Änderungen, die hohe oder sehr hohe Sicherheitsrisiken in Ihrer Umgebung mit sich bringen - AMS Accelerate-Benutzerhandbuch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Änderungen, die hohe oder sehr hohe Sicherheitsrisiken in Ihrer Umgebung mit sich bringen

Die folgenden Änderungen stellen ein hohes oder sehr hohes Sicherheitsrisiko in Ihrer Umgebung dar:

AWS Identity and Access Management

  • High_Risk-IAM-001: Erstellen Sie Zugriffsschlüssel für das Root-Konto

  • High_Risk-IAM-002: Änderung der SCP-Richtlinie, um zusätzlichen Zugriff zu ermöglichen

  • High_Risk-IAM-003: Änderung der SCP-Richtlinie, die die AMS-Infrastruktur beschädigen könnte

  • High_Risk-IAM-004: Erstellung eines role/user mit der Infrastruktur verändernden Berechtigungen (Schreiben, Rechteverwaltung oder Tagging) im Kundenkonto

  • High_Risk-IAM-005: IAM-Rollen vertrauen auf Vertrauensrichtlinien zwischen AMS-Konten und Konten von Drittanbietern (die nicht dem Kunden gehören)

  • High_Risk-IAM-006: Kontoübergreifende Richtlinien für den Zugriff auf beliebige KMS-Schlüssel von einem AMS-Konto aus (durch ein Drittanbieterkonto)

  • High_Risk-IAM-007: Kontoübergreifende Richtlinien von Drittanbieterkonten für den Zugriff auf einen S3-Bucket eines AMS-Kunden oder auf Ressourcen, in denen Daten gespeichert werden können (wie Amazon RDS, Amazon DynamoDB oder Amazon Redshift)

  • high_risk-IAM-008: Weisen Sie die IAM-Berechtigungen einer beliebigen Infrastruktur-Mutationsberechtigung im Kundenkonto zu

  • High_Risk-IAM-009: Erlaubt das Auflisten und Lesen aller S3-Buckets im Konto

Netzwerksicherheit

  • High_Risk-NET-001: Öffnen Sie die Betriebssystemmanagement-Ports SSH/22 oder SSH/2222 (nicht SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 oder 1604, LDAP/389 oder 636 und NETBIOS/137-139 aus dem Internet

  • High_Risk-NET-002: Öffnen Sie die Datenbankmanagement-Ports MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 oder einen beliebigen Management-Kundenport aus dem Internet

  • High_Risk-NET-003: Öffnen Sie die Anwendungsports HTTP/80, HTTPS/8443 und HTTPS/443 direkt auf beliebigen Rechenressourcen. Zum Beispiel Instanzen, Container usw. aus dem Internet EC2 ECS/EKS/Fargate

  • High_Risk-NET-004: Alle Änderungen an den Sicherheitsgruppen, die den Zugriff auf die AMS-Infrastruktur kontrollieren

  • High_Risk-NET-006: VPC-Peering mit dem Drittanbieter-Konto (nicht im Besitz des Kunden)

  • High_Risk-NET-007: Kunden-Firewall als Ausgangspunkt für den gesamten AMS-Verkehr hinzufügen

  • High_Risk-NET-008: Ein Transit Gateway Gateway-Anhang mit dem Drittanbieterkonto ist nicht zulässig

  • High_Risk-S3-001: Bereitstellung oder Aktivierung des öffentlichen Zugriffs im S3-Bucket

Protokollierung

  • CloudTrailHigh_Risk-Log-001: Deaktivieren.

  • High_Risk-Log-002: Deaktivieren Sie VPC-Flow-Logs.

  • High_Risk-Log-003: Protokollweiterleitung über eine beliebige Methode (S3-Ereignisbenachrichtigung, SIEM-Agent-Pull, SIEM-Agent-Push usw.) von einem AMS-verwalteten Konto an ein Drittanbieter-Konto (nicht im Besitz des Kunden)

  • High_Risk-Log-004: Verwenden Sie den Nicht-AMS-Trail für CloudTrail

Sonstiges

  • High_Risk-ENC-001: Deaktiviert die Verschlüsselung in jeder Ressource, falls sie aktiviert ist