Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Spielbücher
Diese Lösung umfasst die Playbook-Korrekturen für die Sicherheitsstandards, die im Rahmen des Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmarkv3.0.0, AWS FoundationalSecurity Best Practices (FSBP) v.1.0.0, Payment Card Industry Data Security Standard (PCI-DSS)v3.2.1 und National Institute of Standards and Technology (NIST) definiert wurden.
Wenn Sie konsolidierte Kontrollergebnisse aktiviert haben, werden diese Kontrollen in allen Standards unterstützt. Wenn diese Funktion aktiviert ist, muss nur das SC-Playbook bereitgestellt werden. Wenn nicht, werden die Playbooks für die zuvor aufgeführten Standards unterstützt.
Wichtig
Stellen Sie die Playbooks nur für die aktivierten Standards bereit, um zu vermeiden, dass Servicekontingenten erreicht werden.
Einzelheiten zu einer bestimmten Problembehebung finden Sie im Systems Manager Manager-Automatisierungsdokument mit dem Namen, der von der Lösung in Ihrem Konto bereitgestellt wird. Gehen Sie zur AWS Systems Manager Manager-Konsole
| Beschreibung | AWS FSBP | CIS v1.2.0 | PCI v3.2.1 | CIS Version 1.4.0 | NIST | CIS v3.0.0 | ID der Sicherheitskontrolle |
|---|---|---|---|---|---|---|---|
|
Vollständige Abhilfemaßnahmen |
63 |
34 |
29 |
33 |
65 |
19 |
90 |
|
ASR- Prüfen EnableAutoScalingGroup ELBHealth Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten Load Balancer-Zustandsprüfungen verwenden |
Autoscaling.1 |
Automatische Skalierung.1 |
Automatische Skalierung.1 |
Automatische Skalierung.1 |
|||
|
ASR- CreateMultiRegionTrail CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein |
CloudTrail1. |
2.1 |
CloudTrail2. |
3.1 |
CloudTrail1. |
3.1 |
CloudTrail1. |
|
ASR- EnableEncryption CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben |
CloudTrail2. |
2.7 |
CloudTrail1. |
3.7 |
CloudTrail2. |
3.5 |
CloudTrail2. |
|
ASR- EnableLogFileValidation Stellen CloudTrail Sie sicher, dass die Überprüfung der Protokolldatei aktiviert ist |
CloudTrail4. |
2.2 |
CloudTrail3. |
3.2 |
CloudTrail4. |
CloudTrail4. |
|
|
ASR- EnableCloudTrailToCloudWatchLogging Stellen Sie sicher, dass CloudTrail Trails in Amazon CloudWatch Logs integriert sind |
CloudTrail5. |
2.4 |
CloudTrail4. |
3.4 |
CloudTrail5. |
CloudTrail5. |
|
|
ASR-konfiguriert 3 BucketLogging Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem S3-Bucket aktiviert ist CloudTrail |
2.6 |
3.6 |
3.4 |
CloudTrail7. |
|||
|
ASR- ReplaceCodeBuildClearTextCredentials CodeBuild Projektumgebungsvariablen sollten keine Klartext-Anmeldeinformationen enthalten |
CodeBuild2. |
CodeBuild2. |
CodeBuild2. |
CodeBuild2. |
|||
|
ASR-aktivieren AWSConfig Stellen Sie sicher, dass AWS Config aktiviert ist |
Config.1 |
2.5 |
Config.1 |
3.5 |
Config.1 |
3.3 |
Config.1 |
|
ASR Als privat kennzeichnen EBSSnapshots Amazon EBS-Snapshots sollten nicht öffentlich wiederherstellbar sein |
EC21. |
EC21. |
EC21. |
EC21. |
|||
|
ASR-Entfernen VPCDefault SecurityGroupRules Die VPC-Standardsicherheitsgruppe sollte eingehenden und ausgehenden Datenverkehr verbieten |
EC22. |
4.3 |
EC22. |
5.3 |
EC22. |
5.4 |
EC22. |
|
ASR-fähige Protokolle VPCFlow Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs |
EC26. |
2,9 |
EC2.6 |
3.9 |
EC2.6 |
3.7 |
EC2.6 |
|
ASR- EnableEbsEncryptionByDefault Die EBS-Standardverschlüsselung sollte aktiviert sein |
EC27. |
2.2.1 |
EC2.7 |
2.2.1 |
EC2.7 |
||
|
ASR- RevokeUnrotatedKeys Die Zugangsschlüssel der Benutzer sollten alle 90 Tage oder weniger gewechselt werden |
IAM.3 |
1.4 |
1.14 |
IAM.3 |
1.14 |
IAM.3 |
|
|
ASR-Set-Richtlinie IAMPassword IAM-Standardkennwortrichtlinie |
IAM.7 |
1.5-1.11 |
IAM.8 |
1.8 |
IAM.7 |
1.8 |
IAM.7 |
|
ASR- Anmeldeinformationen RevokeUnused IAMUser Benutzeranmeldedaten sollten deaktiviert werden, wenn sie nicht innerhalb von 90 Tagen verwendet werden |
IAM.8 |
1.3 |
IAM.7 |
IAM.8 |
IAM.8 |
||
|
ASR- Anmeldeinformationen RevokeUnused IAMUser Benutzeranmeldedaten sollten deaktiviert werden, wenn sie nicht innerhalb von 45 Tagen verwendet werden |
1.12 |
1.12 |
IAM.22 |
||||
|
ASR- RemoveLambdaPublicAccess Lambda-Funktionen sollten den öffentlichen Zugriff verbieten |
Lambda.1 |
Lambda.1 |
Lambda.1 |
Lambda.1 |
|||
|
ASR Als privat kennzeichnen RDSSnapshot RDS-Snapshots sollten den öffentlichen Zugriff verbieten |
RDS.1 |
RDS.1 |
RDS.1 |
RDS.1 |
|||
|
ASR- DisablePublicAccessTo RDSInstance RDS-DB-Instances sollten den öffentlichen Zugriff verbieten |
RDS.2 |
RDS.2 |
RDS.2 |
2.3.3 |
RDS.2 |
||
|
ASR-verschlüsseln RDSSnapshot RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden |
RDS.4 |
RDS.4 |
RDS.4 |
||||
|
ASR- EnableMulti AZOn RDSInstance RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden |
RDS.5 |
RDS.5 |
RDS.5 |
||||
|
ASR- EnableEnhancedMonitoringOn RDSInstance Die erweiterte Überwachung sollte für RDS-DB-Instances und -Cluster konfiguriert werden |
RDS.6 |
RDS.6 |
RDS.6 |
||||
|
ASR-fähig RDSCluster DeletionProtection Für RDS-Cluster sollte der Löschschutz aktiviert sein |
RDS.7 |
RDS.7 |
RDS.7 |
||||
|
ASR-aktiviert RDSInstance DeletionProtection Für RDS-DB-Instances sollte der Löschschutz aktiviert sein |
RDS.8 |
RDS.8 |
RDS.8 |
||||
|
ASR- EnableMinorVersionUpgradeOn RDSDBInstance Automatische RDS-Upgrades für kleinere Versionen sollten aktiviert sein |
RDS.13 |
RDS.13 |
2.3.2 |
RDS.13 |
|||
|
ASR- EnableCopyTagsToSnapshotOn RDSCluster RDS-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren |
RDS.16 |
RDS.16 |
RDS.16 |
||||
|
ASR- DisablePublicAccessToRedshiftCluster Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten |
Redshift.1 |
Redshift.1 |
Redshift.1 |
Redshift.1 |
|||
|
ASR- EnableAutomaticSnapshotsOnRedshiftCluster Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein |
Redshift.3 |
Redshift.3 |
Redshift.3 |
||||
|
ASR- EnableRedshiftClusterAuditLogging Amazon Redshift Redshift-Cluster sollte die Audit-Protokollierung aktiviert sein |
Redshift.4 |
Redshift.4 |
Redshift.4 |
||||
|
ASR- EnableAutomaticVersionUpgradeOnRedshiftCluster Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein |
Redshift.6 |
Redshift.6 |
Redshift.6 |
||||
|
ASR-konfiguriert 3 PublicAccessBlock Die Einstellung S3 Block Public Access sollte aktiviert sein |
S3.1 |
2.3 |
S3.6 |
2.1.5.1 |
S3.1 |
2.1.4 |
S3.1 |
|
ASR-konfiguriert 3 BucketPublicAccessBlock S3-Buckets sollten öffentlichen Lesezugriff verbieten |
S3.2 |
S3.2 |
2.1.5.2 |
S3.2 |
S3.2 |
||
|
ASR-konfiguriert 3 BucketPublicAccessBlock S3-Buckets sollten öffentlichen Schreibzugriff verbieten |
S3.3 |
S3.3 |
|||||
|
ASR- S3 EnableDefaultEncryption Bei S3-Buckets sollte die serverseitige Verschlüsselung aktiviert sein |
S3.4 |
S3.4 |
2.1.1 |
S3.4 |
S3.4 |
||
|
ASR-Set-Richtlinie SSLBucket S3-Buckets sollten Anfragen zur Verwendung von SSL erfordern |
S3.5 |
S3.5 |
2.1.2 |
S3.5 |
2.1.1 |
S3.5 |
|
|
ASR-S3 BlockDenylist Amazon S3 S3-Berechtigungen, die anderen AWS-Konten in Bucket-Richtlinien gewährt wurden, sollten eingeschränkt werden |
S3.6 |
S3.6 |
S3.6 |
||||
|
Die Einstellung S3 Block Public Access sollte auf Bucket-Ebene aktiviert sein |
S3.8 |
S3.8 |
S3.8 |
||||
|
ASR-konfiguriert 3 BucketPublicAccessBlock Stellen Sie sicher, dass der S3-Bucket, auf den die CloudTrail Anmeldung erfolgt, nicht öffentlich zugänglich ist |
2.3 |
CloudTrail6. |
|||||
|
ASR- CreateAccessLoggingBucket Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist |
2.6 |
CloudTrail7. |
|||||
|
ASR- EnableKeyRotation Stellen Sie sicher, dass die Rotation für vom Kunden erstellte Dateien aktiviert CMKs ist |
2.8 |
KMS.1 |
3.8 |
KMS.4 |
3.6 |
KMS.4 |
|
|
ASR- CreateLogMetricFilterAndAlarm Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind |
3.1 |
4.1 |
Cloudwatch.1 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für die Anmeldung in der AWS-Managementkonsole ohne MFA vorhanden sind |
3.2 |
4.2 |
Cloudwatch.2 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Verwendung des Root-Benutzers vorhanden sind |
3.3 |
CW.1 |
4.3 |
Cloudwatch.3 |
|||
|
ASR- CreateLogMetricFilterAndAlarm Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der IAM-Richtlinie vorhanden sind |
3.4 |
4.4 |
Cloudwatch.4 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind |
3.5 |
4.5 |
Cloudwatch.5 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Authentifizierungsfehler in der AWS Management Console vorhanden sind |
3.6 |
4.6 |
Cloudwatch.6 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind, um vom Kunden erstellte Dateien zu deaktivieren oder zu löschen CMKs |
3.7 |
4.7 |
Cloudwatch.7 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind |
3.8 |
4,8 |
Cloudwatch.8 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für Änderungen der AWS Config vorhanden sind |
3.9 |
4,9 bis 4,9 |
Cloudwatch.9 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Sicherheitsgruppe vorhanden sind |
3,10 |
4,10 |
Cloudwatch.10 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind |
3,11 |
4,11 |
Cloudwatch.11 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an Network-Gateways vorhanden sind |
3,12 |
4,12 |
Cloudwatch.12 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Routing-Tabelle vorhanden sind |
3.13 |
4,13 |
Cloudwatch.13 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für VPC-Änderungen vorhanden sind |
3,14 |
4,14 |
Cloudwatch.14 |
||||
|
AWS- DisablePublicAccessForSecurityGroup Stellen Sie sicher, dass keine Sicherheitsgruppen den Zugang von 0.0.0.0/0 zu Port 22 zulassen |
4.1 |
EC25. |
EC21.3 |
EC2.13 |
|||
|
AWS- DisablePublicAccessForSecurityGroup Stellen Sie sicher, dass keine Sicherheitsgruppen den Zugang von 0.0.0.0/0 zu Port 3389 zulassen |
4.2 |
EC2.14 |
EC2.14 |
||||
|
ASR-Konfiguration SNSTopic ForStack |
CloudFormation1. |
CloudFormation1. |
CloudFormation1. |
||||
|
ASR-Rolle erstellen IAMSupport |
1.20 |
1,17 |
1,17 |
IAM.18 |
|||
|
ASR- Zuweisen DisablePublic IPAuto EC2 Amazon-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen |
EC21.5 |
EC2.15 |
EC2.15 |
||||
|
ASR- EnableCloudTrailLogFileValidation |
CloudTrail4. |
2.2 |
CloudTrail3. |
3.2 |
CloudTrail4. |
||
|
ASR- EnableEncryptionFor SNSTopic |
SNS.1 |
SNS.1 |
SNS.1 |
||||
|
ASR- EnableDeliveryStatusLoggingFor SNSTopic Die Protokollierung des Zustellungsstatus sollte für Benachrichtigungen aktiviert sein, die an ein Thema gesendet werden |
SNS.2 |
SNS.2 |
SNS.2 |
||||
|
ASR- EnableEncryptionFor SQSQueue |
SQS.1 |
SQS.1 |
SQS.1 |
||||
|
ASR-Make RDSSnapshot Private RDS-Snapshot sollte privat sein |
RDS.1 |
RDS.1 |
RDS.1 |
||||
|
ASR-Block SSMDocument PublicAccess SSM-Dokumente sollten nicht öffentlich sein |
SSM.4 |
SSM.4 |
SSM.4 |
||||
|
ASR- EnableCloudFrontDefaultRootObject CloudFront Bei Distributionen sollte ein Standard-Root-Objekt konfiguriert sein |
CloudFront1. |
CloudFront1. |
CloudFront1. |
||||
|
ASR- SetCloudFrontOriginDomain CloudFront Verteilungen sollten nicht auf nicht existierende S3-Ursprünge verweisen |
CloudFront1.2 |
CloudFront.12 |
CloudFront.12 |
||||
|
ASR- RemoveCodeBuildPrivilegedMode CodeBuild Projektumgebungen sollten eine protokollierende AWS-Konfiguration haben |
CodeBuild5. |
CodeBuild5. |
CodeBuild5. |
||||
|
ASR-Instanz beenden EC2 Gestoppte EC2 Instanzen sollten nach einem bestimmten Zeitraum entfernt werden |
EC24. |
EC24. |
EC24. |
||||
|
ASR-aktiviert IMDSV2 OnInstance EC2 Instanzen sollten Instance Metadata Service Version 2 () verwenden IMDSv2 |
EC2.8 |
EC2.8 |
5.6 |
EC2.8 |
|||
|
ASR- RevokeUnauthorizedInboudRules Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Verkehr für autorisierte Ports zulassen |
EC21.8 |
EC2.18 |
EC2.18 |
||||
|
HIER DEN TITEL EINFÜGEN Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen |
EC21.9 |
EC2.19 |
EC2.19 |
||||
|
ASR-deaktivieren TGWAuto AcceptSharedAttachments Amazon EC2 Transit Gateways sollte VPC-Anhangsanfragen nicht automatisch akzeptieren |
EC22.3 |
EC22,3 |
EC22,3 |
||||
|
ASR- EnablePrivateRepositoryScanning Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein |
ECR.1 |
ECR.1 |
ECR.1 |
||||
|
ASR- EnableGuardDuty GuardDuty sollte aktiviert sein |
GuardDuty1. |
GuardDuty1. |
GuardDuty1. |
GuardDuty1. |
|||
|
ASR-Configures3 BucketLogging Die Protokollierung des S3-Bucket-Servers sollte aktiviert sein |
S3.9 |
S3.9 |
S3.9 |
||||
|
ASR- EnableBucketEventNotifications Bei S3-Buckets sollten Ereignisbenachrichtigungen aktiviert sein |
S3.11 |
S3.11 |
S3.11 |
||||
|
ASR-Sets3 LifecyclePolicy Für S3-Buckets sollten Lebenszyklusrichtlinien konfiguriert sein |
S3.13 |
S3.13 |
S3.13 |
||||
|
ASR- EnableAutoSecretRotation Secrets Manager Manager-Geheimnissen sollte die automatische Rotation aktiviert sein |
SecretsManager1. |
SecretsManager1. |
SecretsManager1. |
||||
|
ASR- RemoveUnusedSecret Unbenutzte Secrets Manager Manager-Geheimnisse entfernen |
SecretsManager3. |
SecretsManager3. |
SecretsManager3. |
||||
|
ASR- UpdateSecretRotationPeriod Secrets Manager Manager-Geheimnisse sollten innerhalb einer bestimmten Anzahl von Tagen rotiert werden |
SecretsManager4. |
SecretsManager4. |
SecretsManager4. |
||||
|
ASR-aktiviert APIGateway CacheDataEncryption API-Gateway-REST-API-Cache-Daten sollten im Ruhezustand verschlüsselt werden |
APIGateway5. |
APIGateway5. |
|||||
|
ASR- SetLogGroupRetentionDays CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden |
CloudWatch1.6 |
CloudWatch.16 |
|||||
|
ASR- AttachService VPCEndpoint Amazon EC2 sollte für die Verwendung von VPC-Endpunkten konfiguriert sein, die für den Amazon-Service erstellt wurden EC2 |
EC21.0 |
EC2.10 |
EC2.10 |
||||
|
ASR- TagGuardDutyResource GuardDuty Filter sollten markiert werden |
GuardDuty2. |
||||||
|
ASR- TagGuardDutyResource GuardDuty Detektoren sollten markiert werden |
GuardDuty4. |
||||||
|
ASR-Anhängen SSMPermissions an EC2 EC2 Amazon-Instances sollten von Systems Manager verwaltet werden |
SSM.1 |
SSM.3 |
SSM.1 |
||||
|
ASR- ConfigureLaunchConfigNoPublic IPDocument EC2 Amazon-Instances, die mit Auto Scaling Scaling-Gruppenstartkonfigurationen gestartet wurden, sollten keine öffentlichen IP-Adressen haben |
AutoScaling.5 |
AutoScaling.5 |
|||||
|
ASR-aktivieren APIGateway ExecutionLogs |
APIGateway1. |
APIGateway1. |
|||||
|
ASR- EnableMacie Amazon Macie sollte aktiviert sein |
Macie.1 |
Macie.1 |
Macie.1 |
||||
|
ASR- EnableAthenaWorkGroupLogging Athena Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein |
Athena.4 |
Athena.4 |
