Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol standar di AMS Accelerate
Berikut ini adalah kontrol standar di AMS:
| ID | Standar teknis |
|---|---|
| 1.0 | Durasi Batas Waktu |
| 1.1 | Sesi batas waktu default pengguna federasi adalah satu jam dan dapat ditingkatkan hingga empat jam. |
| 1.2 | Batas waktu sesi RDP untuk Microsoft Windows Server diatur ke 15 menit dan dapat diperpanjang berdasarkan kasus penggunaan. |
| 2.0 | AWS Penggunaan Akun Root |
| 2.1 | Jika ada penggunaan akun root karena alasan apa pun, Amazon GuardDuty harus dikonfigurasi untuk menghasilkan temuan yang relevan. |
| 2.2 | Kunci akses untuk akun root tidak boleh dibuat. |
| 3.0 | Pembuatan dan Modifikasi Pengguna |
| 3.1 | IAM users/roles dengan akses terprogram dan dengan izin baca saja dapat dibuat tanpa kebijakan terbatas waktu. Namun, izin untuk mengizinkan pembacaan objek (misalnya, S3:GetObject) di semua bucket Amazon Simple Storage Service di akun tidak diizinkan. |
| 3.1.1 | Pengguna manusia IAM untuk akses konsol dan dengan izin baca saja dapat dibuat dengan kebijakan terikat waktu (hingga 180 hari) sedangkan kebijakan terikat waktu akan menghasilkan pemberitahuan risiko. removal/renewal/extension Namun, izin untuk mengizinkan pembacaan objek (misalnya, S3:GetObject) di semua ember S3 di akun tidak diizinkan. |
| 3.2 | Pengguna IAM dan peran untuk konsol dan akses terprogram dengan izin mutasi infrastruktur apa pun (manajemen tulis dan izin) di akun pelanggan tidak boleh dibuat tanpa penerimaan risiko. Ada pengecualian untuk izin tulis tingkat objek S3 yang diizinkan tanpa penerimaan risiko selama bucket tertentu berada dalam cakupan dan operasi penandaan pada tag terkait non-AMS. |
| 3.3 | Di Server Microsoft Windows, hanya Akun Layanan Terkelola grup Microsoft (GMSA) yang harus dibuat. |
| 4.0 | Kebijakan, Tindakan, dan APIs |
| 4.4 | Kebijakan tidak boleh memberikan akses administrator dengan pernyataan yang setara dengan “Efek”: “Izinkan” dengan “Tindakan”: “*” di atas “Sumber Daya”: “*” tanpa penerimaan risiko. |
| 4.6 | Panggilan API terhadap kebijakan kunci KMS untuk kunci infrastruktur AMS dalam kebijakan IAM pelanggan tidak boleh diizinkan. |
| 4.8 | Tindakan, yang mengubah catatan DNS infrastruktur AMS di Amazon Route 53 tidak boleh diizinkan. |
| 4.9 | Pengguna manusia IAM dengan akses konsol yang dibuat setelah mengikuti proses hukum, tidak boleh memiliki kebijakan apa pun yang dilampirkan secara langsung kecuali kebijakan kepercayaan, peran, dan kebijakan terbatas waktu. |
| 4.10 | Profil EC2 instans Amazon dengan akses baca ke rahasia atau namespace tertentu di AWS Secrets Manager dalam akun yang sama dapat dibuat. |
| 4.12 | Kebijakan IAM tidak boleh menyertakan tindakan apa pun yang mencakup tindakan Izinkan log: DeleteLogGroup dan log: DeleteLogStream pada grup CloudWatch log AMS Amazon mana pun. |
| 4.13 | Izin untuk membuat kunci multi-wilayah tidak boleh diizinkan. |
| 4.14 | Akses ke bucket S3 ARN yang belum dibuat di akun pelanggan dapat disediakan dengan membatasi akses ke bucket ke akun pelanggan dengan menentukan nomor akun menggunakan kunci kondisi S3 khusus layanan s3:. ResourceAccount |
| 4.15.1 | Anda dapat melihat, membuat, membuat daftar, dan menghapus akses ke dasbor kustom lensa penyimpanan S3 Anda. |
| 4.16 | Izin penuh terkait SQL Workbench dapat diberikan roles/users untuk bekerja di database Amazon Redshift. |
| 4.17 | AWS CloudShell Izin apa pun dapat diberikan kepada peran pelanggan sebagai alternatif CLI. |
| 4.18 | Peran IAM dengan AWS layanan sebagai prinsipal tepercaya juga harus sejalan dengan standar teknis IAM. |
| 4.19 | Peran Tertaut Layanan (SLRs) tidak tunduk pada standar teknis AMS IAM, karena dibuat dan dikelola oleh Tim Layanan IAM. |
| 4.20 | Kebijakan IAM seharusnya tidak mengizinkan pembacaan objek (misalnya, S3:GetObject) di semua bucket S3 di akun. |
| 4.21 | Semua izin IAM untuk jenis sumber daya “savingsplan” dapat diberikan kepada pelanggan. |
| 4.22 | Insinyur AMS tidak diizinkan untuk menyalin atau memindahkan data pelanggan (file, objek S3, database, dll) secara manual di salah satu layanan penyimpanan data seperti Amazon S3, Amazon Relational Database Service, Amazon DynamoDB, dan sebagainya, atau dalam sistem file OS. |
| 6.0 | Kebijakan Lintas Akun |
| 6.1 | Kebijakan kepercayaan peran IAM antara akun AMS yang dimiliki oleh pelanggan yang sama sesuai catatan pelanggan, dapat dikonfigurasi. |
| 6.2 | Kebijakan kepercayaan peran IAM antara akun AMS dan non-AMS harus dikonfigurasi hanya jika akun non-AMS dimiliki oleh pelanggan AMS yang sama (dengan mengonfirmasi bahwa akun tersebut berada di bawah AWS Organizations akun yang sama atau dengan mencocokkan domain email dengan nama perusahaan pelanggan). |
| 6.3 | Kebijakan kepercayaan peran IAM antara akun AMS dan akun pihak ketiga tidak boleh dikonfigurasi tanpa penerimaan risiko. |
| 6.4 | Kebijakan lintas akun untuk mengakses semua yang dikelola pelanggan CMKs antara akun AMS dari pelanggan yang sama dapat dikonfigurasi. |
| 6.5 | Kebijakan lintas akun untuk mengakses kunci KMS apa pun dalam akun non-AMS oleh akun AMS dapat dikonfigurasi. |
| 6.6 | Kebijakan lintas akun untuk mengakses kunci KMS apa pun dalam akun AMS oleh akun pihak ketiga tidak boleh diizinkan tanpa penerimaan risiko. |
| 6.6.1 | Kebijakan lintas akun untuk mengakses kunci KMS apa pun dalam akun AMS oleh akun non-AMS hanya dapat dikonfigurasi jika akun non-AMS dimiliki oleh pelanggan AMS yang sama. |
| 6.7 | Kebijakan lintas akun untuk mengakses data bucket S3 atau sumber daya tempat data dapat disimpan (seperti Amazon RDS, Amazon DynamoDB, atau Amazon Redshift) antara akun AMS dari pelanggan yang sama dapat dikonfigurasi. |
| 6.8 | Kebijakan lintas akun untuk mengakses data bucket S3 atau sumber daya tempat data dapat disimpan (seperti Amazon RDS, Amazon DynamoDB, atau Amazon Redshift) di akun non-AMS dari akun AMS dengan akses hanya-baca dapat dikonfigurasi. |
| 6.9 | Kebijakan lintas akun untuk mengakses data bucket S3 atau sumber daya di mana data dapat disimpan (seperti Amazon RDS, Amazon DynamoDB, atau Amazon Redshift) dengan izin menulis dari AMS ke akun non-AMS (atau akun non-AMS ke AMS) harus dikonfigurasi hanya jika akun non-AMS dimiliki oleh pelanggan AMS yang sama (dengan mengonfirmasi bahwa mereka berada di bawah AWS Organizations akun yang sama atau dengan mencocokkan email domain dengan nama perusahaan pelanggan). |
| 6.10 | Kebijakan lintas akun untuk mengakses data bucket S3 atau sumber daya tempat data dapat disimpan (seperti Amazon RDS, Amazon DynamoDB, atau Amazon Redshift) di akun pihak ketiga dari akun AMS dengan akses hanya baca dapat dikonfigurasi. |
| 6.11 | Kebijakan lintas akun untuk mengakses data bucket S3 atau sumber daya tempat data dapat disimpan (seperti Amazon RDS, Amazon DynamoDB, atau Amazon Redshift) di akun pihak ketiga dari akun AMS dengan akses tulis tidak boleh dikonfigurasi. |
| 6.12 | Kebijakan lintas akun dari akun pihak ketiga untuk mengakses bucket S3 pelanggan AMS atau sumber daya tempat data dapat disimpan (seperti Amazon RDS, Amazon DynamoDB, atau Amazon Redshift) tidak boleh dikonfigurasi tanpa penerimaan risiko. |
| 7.0 | Grup Pengguna |
| 7.1 | Grup IAM dengan izin readonly dan non mutatif diizinkan. |
| 8.0 | Kebijakan berbasis sumber daya |
| 8.4 | Sumber daya infrastruktur AMS harus dilindungi dari manajemen oleh identitas yang tidak sah dengan lampiran kebijakan berbasis sumber daya. |
| 8.2 | Sumber daya pelanggan harus dikonfigurasi dengan kebijakan berbasis sumber daya dengan hak istimewa terkecil, kecuali pelanggan secara eksplisit menentukan kebijakan yang berbeda. |
Berikut ini adalah kontrol standar untuk X003 - Keamanan Jaringan:
| ID | Standar teknis |
|---|---|
| Jaringan | |
| 1.0 | Dicadangkan untuk kontrol masa depan |
| 2.0 | IP elastis pada EC2 instans diizinkan |
| 3.0 | Bidang kontrol AMS dan dengan ekstensi di bidang data TLS 1.2+ harus digunakan. |
| 5.0 | Grup keamanan tidak boleh memiliki sumber sebagai 0.0.0.0/0 dalam aturan masuk jika tidak dilampirkan ke penyeimbang beban sesuai 9.0 |
| 6.0 | Bucket atau objek S3 tidak boleh dipublikasikan tanpa penerimaan risiko. |
| 7.0 | Akses manajemen server pada port SSH/22 atau SSH/2222 (Bukan SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/5900-5901 TS/CITRIX/1494 atau 1604, LDAP/389 atau 636 dan RPC/135, NETBIOS/137-139 tidak boleh diizinkan dari luar VPC melalui kelompok keamanan. |
| 8.0 | Akses manajemen basis data pada port (MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433) atau pada port khusus tidak boleh diizinkan dari publik yang tidak dirutekan ke VPC melalui DX, VPC-peer, atau VPN melalui grup keamanan. IPs |
| 8.1 | Sumber daya apa pun di mana data pelanggan dapat disimpan tidak boleh diekspos ke internet publik secara langsung. |
| 9.0 | Akses aplikasi langsung melalui port HTTP/80, HTTPS/8443 dan HTTPS/443 dari Internet hanya diizinkan untuk memuat penyeimbang, tetapi tidak untuk sumber daya komputasi apa pun secara langsung misalnya instance, kontainer, dll. EC2 ECS/EKS/Fargate |
| 10.0 | Akses aplikasi melalui port HTTP/80 dan HTTPS/443 dari rentang IP pribadi pelanggan dapat diizinkan. |
| 11.0 | Setiap perubahan pada grup keamanan yang mengontrol akses ke infrastruktur AMS tidak boleh diizinkan tanpa penerimaan risiko. |
| 12.0 | AMS Security akan merujuk standar setiap kali grup keamanan diminta untuk dilampirkan ke sebuah instans. |
| 14.0 | Asosiasi lintas akun zona yang dihosting pribadi dengan VPCs dari AMS ke akun non-AMS (atau akun non-AMS ke AMS) harus dikonfigurasi hanya jika akun non-AMS dimiliki oleh pelanggan AMS yang sama (dengan mengonfirmasi bahwa akun tersebut berada di bawah akun AWS Organization yang sama atau dengan mencocokkan domain email dengan nama perusahaan pelanggan) menggunakan alat internal. |
| 15.0 | Koneksi peering VPC antar akun milik pelanggan yang sama dapat diizinkan. |
| 16.0 | Basis AMS AMIs dapat dibagikan dengan akun non-AMS selama kedua akun dimiliki oleh pelanggan yang sama (dengan mengonfirmasi bahwa mereka berada di bawah AWS Organizations akun yang sama atau dengan mencocokkan domain email dengan nama perusahaan pelanggan) menggunakan alat internal. |
| 17.0 | Port FTP 21 tidak boleh dikonfigurasi di salah satu grup keamanan tanpa penerimaan risiko. |
| 18.0 | Konektivitas jaringan lintas akun melalui gateway transit diizinkan selama semua akun dimiliki oleh pelanggan. |
| 19.0 | Membuat subnet pribadi ke publik tidak diizinkan |
| 20.0 | Koneksi peering VPC dengan akun pihak ketiga (tidak dimiliki oleh pelanggan) tidak boleh diizinkan. |
| 21.0 | Lampiran Transit Gateway dengan akun pihak ketiga (tidak dimiliki oleh pelanggan) tidak boleh diizinkan. |
| 22.0 | Setiap lalu lintas jaringan yang diperlukan untuk AMS untuk menyediakan layanan kepada pelanggan tidak boleh diblokir di titik keluar jaringan pelanggan. |
| 23,0 | Permintaan ICMP masuk ke Amazon EC2 dari infra pelanggan akan memerlukan pemberitahuan risiko. |
| 24.0 | Permintaan masuk dari publik yang IPs dialihkan ke Amazon VPC melalui DX, VPC-peer, atau VPN melalui grup keamanan diperbolehkan. |
| 25.0 | Permintaan masuk dari publik yang IPs tidak diarahkan ke Amazon VPC melalui DX, VPC-peer, atau VPN melalui grup keamanan akan memerlukan penerimaan risiko. |
| 26.0 | Permintaan ICMP keluar dari Amazon EC2 ke tujuan mana pun diizinkan. |
| 27.0 | Berbagi kelompok keamanan |
| 27.1 | Jika grup keamanan memenuhi standar keamanan ini, maka grup tersebut dapat dibagi antara VPCs di akun yang sama dan antar akun di organisasi yang sama. |
| 27.2 | Jika grup keamanan tidak memenuhi standar ini dan penerimaan risiko sebelumnya diperlukan untuk grup keamanan ini, maka penggunaan fitur berbagi grup keamanan antara VPCs di akun yang sama, atau antar akun di organisasi yang sama, tidak diizinkan tanpa penerimaan risiko untuk VPC atau akun baru itu. |
Berikut ini adalah kontrol standar untuk X004 - Pengujian Penetrasi
AMS tidak mendukung infrastruktur pentest. Ini adalah tanggung jawab pelanggan. Misalnya, Kali bukan distribusi Linux yang didukung AMS.
Pelanggan harus mematuhi Pengujian Penetrasi
. AMS harus diberitahu sebelumnya 24 jam sebelumnya dalam kasus ketika pelanggan ingin melakukan pengujian penetrasi infrastruktur dalam akun.
AMS akan menyediakan infrastruktur pentesting pelanggan sesuai kebutuhan pelanggan yang secara eksplisit dinyatakan dalam permintaan perubahan atau permintaan layanan oleh pelanggan.
Manajemen identitas untuk infrastruktur pentesting pelanggan adalah tanggung jawab pelanggan.
Berikut ini adalah kontrol standar untuk X005 - GuardDuty
GuardDuty harus diaktifkan di semua akun pelanggan setiap saat.
GuardDuty peringatan harus disimpan dalam akun yang sama atau akun terkelola lainnya di bawah organisasi yang sama.
Fitur daftar IP tepercaya tidak GuardDuty boleh digunakan. Sebaliknya pengarsipan otomatis dapat digunakan sebagai alternatif, yang berguna untuk tujuan audit.
Berikut ini adalah kontrol standar untuk X007 - Logging
| ID | Standar teknis |
|---|---|
| 1.0 | Jenis log |
| 1.1 | Log OS: Semua host harus log pada acara otentikasi host minimum, mengakses peristiwa untuk semua penggunaan hak istimewa yang ditinggikan dan peristiwa akses untuk semua perubahan pada konfigurasi akses dan hak istimewa termasuk keberhasilan dan kegagalan keduanya. |
| 1.2 | AWS CloudTrail: pencatatan peristiwa CloudTrail manajemen harus diaktifkan dan dikonfigurasi untuk mengirimkan log ke bucket S3. |
| 1.3 | VPC Flow Logs: Semua log lalu lintas jaringan harus dicatat melalui VPC Flow Logs. |
| 1.4 | Pencatatan Akses Server Amazon S3: Ember S3 yang diamanatkan AMS yang menyimpan log harus mengaktifkan pencatatan akses server. |
| 1.5 | AWS Config Snapshots: AWS Config harus merekam perubahan konfigurasi untuk semua sumber daya yang didukung di semua wilayah dan mengirimkan file snapshot konfigurasi ke bucket S3 setidaknya sekali per hari. |
| 1.7 | Log Aplikasi: Pelanggan diberdayakan untuk mengaktifkan pencatatan di aplikasi mereka dan menyimpannya di grup CloudWatch log Log atau bucket S3. |
| 1.8 | Pencatatan level objek S3: Pelanggan diberdayakan untuk mengaktifkan pencatatan level objek di bucket S3 mereka. |
| 1.9 | Service Logging: Pelanggan diberdayakan untuk mengaktifkan dan meneruskan log untuk layanan SSPS seperti layanan inti lainnya. |
| 1.10 | Log Elastic Load Balancing (Classic/Application Load Balancer/NetworkLoad Balancer): Entri akses dan log kesalahan harus disimpan di bucket S3 yang dikelola AMS 2.0. |
| 2.0 | Kontrol akses |
| 2.3 | Bucket S3 yang diamanatkan AMS yang menyimpan log tidak boleh mengizinkan pengguna akun pihak ketiga sebagai prinsip dalam kebijakan bucket. |
| 2.4 | Log dari grup CloudWatch log Log tidak boleh dihapus tanpa persetujuan eksplisit dari kontak keamanan resmi pelanggan. |
| 3.0 | Retensi log |
| 3.1 | Grup CloudWatch log log yang diamanatkan AMS harus memiliki periode retensi minimum 90 hari pada log. |
| 3.2 | Ember S3 yang diamanatkan AMS yang menyimpan log harus memiliki periode retensi minimum 18 bulan pada log. |
| 3.3 | AWS Backup snapshot harus tersedia dengan retensi minimum 31 hari pada sumber daya yang didukung. |
| 4.0 | Enkripsi |
| 4.1 | Enkripsi harus diaktifkan di semua bucket S3 yang diperlukan oleh Tim AMS yang menyimpan log. |
| 4.2 | Setiap penerusan log dari akun pelanggan ke akun lain harus dienkripsi. |
| 5.0 | Integritas |
| 5.1 | Mekanisme integritas file log harus diaktifkan. Itu berarti konfigurasikan “Validasi file log” di AWS CloudTrail jalur yang diperlukan oleh tim AMS. |
| 6.0 | Penerusan log |
| 6.1 | Setiap log dapat diteruskan dari satu akun AMS ke akun AMS lain dari pelanggan yang sama. |
| 6.2 | Setiap log dapat diteruskan dari AMS ke akun non-AMS hanya jika akun non-AMS dimiliki oleh pelanggan AMS yang sama (dengan mengonfirmasi bahwa mereka berada di bawah AWS Organizations akun yang sama atau dengan mencocokkan domain email dengan nama perusahaan pelanggan dan akun terkait PAYER) menggunakan alat internal. |
