Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kepatuhan konfigurasi di Accelerate
AMS Accelerate membantu Anda mengonfigurasi sumber daya Anda dengan standar tinggi untuk keamanan dan integritas operasional, serta mematuhi standar industri berikut:
Pusat Keamanan Internet (CIS)
Institut Nasional Standar dan Teknologi (NIST) Kerangka Keamanan Cloud (CSF)
Undang-Undang Akuntabilitas dan Portabilitas Asuransi Kesehatan (HIPAA)
Standar Keamanan Data Industri Kartu Pembayaran (PCI) (DSS)
Kami melakukan ini dengan menerapkan seluruh AWS Config aturan kepatuhan kami yang ditetapkan ke akun Anda, lihatPustaka Aturan Konfigurasi AMS. AWS Config Aturan mewakili konfigurasi yang diinginkan untuk sumber daya dan dievaluasi terhadap perubahan konfigurasi pada pengaturan sumber daya Anda AWS . Setiap perubahan konfigurasi memicu sejumlah besar aturan untuk menguji kepatuhan. Misalnya, Anda membuat bucket Amazon S3, dan mengonfigurasinya agar dapat dibaca publik, yang melanggar standar NIST. bucket-public-read-prohibited Aturan ams-nist-cis-s 3 mendeteksi pelanggaran dan memberi label bucket S3 Anda Tidak Sesuai dalam Laporan Konfigurasi Anda. Karena aturan ini termasuk dalam kategori remediasi Insiden Otomatis, ia segera membuat Laporan Insiden, memperingatkan Anda tentang masalah tersebut. Pelanggaran aturan lain yang lebih parah dapat menyebabkan AMS memperbaiki masalah secara otomatis. Lihat Tanggapan terhadap pelanggaran di Accelerate.
penting
Jika Anda ingin kami berbuat lebih banyak, misalnya, jika Anda ingin AMS memulihkan pelanggaran untuk Anda, terlepas dari kategori remediasinya, kirimkan Permintaan Layanan yang meminta AMS untuk memulihkan sumber daya yang tidak sesuai untuk Anda. Dalam Permintaan Layanan, sertakan komentar seperti “Sebagai bagian dari perbaikan aturan konfigurasi AMS, harap pulihkan sumber daya non-keluhanRESOURCE_ARNS_OR_IDs, aturan konfigurasi CONFIG_RULE_NAME di akun” dan tambahkan masukan yang diperlukan untuk memulihkan pelanggaran.
Jika Anda ingin kami melakukan lebih sedikit, misalnya, jika Anda tidak ingin kami mengambil tindakan pada bucket S3 tertentu yang memerlukan akses publik berdasarkan desain, Anda dapat membuat pengecualian, lihat. Membuat pengecualian aturan di Accelerate
Pustaka Aturan Konfigurasi AMS
Accelerate menerapkan pustaka aturan konfigurasi AMS untuk melindungi akun Anda. Aturan konfigurasi ini dimulai denganams-. Anda dapat melihat aturan dalam akun Anda, dan status kepatuhannya, baik dari AWS Config konsol, AWS CLI, atau API. AWS Config Untuk informasi umum tentang penggunaan AWS Config, lihat ViewingConfiguration Kepatuhan.
catatan
Untuk keikutsertaan Wilayah AWS, dan Wilayah cloud gov, kami hanya menerapkan subset aturan konfigurasi karena pembatasan Wilayah. Periksa ketersediaan aturan di Wilayah dengan memeriksa tautan yang terkait dengan pengenal di tabel aturan konfigurasi AMS Accelerate.
Anda tidak dapat menghapus Aturan Konfigurasi AMS yang diterapkan.
Tabel Aturan
Unduh sebagai ams_config_rules.zip.
| Nama Aturan | Layanan | Pemicu | Tindakan | Kerangka Kerja |
|---|---|---|---|---|
| ams-nist-cis-guardduty-diaktifkan-terpusat | GuardDuty | Berkala | Remediasi | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 2.2,3.4,8.2.1; |
| ams-nist-cis-vpc-flow-logs-enabled | VPC | Berkala | Remediasi | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1,10.3.3.2,10.3.3,10.3.4,10.3.5,10.3.6; |
| ams-eks-secrets-encrypted | EKS | Berkala | Insiden | CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-eks-endpoint-no-akses publik | EKS | Berkala | Insiden | CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-nist-cis-vpc-default-security-group-closed | VPC | Perubahan Config | Insiden | CIS: CIS.11 , CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.312 (e) (1); PCI: 1.2,1.3,2.1,2.2,1.2.1,1.3.2.2.2.2; |
| ams-nist-cis-iam-kata sandi-kebijakan | IAM | Berkala | Insiden | CIS: NA; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (B), 164.308 (a) (4) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (B) ,164.308 (a) (4) (ii) (C) ,164.312 (a) (1); PCI: 7.1.2,7.1.3,7.2.1.1.7.2.2; |
| ams-nist-cis-iam-root-access-key-check | IAM | Berkala | Insiden | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (A), 164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (B) ,164.308 (a) (4) (ii) (C) ,164.312 (a) (1); PCI: 2.2,7.1.2,7.1.3.7.2.1.7.2.2; |
| ams-nist-cis-iam-user-mfa-enabled | IAM | Berkala | Insiden | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (B) ,164.308 (a) (4) (ii) (C) ,164.312 (a) (1); PCI: 2.2,7.1.2,7.1.1.3.7.2.1.1.7.2.2; |
| ams-nist-cis-restricted-ssh | Grup Keamanan | Perubahan Config | Insiden | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (b) ,164.308 (a) (4) (ii) (c), 164.308 312 (a) (1); PCI: 2.2,7.2.1,8.1.4; |
| ams-nist-cis-restricted-pelabuhan umum | Grup Keamanan | Perubahan Config | Insiden | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (B) ,164.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,2.2,1.2.1.1.1.1.3.2,2,2.2.2; |
| ams-nist-cis-s3- account-level-public-access -blok | S3 | Perubahan Config | Insiden | CIS: CIS.9, CIS.12, CIS.14; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 4.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.2.1,1.3,1.3.1,1.3.2,1.3.4,1.3.6.2.2.2.2.2; |
| ams-nist-cis-s3- bucket-public-read-prohibited | S3 | Perubahan Config | Insiden | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 4.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.3.6.2.2.2; |
| ams-nist-cis-s3- bucket-public-write-prohibited | S3 | Perubahan Config | Insiden | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 4.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.3.6.2.2.2; |
| ams-nist-cis-s3 bucket-server-side-encryption - diaktifkan | S3 | Perubahan Config | Insiden | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (c) (2) ,164.312 (e) (2) (ii); PCI: 2.2,3.4,10.5,8.2.1; |
| ams-nist-cis-securityhub-diaktifkan | Security Hub | Berkala | Insiden | CIS: CIS.3 , CIS.4, CIS.6, CIS.12, CIS.16, CIS.19; NIST-CSF: PR.DS-5, PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-cis-ec2- instance-managed-by-systems -manajer | EC2 | Perubahan Config | Laporan | CIS: CIS.2, CIS.5; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: 164.308 (a) (5) (ii) (B); PCI: 2.4; |
| ams-nist-cis-cloudtrail-diaktifkan | CloudTrail | Berkala | Laporan | CIS: CIS.16, CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A), 164.308 (a) (5) (ii) (c), 164.312 (b); PCI: 10.1,10.2.1,10.2.2,10.2.3,10.2.4,10.2.5,10.2.6,10.2.7,10.3.1,10.3.3.2,10.3.3,10.3.3.4,10.3.3.5,10.3.6; |
| ams-nist-cis-access-kunci-diputar | IAM | Berkala | Laporan | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: 2.2; |
| ams-nist-cis-acm-certificate-expiration-check | Certificate Manager | Perubahan Config | Laporan | CIS: CIS.13 , CIS.14; NIST-CSF: PR.AC-5, PR.PT-4; HIPAA: NA; PCI: 4.1; |
| ams-nist-cis-alb- http-to-https-redirection -periksa | ALB | Berkala | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii); PCI: 2.3,4.1,8.2.1; |
| ams-nist-cis-api- gw-cache-enabled-and -dienkripsi | API Gateway | Perubahan Config | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 3.4; |
| ams-nist-cis-api-gw-execution-logging-enabled | API Gateway | Perubahan Config | Laporan | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164.312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-autoscaling-group-elb-healthcheck-required | ELB | Perubahan Config | Laporan | CIS: NA; NIST-CSF: PR.PT-1, PR.PT-5; HIPAA: 164.312 (b); PCI: 2.2; |
| ams-nist-cis-cloud-trail-encryption-enabled | CloudTrail | Berkala | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 2.2,3.4,10.5; |
| ams-nist-cis-cloud- trail-log-file-validation -diaktifkan | CloudTrail | Berkala | Laporan | CIS: CIS.6; NIST-CSF: PR.DS-6; HIPAA: 164.312 (c) (1) ,164.312 (c) (2); PCI: 2.2,10.5,11.5,10.5.2,10.5.5; |
| ams-nist-cis-cloudtrail-s3-dataevents-diaktifkan | CloudTrail | Berkala | Laporan | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.5,10.3.1,10.3.2.2,10.3.3,10.3.4,10.3.5,10.3.6; |
| ams-nist-cis-cloudwatch-alarm-action-check | CloudWatch | Perubahan Config | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: NA; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 3.4; |
| ams-nist-cis-cloudwatch-log-group-encrypted | CloudWatch | Berkala | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: NA; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 3.4; |
| ams-nist-cis-codebuild-project-envvar-awscred-check | CodeBuild | Perubahan Config | Laporan | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C) ,164.312 (a) (1); PCI: 8.2.1; |
| ams-nist-cis-codebuild- project-source-repo-url -periksa | CodeBuild | Perubahan Config | Laporan | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (C) ,164.312 (a) (1); PCI: 8.2.1; |
| ams-nist-cis-db-instance-backup-enabled | RDS | Perubahan Config | Laporan | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i) ,164.308 (a) (7) (ii) (ii) (ii); PCI: NA; |
| ams-nist-cis-dms-replication-not-public | DMS | Berkala | Laporan | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 4.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.3.6,2.2.2; |
| ams-nist-dynamodb-autoscaling-diaktifkan | DynamoDB | Berkala | Laporan | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i) ,164.308 (a) (7) (ii) (C); PCI: NA; |
| ams-nist-cis-dynamodb-pitr-diaktifkan | DynamoDB | Berkala | Laporan | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i) ,164.308 (a) (7) (ii) (ii) (ii); PCI: NA; |
| ams-nist-dynamodb-throughput-cek batas | DynamoDB | Berkala | Laporan | CIS: NA; NIST-CSF: NA; HIPPER: 164.312 (b); PCI: NA; |
| ams-nist-ebs-optimized-contoh | EBS | Perubahan Config | Laporan | CIS: NA; NIST-CSF: NA; HIPAA: 164.308 (a) (7) (i); PCI: NA; |
| ams-nist-cis-ebs-snapshot-public-restorable-check | EBS | Berkala | Laporan | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 4.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.3.6,2.2.2; |
| ams-nist-ec2- instance-detailed-monitoring-enabled | EC2 | Perubahan Config | Laporan | CIS: NA; NIST-CSF: DE.AE-1, PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-cis-ec2- instance-no-public-ip | EC2 | Perubahan Config | Laporan | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6.2.2.2; |
| ams-nist-cis-ec2- managedinstance-association-compliance-status -periksa | EC2 | Perubahan Config | Laporan | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii)) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-ec2- managedinstance-patch-compliance-status -periksa | EC2 | Perubahan Config | Laporan | CIS: CIS.2, CIS.5; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: 164.308 (a) (5) (ii) (B); PCI: 6.2; |
| ams-nist-cis-ec2-stopped-instance | EC2 | Berkala | Laporan | CIS: CIS.2 ; NIST-CSF: ID.AM-2, PR.IP-1; HIPA: NA; PCI: NA; |
| ams-nist-cis-ec2- volume-inuse-check | EC2 | Perubahan Config | Laporan | CIS: CIS.2 ; NIST-CSF: PR.IP-1; HIPA: NA; PCI: NA; |
| ams-nist-cis-efs-terenkripsi-periksa | EFS | Berkala | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-eip-Terlampir | EC2 | Perubahan Config | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-elasticache- redis-cluster-automatic-backup -periksa | ElastiCache | Berkala | Laporan | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i) ,164.308 (a) (7) (ii) (ii) (ii); PCI: NA; |
| ams-nist-cis-opensearch-encrypted-at-rest | OpenSearch | Berkala | Laporan | CIS: CIS.14, CIS.13; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-opensearch-in-vpc-only | OpenSearch | Berkala | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-elb-acm-certificate-required | Certificate Manager | Perubahan Config | Laporan | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-elb-deletion-proteksi-diaktifkan | ELB | Perubahan Config | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii); PCI: 4.1,8.2.1; |
| ams-nist-cis-elb-logging-diaktifkan | ELB | Perubahan Config | Laporan | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164.312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-cis-emr-kerberos-diaktifkan | EMR | Berkala | Laporan | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164.312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-cis-emr-master-no-public-ip | EMR | Berkala | Laporan | CIS: CIS.14, CIS.16; NIST-CSF: PR.AC-1, PR.AC-4, PR.AC-6; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (A), 164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (B) ,164.308 (a) (4) (ii) (C) ,164.312 (a) (1); PCI: 7.2.1; |
| ams-nist-cis-encrypted-volume | EBS | Perubahan Config | Laporan | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii)) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-guardduty-non-archived-findings | GuardDuty | Berkala | Laporan | CIS: CIS.12 , CIS.13, CIS.16, CIS.19, CIS.3, CIS.4, CIS.6, CIS.8; NIST-CSF: DE.AE-2, DE.AE-3, DE.CM-4, DE.DP-5, ID.RA-1, ID.RA-3, PR.DS-5, PR.PT-1; HIPAA: 164.308 (a) (5) (ii) (C) ,164.308 (a) (6) (ii) ,164.312 (b); PCI: 6.1,11.4,5.1.2; |
| ams-nist-iam-group-has-users-check | IAM | Perubahan Config | Laporan | CIS: NA; NIST-CSF: PR.AC-4, PR.AC-1; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (B), 164.308 (a) (4) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (B) ,164.308 (a) (4) (ii) (C) ,164.312 (a) (1); PCI: 7.1.2,7.1.3,7.2.1.1.7.2.2; |
| ams-nist-cis-iam- policy-no-statements-with -akses admin | IAM | Perubahan Config | Laporan | CIS: CIS.16; NIST-CSF: PR.AC-6, PR.AC-7; HIPAA: 164.308 (a) (4) (ii) (B) ,164.308 (a) (5) (ii) (D) ,164.312 (d); PCI: 8.2.3,8.2.4,8.2.5; |
| ams-nist-cis-iam-user-group-membership-check | IAM | Perubahan Config | Laporan | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B) ,164.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (a) (2) (i); PCI: 2.2,7.1.2,7.2.1,8.1.1; |
| ams-nist-cis-iam-user-no-policies-check | IAM | Perubahan Config | Laporan | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-7; HIPAA: 164.308 (a) (4) (ii) (B) ,164.312 (d); PCI: 8.3; |
| ams-nist-cis-iam-user-unused-credentials-check | IAM | Berkala | Laporan | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (B) ,164.308 (a) (4) (ii) (C) ,164.312 (a) (1); PCI: 2.2,7.1.2,7.1.3,7.2.2.1,7.2.2; |
| ams-nist-cis-ec2- instances-in-vpc | EC2 | Perubahan Config | Laporan | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii) (B) ,164.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,2.2,1.2.1.1.1.1.3.2,2,2.2.2; |
| ams-nist-cis-internet-gateway-authorized-vpc-only | Internet Gateway | Berkala | Laporan | CIS: CIS.9 , CIS.12; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-nist-cis-kms- cmk-not-scheduled-for -penghapusan | KMS | Berkala | Laporan | CIS: CIS.13 , CIS.14; NIST-CSF: PR.DS-1; HIPA: NA; PCI: 3.5,3.6; |
| ams-nist-lambda-concurrency-periksa | Lambda | Perubahan Config | Laporan | CIS: NA; NIST-CSF: NA; HIPPER: 164.312 (b); PCI: NA; |
| ams-nist-lambda-dlq-periksa | Lambda | Perubahan Config | Laporan | CIS: NA; NIST-CSF: NA; HIPPER: 164.312 (b); PCI: NA; |
| ams-nist-cis-lambda-function-public-access-prohibited | Lambda | Perubahan Config | Laporan | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,2.2.2; |
| ams-nist-cis-lambda-dalam-vpc | Lambda | Perubahan Config | Laporan | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A) ,164.308 (a) (4) (ii)) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,2.2.2; |
| ams-nist-cis-mfa- enabled-for-iam-console -akses | IAM | Berkala | Laporan | CIS: CIS.16 ; NIST-CSF: PR.AC-7; HIPA: 164.312 (d); PCI: 2.2,8.3; |
| ams-nist-cis-multi-region-cloudtrail-enabled | CloudTrail | Berkala | Laporan | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1,10.1.1,10.2.2.2,10.2.3,10.2.4,10.0.0.2.5,10.2.6,10.2.7,10.3.1,10.3.3.2,10.3.3,10.3.4,10.3.5,10.3.6; |
| ams-nist-rds-enhanced-pemantauan-diaktifkan | RDS | Perubahan Config | Laporan | CIS: NA; NIST-CSF: PR.PT-1; HIPA: 164.312 (b); PCI: NA; |
| ams-nist-cis-rds-instance-public-access-check | RDS | Perubahan Config | Laporan | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 4.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.3.6,2.2.2; |
| ams-nist-rds-multi-az-dukungan | RDS | Perubahan Config | Laporan | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i) ,164.308 (a) (7) (ii) (C); PCI: NA; |
| ams-nist-cis-rds-snapshots-public-prohibited | RDS | Perubahan Config | Laporan | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 4.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.3.6,2.2.2; |
| ams-nist-cis-rds-penyimpanan-dienkripsi | RDS | Perubahan Config | Laporan | CIS: CIS.13, CIS.5, CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (b) ,164.312 (e) (2) (ii); PCI: 3.4,10.1,10.1,10.0.2.1,10.2.2,10.2.3,10.2.4,10.2.5,10.3.1,10.3.3.2,10.3.3,10.3.4,10.3.5,10.3.6.8.2.1; |
| ams-nist-cis-redshift-cluster-configuration-check | RedShift | Perubahan Config | Laporan | CIS: CIS.6, CIS.13, CIS.5; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (b) ,164.312 (e) (2) (ii); PCI: 3.4,8.1,12.2.0.1,10.2.1,10.2.2,10.2.3,10.2.4,10.2.5,10.3.1,10.3.3.2,10.3.3,10.3.3.4,10.3.5,10.3.6; |
| ams-nist-cis-redshift-cluster-public-access-check | RedShift | Perubahan Config | Laporan | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 4.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.3.6,2.2.2; |
| ams-nist-cis-redshift-require-tls-ssl | RedShift | Berkala | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii); PCI: 2.3,4.1; |
| ams-nist-cis-root-account-hardware-mfa-enabled | IAM | Berkala | Laporan | CIS: CIS.16 , CIS.4; NIST-CSF: PR.AC-7; HIPAA: 164.312 (d); PCI: 2.2,8.3; |
| ams-nist-cis-root-account-mfa-enabled | IAM | Berkala | Laporan | CIS: CIS.16 , CIS.4; NIST-CSF: PR.AC-7; HIPAA: 164.312 (d); PCI: 2.2,8.3; |
| ams-nist-cis-s3- bucket-default-lock-enabled | S3 | Perubahan Config | Laporan | CIS: CIS.14 , CIS.13; NIST-CSF: ID.BE-5, PR.PT-5, RC.RP-1; HIPA: NA; PCI: NA; |
| ams-nist-cis-s3- bucket-logging-enabled | S3 | Perubahan Config | Laporan | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.4,10.2.5,10.2.2.7,10.3.1,10.3.2,10.3.3,10.3.4,10.3.3.5,10.3.6; |
| ams-nist-cis-s3- bucket-replication-enabled | S3 | Perubahan Config | Laporan | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i) ,164.308 (a) (7) (ii) (ii) (ii); PCI: 2.2,10.5.3; |
| ams-nist-cis-s3- bucket-ssl-requests-only | S3 | Perubahan Config | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv) ,164.312 (c) (2) ,164.312 (e) (1) ,164.312 (e) (2) (i) ,164.312 (e) (2) (ii); PCI: 2.2,4.1,8.2.1; |
| ams-nist-cis-s3- bucket-versioning-enabled | S3 | Berkala | Laporan | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.DS-6, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i) ,164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B) ,164.312 (c) (1) ,164.312 (c) (2); PCI: 10.5.3; |
| ams-nist-cis-sagemaker- endpoint-configuration-kms-key -dikonfigurasi | SageMaker | Berkala | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-sagemaker- notebook-instance-kms-key -dikonfigurasi | SageMaker | Berkala | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-sagemaker- notebook-no-direct-internet -akses | SageMaker | Berkala | Laporan | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C) ,164.312 (a) (1) ,164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-secretsmanager-rotation-enabled-check | Secrets Manager | Perubahan Config | Laporan | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: NA; |
| ams-nist-cis-secretsmanager-scheduled-rotation-success-check | Secrets Manager | Perubahan Config | Laporan | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: NA; |
| ams-nist-cis-sns-terenkripsi-kms | SNS | Perubahan Config | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 8.2.1; |
| ams-nist-cis-vpc- sg-open-only-to -port resmi | VPC | Perubahan Config | Laporan | CIS: CIS.11 , CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1.2.2.2.2; |
| ams-nist-vpc-vpn-2-terowongan | VPC | Perubahan Config | Laporan | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i); PCI: NA; |
| ams-cis-ec2- ebs-encryption-by-default | EC2 | Berkala | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 2.2,3.4,8.2.1; |
| ams-cis-rds-snapshot-dienkripsi | RDS | Perubahan Config | Laporan | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv) ,164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-cis-redshift-cluster-pengaturan pemeliharaan-periksa | RedShift | Perubahan Config | Laporan | CIS: CIS.5; NIST-CSF: PR.DS-4, PR.IP-1, PR.IP-4; HIPAA: 164.308 (a) (5) (ii) (A) ,164.308 (a) (7) (ii) (A); PCI: 6.2; |
Tanggapan terhadap pelanggaran di Accelerate
Semua pelanggaran Aturan Config muncul di Laporan Konfigurasi Anda. Ini adalah respons universal. Bergantung pada Kategori Remediasi (tingkat keparahan) aturan, AMS mungkin mengambil tindakan tambahan, dirangkum dalam tabel berikut. Untuk detail tentang cara menyesuaikan Kode Tindakan untuk aturan tertentu, lihatTanggapan temuan yang disesuaikan.
Tindakan Remediasi
| Kode Aksi | Tindakan AMS |
|---|---|
| Laporan | |
| Insiden | |
| Remediasi |
Meminta Bantuan Tambahan
catatan
AMS dapat memulihkan pelanggaran apa pun untuk Anda, terlepas dari kategori remediasinya. Untuk meminta bantuan, kirimkan Permintaan Layanan, dan tunjukkan sumber daya mana yang Anda ingin AMS perbaiki dengan komentar seperti “Sebagai bagian dari perbaikan aturan konfigurasi AMS, harap pulihkan RESOURCE_ARNS_OR_IDs sumber daya non-keluhan ARNs/IDs>, aturan konfigurasi CONFIG_RULE_NAME di akun” dan tambahkan input yang diperlukan untuk memulihkan pelanggaran.
AMS Accelerate memiliki perpustakaan dokumen AWS Systems Manager otomatisasi dan runbook untuk membantu memulihkan sumber daya yang tidak sesuai.
Tambahkan ke Config Report
AMS menghasilkan Laporan Config yang melacak status kepatuhan semua aturan dan sumber daya di akun Anda. Anda dapat meminta laporan dari CSDM Anda. Anda juga dapat meninjau status kepatuhan dari konsol AWS Config, AWS CLI, atau Config API. AWS Laporan Config Anda meliputi:
Sumber daya teratas yang tidak patuh di lingkungan Anda, untuk menemukan potensi ancaman dan kesalahan konfigurasi
Kepatuhan sumber daya dan aturan konfigurasi dari waktu ke waktu
Deskripsi aturan konfigurasi, tingkat keparahan aturan, dan langkah-langkah perbaikan yang disarankan untuk memperbaiki sumber daya yang tidak sesuai
Ketika sumber daya apa pun masuk ke status tidak patuh, status sumber daya (dan status aturan) menjadi Tidak Sesuai dalam Laporan Config Anda. Jika aturan tersebut termasuk dalam kategori remediasi Config Report Only, secara default, AMS tidak akan mengambil tindakan lebih lanjut. Anda selalu dapat membuat Permintaan Layanan untuk meminta bantuan atau perbaikan tambahan dari AMS.
Untuk detail selengkapnya, lihat AWS Pelaporan Config.
Laporan insiden otomatis di Accelerate
Untuk pelanggaran aturan yang cukup berat, AMS secara otomatis membuat Laporan Insiden untuk memberi tahu Anda bahwa sumber daya telah masuk ke status tidak patuh, dan menanyakan tindakan mana yang ingin Anda lakukan. Anda memiliki opsi berikut saat menanggapi suatu insiden:
Minta AMS memulihkan sumber daya yang tidak sesuai yang tercantum dalam insiden tersebut. Kemudian, kami mencoba untuk memulihkan sumber daya yang tidak patuh, dan memberi tahu Anda setelah insiden yang mendasarinya diselesaikan.
Anda dapat menyelesaikan item yang tidak sesuai secara manual di konsol atau melalui sistem penerapan otomatis Anda (misalnya, pembaruan template CI/CD Pipeline); kemudian, Anda dapat menyelesaikan insiden tersebut. Sumber daya yang tidak patuh dievaluasi kembali sesuai jadwal aturan dan, jika sumber daya dievaluasi sebagai tidak sesuai, laporan insiden baru dibuat.
Anda dapat memilih untuk tidak menyelesaikan sumber daya yang tidak patuh dan hanya menyelesaikan insiden tersebut. Jika Anda memperbarui konfigurasi sumber daya nanti, AWS Config akan memicu evaluasi ulang dan Anda akan diperingatkan lagi untuk mengevaluasi ketidakpatuhan sumber daya tersebut.
Remediasi otomatis di Accelerate
Aturan paling kritis termasuk dalam kategori Auto Remediate. Ketidakpatuhan terhadap aturan ini dapat sangat memengaruhi keamanan dan ketersediaan akun Anda. Ketika sumber daya melanggar salah satu aturan ini:
AMS secara otomatis memberi tahu Anda dengan Laporan Insiden.
AMS memulai remediasi otomatis menggunakan dokumen SSM otomatis kami.
AMS memperbarui Laporan Insiden dengan keberhasilan atau kegagalan remediasi otomatis.
Jika remediasi otomatis gagal, insinyur AMS menyelidiki masalah ini.
Membuat pengecualian aturan di Accelerate
Fitur pengecualian Aturan AWS Config sumber daya memungkinkan Anda menekan pelaporan sumber daya tertentu yang tidak sesuai untuk aturan tertentu.
catatan
Sumber daya yang dikecualikan masih muncul sebagai Tidak Sesuai di konsol Layanan Config AWS Anda. Sumber daya yang dikecualikan muncul dengan tanda khusus di Config Reports (Resource_exception:true). Anda CSDMs dapat memfilter sumber daya tersebut sesuai dengan kolom itu saat membuat laporan.
Jika Anda memiliki sumber daya yang Anda tahu tidak sesuai, Anda dapat menghilangkan sumber daya tertentu untuk aturan konfigurasi tertentu dalam Laporan Config mereka. Untuk melakukannya:
Kirim permintaan layanan ke Accelerate terhadap akun Anda, dengan daftar aturan konfigurasi dan sumber daya yang akan dikecualikan dari laporan. Anda harus memberikan justifikasi bisnis eksplisit (seperti, tidak perlu melaporkannya resource_name_1 dan tidak resource_name_2 didukung karena kami tidak ingin mereka didukung). Untuk bantuan mengirimkan permintaan layanan Accelerate, lihat. Membuat permintaan layanan di Accelerate
Tempelkan ke permintaan input berikut (untuk setiap sumber daya tambahkan blok terpisah dengan semua bidang yang diperlukan, seperti yang ditunjukkan), lalu kirimkan:
[ { "resource_name": "resource_name_1", "config_rule_name": "config_rule_name_1", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" }, { "resource_name": "resource_name_2", "config_rule_name": "config_rule_name_2", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" } ]
Mengurangi AWS Config biaya di Accelerate
Anda dapat mengurangi biaya AWS Config dengan menggunakan opsi untuk merekam jenis AWS::EC2::Instance sumber daya secara berkala. Perekaman berkala menangkap perubahan konfigurasi terbaru dari sumber daya Anda setiap 24 jam sekali, mengurangi jumlah perubahan yang dikirimkan. Saat diaktifkan, AWS Config hanya mencatat konfigurasi sumber daya terbaru pada akhir periode 24 jam. Hal ini memungkinkan Anda untuk menyesuaikan data konfigurasi dengan perencanaan operasional tertentu, kepatuhan, dan penggunaan audit kasus yang tidak memerlukan pemantauan berkelanjutan. Perubahan ini direkomendasikan hanya jika Anda memiliki aplikasi yang bergantung pada arsitektur fana, yang berarti Anda terus-menerus menskalakan jumlah instance ke atas atau ke bawah.
Untuk ikut serta dalam perekaman berkala untuk jenis AWS::EC2::Instance sumber daya, hubungi Tim Pengiriman AMS Anda.
