次要版本升級,以確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新,其中可能包括安全修補程式和錯誤修正。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後,您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。您也可以使用 VPC 流程日誌來監控網路流量。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值:True)、blockPublicPolicy (Config 預設值:True)、blockPublicAcls (Config 預設值:True) 以及 restrictPublicBuckets 參數 (Config 預設值:True)。實際值應反映貴組織的政策。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 AWS Systems Manager (SSM) 文件不公開,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保您的 AWS 備份復原點具有連接的資源型政策,以防止刪除復原點。使用資源型政策防止刪除復原點,有助於防止意外或故意刪除。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後,日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案,而無需偵測。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保身分驗證憑證 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 不存在於 AWS Codebuild 專案環境中。請勿將這些變數儲存為純文字。以純文字格式儲存這些變數會導致非預期的資料暴露和未經授權的存取。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 GitHub 或 Bitbucket 來源儲存庫 URL 未包含 AWS Codebuild 專案環境內的個人存取權杖、登入憑證。請使用 OAuth 而非個人存取權杖或登入憑證,來授予 GitHub 或 Bitbucket 儲存庫的存取權。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 DMS 複寫執行個體無法公開存取,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 EBS 快照不可公開還原,藉此管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 Amazon OpenSearch Service (OpenSearch Service) 網域位於 Amazon Virtual Private Cloud (Amazon VPC) 內, AWS 以管理對雲端的存取。Amazon VPC 內的 OpenSearch Service 網域可在 Amazon VPC 內的 OpenSearch Service 與其他服務之間進行安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 透過啟用適用於 Amazon EMR 叢集的 Kerberos,即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內,Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 Amazon EMR 叢集主節點無法公開存取,藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,確保 IAM 群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策,以允許封鎖對所有 AWS Key Management Service 金鑰執行動作。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基本安全最佳實務值: true)、 RequireLowercaseCharacters (AWS 基礎安全最佳實務值: true)、 RequireSymbols AWS (基礎安全最佳實務值: true)、 RequireNumbers (AWS 基礎安全最佳實務值: true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值: 14)、 PasswordReusePrevention AWS (基礎安全最佳實務值: 24)、 和 MaxPasswordAge AWS (基礎安全最佳實務值: 90) 適用於您的 IAM 密碼政策。實際值應反映貴組織的政策。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色,即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之,請建立和使用角色型 AWS 帳戶 ,以協助整合功能最少的原則。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 啟用此規則可限制對 AWS Cloud 資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在使用者名稱和密碼之外,多增加一層保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色,以控制對系統和資產的存取。在群組或角色層級指派權限,有助於降低某身分收到或保留過多權限的機會。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰,協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 AWS Lambda 函數無法公開存取,藉此管理對 AWS 雲端中資源的存取。公開存取可能會導致資源可用性降低。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 AWS Lambda 函數,以在 Amazon VPC 內的函數和其他服務之間進行安全通訊。有了這項組態,就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保已啟用具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者 MFA,以管理對 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 Amazon Elasticsearch Service (Amazon ES) 網域位於 Amazon Virtual Private AWS Cloud (Amazon VPC) 內,以管理對雲端的存取。 Amazon Virtual Private Cloud Amazon VPC 內的 Amazon ES 網域可在 Amazon VPC 內的 Amazon ES 與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則需要您設定 allowVersionUpgrade。預設值為 true。並可讓您選擇是否設定 preferredMaintenanceWindow (預設值為 sat:16:00-sat:16:30) 和 automatedSnapshotRetentionPeriod (預設值為 1)。實際值應反映貴組織的政策。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 Amazon Redshift 叢集不公開,藉此管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,藉此管理對 AWS 雲端資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值:20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保為根使用者啟用硬體 MFA,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA,您可以減少遭到入侵的事件 AWS 帳戶。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保根使用者已啟用 MFA,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過為根使用者要求 MFA,您可以減少遭到入侵的事件 AWS 帳戶。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保 Amazon SageMaker 筆記本不允許直接網際網路存取,藉此管理對 AWS 雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路,藉此管理 AWS 對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量至 AWS 資源的狀態篩選,協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | |
| T0284 | 設計並開發與網路安全相關的新工具/技術。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。 | |
| T0306 | 支援資料庫和資料管理系統的事件管理、服務層級管理、變更管理、發行管理、持續性管理和可用性管理。 | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會從多個 AWS 服務彙總、組織和排定安全提醒或調查結果的優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer,以及 AWS Firewall Manager 和 AWS 合作夥伴解決方案。 | |
| T0306 | 支援資料庫和資料管理系統的事件管理、服務層級管理、變更管理、發行管理、持續性管理和可用性管理。 | 當指標超過閾值達到指定的評估期間數,Amazon CloudWatch 警示會發出提醒。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則要求 alarmActionRequired (Config 預設值:True)、insufficientDataActionRequired (Config 預設值:True)、okActionRequired (Config 預設值:False) 皆有值。實際值應反映您環境的警示動作。 | |
| T0306 | 支援資料庫和資料管理系統的事件管理、服務層級管理、變更管理、發行管理、持續性管理和可用性管理。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別您 AWS 雲端環境中的意外、未經授權和惡意活動。 | |
| T0314 | 制定系統安全情境、初步系統安全營運概念 (CONOPS),並根據適用的網路安全要求定義基準系統安全要求。 | 使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,即可清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本,以及有關您環境的其他詳細資訊。 | |
| T0314 | 制定系統安全情境、初步系統安全營運概念 (CONOPS),並根據適用的網路安全要求定義基準系統安全要求。 | 使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的受管執行個體指派組態狀態,並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態,以及環境其他詳細資訊的基準。 | |
| T0314 | 制定系統安全情境、初步系統安全營運概念 (CONOPS),並根據適用的網路安全要求定義基準系統安全要求。 | 啟用此規則可根據組織的標準,檢查 Amazon EC2 執行個體的停止時間是否超過允許的天數,以協助設定 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的基準組態。 | |
| T0314 | 制定系統安全情境、初步系統安全營運概念 (CONOPS),並根據適用的網路安全要求定義基準系統安全要求。 | 此規則可確保在執行個體終止時,連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store 磁碟區會被標記為待刪除。如果 Amazon EBS 磁碟區在其連接的執行個體終止時未予以刪除,則可能會違反最少功能的概念。 | |
| T0314 | 制定系統安全情境、初步系統安全營運概念 (CONOPS),並根據適用的網路安全要求定義基準系統安全要求。 | 此規則可確保 Elastic Load Balancing 已啟用刪除保護。使用此功能可防止意外或惡意刪除負載平衡器,從而導致應用程式喪失可用性。 | |
| T0314 | 制定系統安全情境、初步系統安全營運概念 (CONOPS),並根據適用的網路安全要求定義基準系統安全要求。 | 確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,藉此管理對 AWS 雲端資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值:20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | |
| T0333 | 執行網路防禦趨勢分析和報告。 | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會從多個 AWS 服務彙總、組織和排定安全提醒或調查結果的優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer,以及 AWS Firewall Manager 和 AWS 合作夥伴解決方案。 | |
| T0333 | 執行網路防禦趨勢分析和報告。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別您 AWS 雲端環境中的意外、未經授權和惡意活動。 | |
| T0347 | 評估來源資料和後續調查結果的有效性。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別您 AWS 雲端環境中的意外、未經授權和惡意活動。 | |
| T0358 | 為特殊權限存取使用者設計和開發系統管理功能。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| T0358 | 為特殊權限存取使用者設計和開發系統管理功能。 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0358 | 為特殊權限存取使用者設計和開發系統管理功能。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策 | |
| T0358 | 為特殊權限存取使用者設計和開發系統管理功能。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,確保 IAM 群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| T0358 | 為特殊權限存取使用者設計和開發系統管理功能。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策,允許封鎖所有 AWS Key Management Service Key. AWS recommends 上的動作使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策。 | |
| T0358 | 為特殊權限存取使用者設計和開發系統管理功能。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0358 | 為特殊權限存取使用者設計和開發系統管理功能。 | AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0358 | 為特殊權限存取使用者設計和開發系統管理功能。 | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色,以控制對系統和資產的存取。在群組或角色層級指派權限,有助於降低某身分收到或保留過多權限的機會。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | 確保 Amazon OpenSearch Service 網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址,以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外,當 AWS 啟動新的區域時,CloudTrail 會在新的區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔,卻無需採取任何動作。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您 內 API 呼叫活動的詳細資訊 AWS 帳戶。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫,協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶 、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體的 AWS 帳戶資訊、IP 地址和事件時間。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | 透過啟用適用於 Amazon EMR 叢集的 Kerberos,即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內,Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,確保 IAM 群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策,允許封鎖所有 AWS Key Management Service Key. AWS recommends 上的動作使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色,以控制對系統和資產的存取。在群組或角色層級指派權限,有助於降低某身分收到或保留過多權限的機會。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| T0376 | 根據組織要求,建立、籌資、實作和評估網路人力管理計畫。 | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| T0416 | 利用現有的公有金鑰基礎設施 (PKI) 程式庫,並在適當時整合憑證管理和加密功能,以透過公有金鑰啟用應用程式。 | 透過確保 ACM 發行 X509 AWS 憑證,確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要 daysToExpiration 的值 (AWS 基本安全最佳實務值:90)。實際值應反映貴組織的政策。 | |
| T0416 | 利用現有的公有金鑰基礎設施 (PKI) 程式庫,並在適當時整合憑證管理和加密功能,以透過公有金鑰啟用應用程式。 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0416 | 利用現有的公有金鑰基礎設施 (PKI) 程式庫,並在適當時整合憑證管理和加密功能,以透過公有金鑰啟用應用程式。 | 確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0416 | 利用現有的公有金鑰基礎設施 (PKI) 程式庫,並在適當時整合憑證管理和加密功能,以透過公有金鑰啟用應用程式。 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| T0416 | 利用現有的公有金鑰基礎設施 (PKI) 程式庫,並在適當時整合憑證管理和加密功能,以透過公有金鑰啟用應用程式。 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| T0416 | 利用現有的公有金鑰基礎設施 (PKI) 程式庫,並在適當時整合憑證管理和加密功能,以透過公有金鑰啟用應用程式。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0416 | 利用現有的公有金鑰基礎設施 (PKI) 程式庫,並在適當時整合憑證管理和加密功能,以透過公有金鑰啟用應用程式。 | 確保已啟用 Amazon OpenSearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0416 | 利用現有的公有金鑰基礎設施 (PKI) 程式庫,並在適當時整合憑證管理和加密功能,以透過公有金鑰啟用應用程式。 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0416 | 利用現有的公有金鑰基礎設施 (PKI) 程式庫,並在適當時整合憑證管理和加密功能,以透過公有金鑰啟用應用程式。 | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0416 | 利用現有的公有金鑰基礎設施 (PKI) 程式庫,並在適當時整合憑證管理和加密功能,以透過公有金鑰啟用應用程式。 | 確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定,以允許後端系統驗證來自 API Gateway 的請求。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取,因為這可能會導致意外存取應用程式或伺服器。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 確保 DMS 複寫執行個體無法公開存取,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 確保 EBS 快照不可公開還原,藉此管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 確保 Amazon EMR 叢集主節點無法公開存取,藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 確保 AWS Lambda 函數無法公開存取,藉此管理對 AWS 雲端中資源的存取。公開存取可能會導致資源可用性降低。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 確保 Amazon Redshift 叢集不公開,藉此管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值:True)、blockPublicPolicy (Config 預設值:True)、blockPublicAcls (Config 預設值:True) 以及 restrictPublicBuckets 參數 (Config 預設值:True)。實際值應反映貴組織的政策。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 確保 AWS Systems Manager (SSM) 文件不公開,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 透過啟用適用於 Amazon EMR 叢集的 Kerberos,即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內,Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。 | |
| T0421 | 管理明確組織知識 (例如,硬拷貝文件、數位檔案) 的索引/目錄編製、儲存和存取。 | 確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路,藉此管理 AWS 對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取,因為這可能會導致意外存取應用程式或伺服器。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值:True)、blockPublicPolicy (Config 預設值:True)、blockPublicAcls (Config 預設值:True) 以及 restrictPublicBuckets 參數 (Config 預設值:True)。實際值應反映貴組織的政策。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 AWS Systems Manager (SSM) 文件不公開,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 DMS 複寫執行個體無法公開存取,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 EBS 快照不可公開還原,藉此管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 Amazon OpenSearch Service (OpenSearch Service) 網域位於 Amazon Virtual Private Cloud (Amazon VPC) 內, AWS 以管理對雲端的存取。Amazon VPC 內的 OpenSearch Service 網域可在 Amazon VPC 內的 OpenSearch Service 與其他服務之間進行安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 透過啟用適用於 Amazon EMR 叢集的 Kerberos,即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內,Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 Amazon EMR 叢集主節點無法公開存取,藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,確保 IAM 群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策,以允許封鎖對所有 AWS Key Management Service 金鑰執行動作。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色,即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之,請建立和使用角色型 AWS 帳戶 ,以協助整合功能最少的原則。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色,以控制對系統和資產的存取。在群組或角色層級指派權限,有助於降低某身分收到或保留過多權限的機會。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰,協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 AWS Lambda 函數無法公開存取,藉此管理對 AWS 雲端資源的存取。公開存取可能會導致資源可用性降低。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 AWS Lambda 函數,以在 Amazon VPC 內的函數和其他服務之間進行安全通訊。有了這項組態,就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 Amazon Elasticsearch Service (Amazon ES) 網域位於 Amazon Virtual Private AWS Cloud (Amazon VPC) 內,以管理對雲端的存取。 Amazon Virtual Private Cloud Amazon VPC 內的 Amazon ES 網域可在 Amazon VPC 內的 Amazon ES 與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,藉此管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 Amazon Redshift 叢集不公開,以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保 Amazon SageMaker 筆記本不允許直接網際網路存取,藉此管理 AWS 對雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| T0475 | 根據最低權限和必要知悉原則,評估適當的存取控制。 | 確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路,藉此管理 AWS 對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | 確保 Amazon OpenSearch Service 網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址,以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外,當 AWS 啟動新區域時,CloudTrail 會在新區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔,卻無需採取任何動作。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | 為了協助您在環境中記錄和監控,請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供有關 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊,以及每個請求相符規則的動作。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您 內 API 呼叫活動的詳細資訊 AWS 帳戶。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫,協助進行不可否認。您可以識別 使用者和 AWS 帳戶 稱為 AWS 服務、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體的 AWS 帳戶資訊、IP 地址和事件時間。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值:TRUE) 和 loggingEnabled (Config 預設值:TRUE) 設定一個值。實際值應反映貴組織的政策。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| T0489 | 根據既定程序實作系統安全措施,以確保機密性、完整性、可用性、驗證和不可否認性。 | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| T0491 | 根據組織標準,為系統使用者安裝並設定硬體、軟體和周邊設備。 | 透過 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,可以清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本,以及有關您環境的其他詳細資訊。 | |
| T0491 | 根據組織標準,為系統使用者安裝並設定硬體、軟體和周邊設備。 | 使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。 AWS Systems Manager 會為您的受管執行個體指派組態狀態,並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態,以及環境其他詳細資訊的基準。 | |
| T0491 | 根據組織標準,為系統使用者安裝並設定硬體、軟體和周邊設備。 | 啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序要求的 Amazon EC2 執行個體修補程式合規。 | |
| T0503 | 監控外部資料來源 (例如網路防禦廠商網站、電腦緊急回應團隊、Security Focus),以維持網路防禦威脅條件的貨幣,並判斷哪些安全問題可能會對企業造成影響。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0509 | 執行資訊安全風險評估。 | annual-risk-assessment-performed (程序檢查) | 對貴組織執行年度風險評估。風險評估可協助確定已識別風險和/或漏洞影響組織的可能性及影響內容。 |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 確保已啟用 Amazon Elasticsearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,確保 IAM 群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策,以允許封鎖對所有 AWS Key Management Service 金鑰執行動作。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基本安全最佳實務值: true)、 RequireLowercaseCharacters (AWS 基礎安全最佳實務值: true)、 RequireSymbols AWS (基礎安全最佳實務值: true)、 RequireNumbers (AWS 基礎安全最佳實務值: true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值: 14)、 PasswordReusePrevention AWS (基礎安全最佳實務值: 24)、 和 MaxPasswordAge AWS (基礎安全最佳實務值: 90) 適用於您的 IAM 密碼政策。實際值應反映貴組織的政策。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色,即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之,請建立和使用角色型 AWS 帳戶 ,以協助整合功能最少的原則。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 啟用此規則可限制對 AWS Cloud 資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在使用者名稱和密碼之外,多增加一層保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色,以控制對系統和資產的存取。在群組或角色層級指派權限,有助於降低某身分收到或保留過多權限的機會。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰,協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 確保已啟用具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者 MFA,以管理對 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon Elasticsearch Service (Amazon ES) 網域啟用加密功能。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 確保已啟用 Amazon Elasticsearch Service 的節點對節點加密。節點對節點加密會為 Amazon Virtual Private Cloud (Amazon VPC) 內的所有通訊啟用 TLS 1.2 加密。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 為了協助保護靜態資料,請確定已啟用 SageMaker 筆記本的金鑰管理服務 (AWS KMS) 加密 AWS 。由於 SageMaker 筆記本中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 為了協助保護靜態資料,請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 確保 Amazon API Gateway REST API 階段已使用 SSL 憑證設定,以允許後端系統驗證來自 API Gateway 的請求。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 由於可能存在敏感資料,且為了協助保護靜態資料,請確保已啟用 AWS CloudTrail 追蹤的加密。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon Elasticsearch Service (Amazon ES) 網域啟用加密功能。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 由於可能存在敏感資料並為了協助保護傳輸中資料,因此請確保您的 Elastic Load Balancing 已啟用加密功能。使用 AWS Certificate Manager 來管理、佈建和部署具有 AWS 服務和內部資源的公有和私有 SSL/TLS 憑證。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值:TRUE) 和 loggingEnabled (Config 預設值:TRUE) 設定一個值。實際值應反映貴組織的政策。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 為了協助保護靜態資料,請確定您的 Amazon Redshift 叢集已啟用 Key AWS Management Service (AWS KMS) 加密。由於 Redshift 叢集中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 為了協助保護靜態資料,請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| T0553 | 套用網路安全函數 (例如加密、存取控制和身分管理),以減少入侵機會。 | 為了協助保護靜態資料,請確定已啟用 SageMaker 端點的金鑰管理服務 (AWS KMS) 加密 AWS 。由於 SageMaker 端點中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| T0557 | 整合與網路空間相關的主要管理功能。 | 啟用金鑰輪換功能,以確保金鑰於加密期間結束後即輪換。 | |
| T0557 | 整合與網路空間相關的主要管理功能。 | 為了協助保護靜態資料,請確保必要的客戶主金鑰 CMKs) 未排定在 AWS 金鑰管理服務 (AWS KMS) 中刪除。因為刪除金鑰有時為必要,而這個規則可協助檢查所有排程要刪除的金鑰,以防無意中排程刪除金鑰。 | |
| T0576 | 評估所有來源情報,並建議支援網路營運目標的目標對象。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或在環境中耗用過多資源。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | AWS WAF 可讓您設定一組規則 (稱為 Web 存取控制清單 (Web ACL)),以根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 Amazon API Gateway 階段與 WAF Web ACL 相關聯,以保護其免於遭受惡意攻擊 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 如果您使用公有 IP 地址設定網路介面,則可從網際網路存取這些網路介面的相關聯資源。EC2 資源不可公開存取,因為這可能會導致意外存取應用程式或伺服器。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保 DMS 複寫執行個體無法公開存取,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保 EBS 快照不可公開還原,藉此管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理 AWS 對雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保 Amazon Elasticsearch Service (Amazon ES) 網域位於 Amazon Virtual Private AWS Cloud (Amazon VPC) 內,以管理對雲端的存取。 Amazon Virtual Private Cloud Amazon VPC 內的 Amazon ES 網域可在 Amazon VPC 內的 Amazon ES 與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保無法公開存取 Amazon EMR 叢集主節點,藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過提供輸入和輸出網路流量的狀態篩選來協助管理網路存取 AWS 。不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量,有助於限制遠端存取。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端內。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保 AWS Lambda 函數無法公開存取,藉此管理對 AWS 雲端中資源的存取。公開存取可能會導致資源可用性降低。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 AWS Lambda 函數,以在 Amazon VPC 內的函數和其他服務之間進行安全通訊。有了這項組態,就不需要網際網路閘道、NAT 裝置或 VPN 連線。所有流量都會安全地保留在 AWS 雲端中。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。若要正確管理存取,應將 AWS Lambda 函數指派給 VPC。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保 Amazon EC2 路由表沒有指向網際網路閘道的無限制路由。移除或限制 Amazon VPC 內工作負載對網際網路的存取,可減少環境中的意外存取。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,以管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,以管理對 AWS 雲端資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保 Amazon Redshift 叢集不公開,以管理對 AWS 雲端資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 增強型 VPC 路由會強制叢集與資料儲存庫之間所有的 COPY 與 UNLOAD 流量通過 Amazon VPC。然後,您可以使用安全群組和網路存取控制清單等 VPC 功能來保護網路流量的安全。您也可以使用 VPC 流程日誌來監控網路流量。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值:20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選用設定 ignorePublicAcls (Config 預設值:True)、blockPublicPolicy (Config 預設值:True)、blockPublicAcls (Config 預設值:True) 以及 restrictPublicBuckets 參數 (Config 預設值:True)。實際值應反映貴組織的政策。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端資源的存取。存取管理應與資料的分類一致。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保 Amazon SageMaker 筆記本不允許直接網際網路存取,以管理 AWS 對雲端資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過提供輸入和輸出網路流量至 AWS 資源的狀態篩選,協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保 Amazon Elasticsearch Service (Amazon ES) 網域位於 Amazon Virtual Private AWS Cloud (Amazon VPC) 內,以管理對雲端的存取。 Amazon Virtual Private Cloud Amazon VPC 內的 Amazon ES 網域可在 Amazon VPC 內的 Amazon ES 與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。 | |
| T0609 | 啟用無線電腦和數位網路的存取。 | 確保不會自動指派公有 IP 地址給 Amazon Virtual Private Cloud (VPC) 子網路,藉此管理 AWS 對雲端的存取。在啟用此屬性的子網路中啟動的 Amazon Elastic Compute Cloud (EC2) 執行個體,具有指派給其主要網路介面的公有 IP 地址。 | |
| T0616 | 對網路內的系統進行網路偵察和漏洞分析。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。這包括惡意 IPs和機器學習的清單,以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0686 | 識別威脅漏洞。 | 啟用此規則可協助識別和記載 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。規則會檢查 AWS Systems Manager 中是否有您組織的政策和程序要求的 Amazon EC2 執行個體修補程式合規。 | |
| T0686 | 識別威脅漏洞。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。這包括惡意 IPs和機器學習的清單,以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 確保為日誌群組保留最短的事件日誌資料持續時間,以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料,就很難重建和識別潛在的惡意事件。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 確保 Amazon Elasticsearch Service 網域已啟用錯誤日誌,並將其串流至 Amazon CloudWatch Logs 以進行保留和回應。網域錯誤日誌可協助進行安全和存取稽核,也可協助診斷可用性問題。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 此規則可確保建立 Lambda 函數的並行上限和下限。這可為函數在任何指定時間服務的請求數設定基準。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 啟用此規則可在功能失敗時,透過 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知適當的人員。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | AWS CloudTrail 會記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫哪些使用者和帳戶 AWS、進行呼叫的來源 IP 地址,以及呼叫的時間。如果啟用 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 會將日誌檔案從所有 AWS 區域交付至您的 S3 儲存貯體。此外,當 AWS 啟動新的區域時,CloudTrail 會在新的區域中建立相同的線索。而您會收到包含新區域 API 活動的日誌檔,卻無需採取任何動作。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 啟用 Amazon Relational Database Service (Amazon RDS) 可協助監控 Amazon RDS 的可用性。這可讓您詳細掌握 Amazon RDS 資料庫執行個體的運作狀態。當 Amazon RDS 儲存體使用多個基礎實體裝置時,增強型監控會收集每部裝置的資料。此外,當 Amazon RDS 資料庫執行個體在多可用區部署中執行時,就會收集次要主機上每部裝置的資料,以及次要主機指標。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。 AWS Security Hub 會從多個 AWS 服務彙總、組織和排定安全提醒或調查結果的優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer,以及 AWS Firewall Manager 和 AWS 合作夥伴解決方案。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 為了協助您在環境中記錄和監控,請在區域和全域 Web ACLs上啟用 AWS WAF (V2) 記錄。 AWS WAF 記錄提供有關 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊,以及每個請求相符規則的動作。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 群組的 Elastic Load Balancer (ELB) 運作狀態檢查可讓您維持足夠的容量和可用性。負載平衡器會定期傳送 ping、嘗試連線或傳送請求,以測試 Auto Scaling 群組中的 Amazon EC2 執行個體運作狀態。如果執行個體未回報,流量就會傳送到新的 Amazon EC2 執行個體。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | AWS Elastic Beanstalk 增強型運作狀態報告可更快速回應基礎基礎設施的運作狀態變化。這些變更可能會導致應用程式缺乏可用性。Elastic Beanstalk 增強型運作狀態報告提供狀態描述項,以評估已識別問題的嚴重性,並找出可能的調查原因。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您 內 API 呼叫活動的詳細資訊 AWS 帳戶。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫,協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶 、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊可見於 AWS CloudTrail 記錄內容。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體的 AWS 帳戶資訊、IP 地址和事件時間。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 當指標超過閾值達到指定的評估期間數,Amazon CloudWatch 警示會發出提醒。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則要求 alarmActionRequired (Config 預設值:True)、insufficientDataActionRequired (Config 預設值:True)、okActionRequired (Config 預設值:False) 皆有值。實際值應反映您環境的警示動作。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 啟用此規則可確保檢查 Amazon DynamoDB 資料表上的佈建輸送容量。這是每份資料表能夠支援的讀取/寫入活動量。DynamoDB 會使用這項資訊保留足夠的系統資源,以便符合您的輸送量要求。當輸送量接近客戶帳戶的上限時,此規則會產生提醒。此規則可讓您選擇是否設定 accountRCUThresholdPercentage (Config 預設值:80) 和 accountWCUThresholdPercentage (Config 預設值:80) 參數。實際值應反映貴組織的政策。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 啟用此規則可協助改善 Amazon EC2 主控台上的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體監控,並顯示執行個體以 1 分鐘為區間的監控圖形。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。這包括惡意 IPs和機器學習的清單,以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則需要為 clusterDbEncrypted (Config 預設值:TRUE) 和 loggingEnabled (Config 預設值:TRUE) 設定一個值。實際值應反映貴組織的政策。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| T0706 | 透過傳統和替代技術收集網路的相關資訊 (例如,社交網路分析、通話鏈結、流量分析)。 | VPC 流程日誌可以提供 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面 IP 流量傳入及傳出的相關資訊詳細記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| T0777 | 分析網路或系統管理員及其活動。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。這包括惡意 IPs和機器學習的清單,以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0805 | 回報情報衍生的重要網路事件和入侵。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。這包括惡意 IPs和機器學習的清單,以識別您 AWS 雲端環境中的非預期、未經授權和惡意活動。 | |
| T0877 | 與適用的組織單位合作監督取用者資訊存取權限 | EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| T0877 | 與適用的組織單位合作監督取用者資訊存取權限 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| T0877 | 與適用的組織單位合作監督取用者資訊存取權限 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| T0877 | 與適用的組織單位合作監督取用者資訊存取權限 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0877 | 與適用的組織單位合作監督取用者資訊存取權限 | 確保 AWS Systems Manager (SSM) 文件不公開,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| T0877 | 與適用的組織單位合作監督取用者資訊存取權限 | 透過啟用適用於 Amazon EMR 叢集的 Kerberos,即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內,Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。 | |
| T0877 | 與適用的組織單位合作監督取用者資訊存取權限 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,確保 IAM 群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| T0877 | 與適用的組織單位合作監督取用者資訊存取權限 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0877 | 與適用的組織單位合作監督取用者資訊存取權限 | AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0877 | 與適用的組織單位合作監督取用者資訊存取權限 | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色,以控制對系統和資產的存取。在群組或角色層級指派權限,有助於降低某身分收到或保留過多權限的機會。 | |
| T0877 | 與適用的組織單位合作監督取用者資訊存取權限 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則可讓您選用設定 blockedPort1 - blockedPort5 參數 (Config 預設值:20、21、3389、3306、4333)。實際值應反映貴組織的政策。 | |
| T0935 | 執行資訊安全風險評估。 | annual-risk-assessment-performed (程序檢查) | 對貴組織執行年度風險評估。風險評估可協助確定已識別風險和/或漏洞影響組織的可能性及影響內容。 |
| T0960 | 監控系統及其操作環境的變更。 | 此規則可確保建立 Lambda 函數的並行上限和下限。這可為函數在任何指定時間服務的請求數設定基準。 | |
| T0960 | 監控系統及其操作環境的變更。 | 啟用此規則可在功能失敗時,透過 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知適當的人員。 | |
| T0960 | 監控系統及其操作環境的變更。 | 啟用 Amazon Relational Database Service (Amazon RDS) 可協助監控 Amazon RDS 的可用性。這可讓您詳細掌握 Amazon RDS 資料庫執行個體的運作狀態。當 Amazon RDS 儲存體使用多個基礎實體裝置時,增強型監控會收集每部裝置的資料。此外,當 Amazon RDS 資料庫執行個體在多可用區部署中執行時,就會收集次要主機上每部裝置的資料,以及次要主機指標。 | |
| T0960 | 監控系統及其操作環境的變更。 | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 群組的 Elastic Load Balancer (ELB) 運作狀態檢查可讓您維持足夠的容量和可用性。負載平衡器會定期傳送 ping、嘗試連線或傳送請求,以測試 Auto Scaling 群組中的 Amazon EC2 執行個體運作狀態。如果執行個體未回報,流量就會傳送到新的 Amazon EC2 執行個體。 | |
| T0960 | 監控系統及其操作環境的變更。 | AWS Elastic Beanstalk 增強型運作狀態報告可更快速回應基礎基礎設施的運作狀態變化。這些變更可能會導致應用程式缺乏可用性。Elastic Beanstalk 增強型運作狀態報告提供狀態描述項,以評估已識別問題的嚴重性,並找出可能的調查原因。 | |
| T0960 | 監控系統及其操作環境的變更。 | 當指標超過閾值達到指定的評估期間數,Amazon CloudWatch 警示會發出提醒。警示會根據在數個期間與閾值相關的指標值或表達式值來執行一或多個動作。此規則要求 alarmActionRequired (Config 預設值:True)、insufficientDataActionRequired (Config 預設值:True)、okActionRequired (Config 預設值:False) 皆有值。實際值應反映您環境的警示動作。 | |
| T0960 | 監控系統及其操作環境的變更。 | 啟用此規則可確保檢查 Amazon DynamoDB 資料表上的佈建輸送容量。這是每份資料表能夠支援的讀取/寫入活動量。DynamoDB 會使用這項資訊保留足夠的系統資源,以便符合您的輸送量要求。當輸送量接近客戶帳戶的上限時,此規則會產生提醒。此規則可讓您選擇是否設定 accountRCUThresholdPercentage (Config 預設值:80) 和 accountWCUThresholdPercentage (Config 預設值:80) 參數。實際值應反映貴組織的政策。 | |
| T0960 | 監控系統及其操作環境的變更。 | 啟用此規則可協助改善 Amazon EC2 主控台上的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體監控,並顯示執行個體以 1 分鐘為區間的監控圖形。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | EC2 執行個體設定檔可將 IAM 角色傳遞給 EC2 執行個體。將執行個體設定檔連接到執行個體可協助管理最低權限和許可。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 如果任務定義具有更高的權限,這是因為客戶已特別選擇使用這些組態。當任務定義已啟用主機網路,但客戶尚未選擇使用更高的權限時,此控制會檢查是否有意外的權限提升。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 透過確保 IAM 存取金鑰依照組織政策所指定輪換,對憑證進行授權裝置、使用者和程序的稽核。定期變更存取金鑰是安全最佳實務。這可縮短存取金鑰的作用中時間,並在金鑰洩漏時降低業務影響。此規則需要存取金鑰輪換值 (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 透過啟用適用於 Amazon EMR 叢集的 Kerberos,即可利用最低權限和職責分離的原則來管理並整合存取許可和授權。Kerberos 中需要驗證的服務和使用者稱為主體。主體存在於 Kerberos 領域中。在這個領域內,Kerberos 伺服器稱為金鑰分佈中心 (KDC)。其為主體提供驗證的方法。KDC 的驗證做法是發出票證來進行驗證。KDC 維護在其領域中的主體資料庫、主體的密碼以及每個主體的其他管理資訊。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,確保 IAM 群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策,以允許封鎖對所有 AWS Key Management Service Key. AWS recommends 執行受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基本安全最佳實務值: true)、 RequireLowercaseCharacters (AWS 基礎安全最佳實務值: true)、 RequireSymbols AWS (基礎安全最佳實務值: true)、 RequireNumbers (AWS 基礎安全最佳實務值: true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值: 14)、 PasswordReusePrevention AWS (基礎安全最佳實務值: 24)、 和 MaxPasswordAge AWS (基礎安全最佳實務值: 90) 適用於您的 IAM 密碼政策。實際值應反映貴組織的政策。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色,即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之,請建立和使用角色型 AWS 帳戶 ,以協助整合功能最少的原則。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 啟用此規則可限制對 AWS Cloud 資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在使用者名稱和密碼之外,多增加一層保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色,以控制對系統和資產的存取。在群組或角色層級指派權限,有助於降低某身分收到或保留過多權限的機會。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰,協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 確保已啟用具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者 MFA,以管理對 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 確保為根使用者啟用硬體 MFA,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過要求根使用者的 MFA,您可以減少遭到入侵的事件 AWS 帳戶。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 確保根使用者已啟用 MFA,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過要求根使用者的 MFA,您可以減少遭到入侵的事件 AWS 帳戶。 | |
| T0992 | 確定持續監控結果要如何用於持續授權。 | 此規則可確保 AWS Secrets Manager 秘密已啟用輪換。定期輪換密碼可縮短密碼的作用中時間,並可能降低密碼洩漏時所造成的業務影響。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在所有 AWS Key Management Service 金鑰上包含封鎖的動作。擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,確保 IAM 群組至少有一個使用者。根據使用者的相關許可或工作職能將使用者放入群組中是整合最低權限的一種方法。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策,允許封鎖所有 AWS Key Management Service Key. AWS recommends 上的動作使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。此規則可讓您設定 blockedActionsPatterns 參數。(AWS 基礎安全最佳實務值: kms:Decrypt、 kms:ReEncryptFrom)。實際值應反映貴組織的政策。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | 確保 AWS Identity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有控制系統和資產存取的內嵌政策。 AWS 建議使用受管政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 的基礎安全最佳實務標準中所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基本安全最佳實務值: true)、 RequireLowercaseCharacters (AWS 基礎安全最佳實務值: true)、 RequireSymbols (AWS 基礎安全最佳實務值: true)、 RequireNumbers AWS (基礎安全最佳實務值: true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值: 14)、 PasswordReusePrevention AWS (基礎安全最佳實務值: 24)、 和 MaxPasswordAge AWS (基礎安全最佳實務值: 90) 適用於您的 IAM 密碼政策。實際值應反映貴組織的政策。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權結合,限制政策在「資源」:「*」上包含「效果」:「允許」與「動作」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | 確保 IAM 動作僅限於需要的動作。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | 檢查根使用者是否未將存取金鑰連接至其 AWS Identity and Access Management (IAM) 角色,即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之,請建立和使用角色型 AWS 帳戶 以協助整合功能最少的原則。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | AWS Identity and Access Management (IAM) 可協助您限制存取許可和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅連接到群組或角色,以控制對系統和資產的存取。在群組或角色層級指派權限,有助於降低某身分收到或保留過多權限的機會。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰,協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則需要您將值設定為 maxCredentialUsageAge (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | 確保已啟用具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者 MFA,以管理對 AWS 雲端資源的存取。MFA 在登入憑證之外多加了一層保護。要求使用者使用 MFA,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | 啟用此規則可限制對 AWS Cloud 資源的存取。此規則可確保為所有使用者都啟用了多重要素驗證 (MFA)。MFA 在使用者名稱和密碼之外,多增加一層保護。要求使用者使用 MFA 可減少帳戶遭到入侵的事件。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | 確保為根使用者啟用硬體 MFA,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為登入憑證多增加一層保護。透過為根使用者要求 MFA,您可以減少遭到入侵的事件 AWS 帳戶。 | |
| T0993 | 建立持續監控工具和技術存取控制流程和程序。 | 確保根使用者已啟用 MFA,以管理對 AWS 雲端資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過為根使用者要求 MFA,您可以減少遭到入侵的事件 AWS 帳戶。 |
範本
此範本可在 GitHub 上取得:NIST 800 181 的操作最佳實務
