Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Standar yang Dikelola Layanan: AWS Control Tower
Bagian ini memberikan informasi tentang Standar yang Dikelola Layanan:. AWS Control Tower
Apa itu Standar yang Dikelola Layanan:? AWS Control Tower
Standar ini dirancang untuk pengguna AWS Security Hub Cloud Security Posture Management (CSPM) dan. AWS Control Tower Ini memungkinkan Anda mengonfigurasi kontrol proaktif AWS Control Tower di samping kontrol detektif Security Hub CSPM dalam layanan. AWS Control Tower
Kontrol proaktif membantu memastikan bahwa Anda Akun AWS mempertahankan kepatuhan karena mereka menandai tindakan yang dapat menyebabkan pelanggaran kebijakan atau kesalahan konfigurasi. Kontrol Detektif mendeteksi ketidakpatuhan sumber daya (misalnya, kesalahan konfigurasi) di dalam Anda. Akun AWS Dengan mengaktifkan kontrol proaktif dan detektif untuk AWS lingkungan Anda, Anda dapat meningkatkan postur keamanan Anda pada berbagai tahap pengembangan.
Tip
Standar yang dikelola layanan berbeda dari standar yang dikelola AWS Security Hub Cloud Security Posture Management (CSPM). Misalnya, Anda harus membuat dan menghapus standar yang dikelola layanan di layanan pengelolaan. Untuk informasi selengkapnya, lihat Standar yang dikelola layanan di Security Hub CSPM.
Di konsol dan API CSPM Security Hub, Anda dapat melihat Standar yang Dikelola Layanan: bersama standar CSPM AWS Control Tower Security Hub lainnya.
Menciptakan standar
Standar ini hanya tersedia jika Anda membuat standar di AWS Control Tower. AWS Control Tower membuat standar saat Anda pertama kali mengaktifkan kontrol yang berlaku dengan menggunakan salah satu metode berikut:
-
AWS Control Tower konsol
-
AWS Control Tower API (panggil
EnableControlAPI) -
AWS CLI (jalankan
enable-controlperintah)
Kontrol CSPM Security Hub diidentifikasi di AWS Control Tower konsol sebagai SH. ControlID(misalnya, SH. CodeBuild.1).
Ketika Anda membuat standar, jika Anda belum mengaktifkan Security Hub CSPM, AWS Control Tower juga mengaktifkan Security Hub CSPM untuk Anda.
Jika belum menyiapkan AWS Control Tower, Anda tidak dapat melihat atau mengakses standar ini di konsol CSPM Security Hub, Security Hub CSPM API, atau. AWS CLI Bahkan jika Anda telah menyiapkan AWS Control Tower, Anda tidak dapat melihat atau mengakses standar ini di Security Hub CSPM tanpa terlebih dahulu membuat standar dalam AWS Control Tower menggunakan salah satu metode sebelumnya.
Standar ini hanya tersedia di Wilayah AWS tempat yang AWS Control Tower tersedia, termasuk AWS GovCloud (US).
Mengaktifkan dan menonaktifkan kontrol dalam standar
Setelah Anda membuat standar di AWS Control Tower konsol, Anda dapat melihat standar dan kontrol yang tersedia di kedua layanan.
Setelah Anda pertama kali membuat standar, itu tidak memiliki kontrol apa pun yang diaktifkan secara otomatis. Selain itu, ketika Security Hub CSPM menambahkan kontrol baru, kontrol tersebut tidak diaktifkan secara otomatis untuk Standar yang Dikelola Layanan:. AWS Control Tower Anda harus mengaktifkan dan menonaktifkan kontrol untuk standar AWS Control Tower dengan menggunakan salah satu metode berikut:
-
AWS Control Tower konsol
-
AWS Control Tower API (panggil
EnableControldanDisableControlAPIs) -
AWS CLI (jalankan
enable-controldandisable-controlperintah)
Saat Anda mengubah status pengaktifan kontrol AWS Control Tower, perubahan tersebut juga tercermin dalam Security Hub CSPM.
Namun, menonaktifkan kontrol di Security Hub CSPM yang diaktifkan AWS Control Tower menghasilkan penyimpangan kontrol. Status kontrol di AWS Control Tower menunjukkan sebagaiDrifted. Anda dapat mengatasi penyimpangan ini dengan memilih Registrasi ulang OU di AWS Control Tower konsol, atau dengan menonaktifkan dan mengaktifkan kembali kontrol dalam AWS Control Tower menggunakan salah satu metode sebelumnya.
Menyelesaikan tindakan pemberdayaan dan penonaktifan AWS Control Tower membantu Anda menghindari penyimpangan kontrol.
Saat Anda mengaktifkan atau menonaktifkan kontrol AWS Control Tower, tindakan akan berlaku di seluruh akun dan Wilayah. Jika Anda mengaktifkan dan menonaktifkan kontrol di Security Hub CSPM (tidak disarankan untuk standar ini), tindakan hanya berlaku untuk akun saat ini dan Wilayah.
catatan
Konfigurasi pusat tidak dapat digunakan untuk mengelola Standar yang Dikelola Layanan:. AWS Control Tower Jika Anda menggunakan konfigurasi pusat, Anda hanya dapat menggunakan AWS Control Tower layanan untuk mengaktifkan dan menonaktifkan kontrol dalam standar ini untuk akun yang dikelola secara terpusat.
Melihat status pemberdayaan dan status kontrol
Anda dapat melihat status pemberdayaan kontrol dengan menggunakan salah satu metode berikut:
-
Konsol CSPM Security Hub, Security Hub CSPM API, atau AWS CLI
-
AWS Control Tower konsol
-
AWS Control Tower API untuk melihat daftar kontrol yang diaktifkan (panggil
ListEnabledControlsAPI) -
AWS CLI untuk melihat daftar kontrol yang diaktifkan (jalankan
list-enabled-controlsperintah)
Kontrol yang Anda nonaktifkan AWS Control Tower memiliki status pengaktifan Disabled di Security Hub CSPM kecuali Anda secara eksplisit mengaktifkan kontrol tersebut di Security Hub CSPM.
Security Hub CSPM menghitung status kontrol berdasarkan status alur kerja dan status kepatuhan dari temuan kontrol. Untuk informasi selengkapnya tentang status pemberdayaan dan status kontrol, lihatMeninjau rincian kontrol di Security Hub CSPM.
Berdasarkan status kontrol, Security Hub CSPM menghitung skor keamanan untuk Service-Managed Standard:. AWS Control Tower Skor ini hanya tersedia di Security Hub CSPM. Selain itu, Anda hanya dapat melihat temuan kontrol di Security Hub CSPM. Skor keamanan standar dan temuan kontrol tidak tersedia di AWS Control Tower.
catatan
Saat Anda mengaktifkan kontrol untuk Standar yang Dikelola Layanan: AWS Control Tower, CSPM Security Hub dapat memakan waktu hingga 18 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan terkait layanan yang ada. AWS Config Anda mungkin memiliki aturan terkait layanan yang ada jika Anda telah mengaktifkan standar dan kontrol lain di CSPM Security Hub. Untuk informasi selengkapnya, lihat Jadwal untuk menjalankan pemeriksaan keamanan.
Menghapus standar
Anda dapat menghapus standar ini AWS Control Tower dengan menonaktifkan semua kontrol yang berlaku menggunakan salah satu metode berikut:
-
AWS Control Tower konsol
-
AWS Control Tower API (panggil
DisableControlAPI) -
AWS CLI (jalankan
disable-controlperintah)
Menonaktifkan semua kontrol akan menghapus standar di semua akun terkelola dan Wilayah yang diatur di. AWS Control Tower Menghapus standar di AWS Control Tower menghapusnya dari halaman Standar konsol CSPM Security Hub, dan Anda tidak dapat lagi mengaksesnya dengan menggunakan Security Hub CSPM API atau. AWS CLI
catatan
Menonaktifkan semua kontrol dari standar di Security Hub CSPM tidak menonaktifkan atau menghapus standar.
Menonaktifkan layanan CSPM Security Hub akan menghapus Standar yang Dikelola Layanan: AWS Control Tower dan standar lain yang telah Anda aktifkan.
Menemukan format bidang untuk Standar yang Dikelola Layanan: AWS Control Tower
Ketika Anda membuat Service-Managed Standard: AWS Control Tower dan mengaktifkan kontrol untuk itu, Anda akan mulai menerima temuan kontrol di Security Hub CSPM. Security Hub CSPM melaporkan temuan kontrol di. AWS Format Pencarian Keamanan (ASFF) Ini adalah nilai ASFF untuk Amazon Resource Name (ARN) standar ini dan: GeneratorId
-
ARN standar —
arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1
Untuk contoh temuan Standar yang Dikelola Layanan: AWS Control Tower, lihat. Sampel temuan kontrol
Kontrol yang berlaku untuk Standar yang Dikelola Layanan: AWS Control Tower
Service-Managed Standard: AWS Control Tower mendukung subset kontrol yang merupakan bagian dari standar AWS Foundational Security Best Practices (FSBP). Pilih kontrol untuk melihat informasi tentangnya, termasuk langkah-langkah remediasi untuk temuan yang gagal.
Daftar berikut menunjukkan kontrol yang tersedia untuk Standar yang Dikelola Layanan:. AWS Control Tower Batas regional pada kontrol cocok dengan batas Regional pada kontrol wajar dalam standar FSBP. Daftar ini menunjukkan kontrol keamanan agnostik standar. IDs Di AWS Control Tower konsol, kontrol IDs diformat sebagai SH. ControlID(misalnya SH. CodeBuild.1). Di Security Hub CSPM, jika temuan kontrol konsolidasi dimatikan di akun Anda, ProductFields.ControlId bidang tersebut menggunakan ID kontrol berbasis standar. ID kontrol berbasis standar diformat sebagai CT. ControlId(misalnya, CT. CodeBuild.1).
-
[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS
-
[ACM.1] Sertifikat yang diimpor dan diterbitkan ACM harus diperbarui setelah jangka waktu tertentu
-
[ACM.2] Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit
-
[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan
-
[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran
-
[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF
-
[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat
-
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
-
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
-
[AppSync.5] AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API
-
[AutoScaling.2] Grup EC2 Auto Scaling Amazon harus mencakup beberapa Availability Zone
-
[AutoScaling.9] Grup EC2 Auto Scaling Amazon harus menggunakan templat peluncuran Amazon EC2
-
[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat
-
[CloudTrail.4] validasi file CloudTrail log harus diaktifkan
-
[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch
-
[CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensil sensitif
-
[CodeBuild.2] variabel lingkungan CodeBuild proyek tidak boleh berisi kredensil teks yang jelas
-
[CodeBuild.4] lingkungan CodeBuild proyek harus memiliki urasi logging AWS Config
-
[DMS.1] Instans replikasi Layanan Migrasi Database tidak boleh bersifat publik
-
[DocumentDB.1] Cluster Amazon DocumentDB harus dienkripsi saat istirahat
-
[DocumentDB.2] Cluster Amazon DocumentDB harus memiliki periode retensi cadangan yang memadai
-
[DocumentDB.3] Cuplikan cluster manual Amazon DocumentDB seharusnya tidak bersifat publik
-
[DynamoDB.1] Tabel DynamoDB harus secara otomatis menskalakan kapasitas sesuai permintaan
-
[DynamoDB.2] Tabel DynamoDB harus mengaktifkan pemulihan point-in-time
-
[DynamoDB.3] Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat
-
[EC2.1] Cuplikan Amazon EBS tidak boleh dipulihkan secara publik
-
[EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar
-
[EC2.3] Volume Amazon EBS yang terlampir harus dienkripsi saat istirahat
-
[EC2.4] EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu
-
[EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs
-
[EC2.8] EC2 instans harus menggunakan Instance Metadata Service Versi 2 () IMDSv2
-
[EC2.9] EC2 Instans Amazon seharusnya tidak memiliki alamat publik IPv4
-
[EC2.15] EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik
-
[EC2.16] Daftar Kontrol Akses Jaringan yang Tidak Digunakan harus dihapus
-
[EC2.17] EC2 Instans Amazon seharusnya tidak menggunakan banyak ENIs
-
[EC2.19] Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi
-
[EC2.20] Kedua terowongan VPN untuk koneksi AWS Site-to-Site VPN harus siap
-
[EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus
-
[EC2.25] Templat EC2 peluncuran Amazon tidak boleh menetapkan publik IPs ke antarmuka jaringan
-
[ECR.1] Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi
-
[ECR.2] Repositori pribadi ECR harus memiliki kekekalan tag yang dikonfigurasi
-
[ECR.3] Repositori ECR harus memiliki setidaknya satu kebijakan siklus hidup yang dikonfigurasi
-
[ECS.1] Definisi tugas Amazon ECS harus memiliki mode jaringan yang aman dan definisi pengguna
-
[ECS.3] Definisi tugas ECS tidak boleh membagikan namespace proses host
-
[ECS.4] Kontainer ECS harus berjalan sebagai non-hak istimewa
-
[ECS.5] Wadah ECS harus dibatasi pada akses hanya-baca ke sistem file root
-
[ECS.8] Rahasia tidak boleh diteruskan sebagai variabel lingkungan kontainer
-
[ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru
-
[EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik
-
[EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
-
[ElastiCache.3] grup ElastiCache replikasi harus mengaktifkan failover otomatis
-
[ElastiCache.4] grup ElastiCache replikasi harus dienkripsi saat istirahat
-
[ElastiCache.5] grup ElastiCache replikasi harus dienkripsi saat transit
-
[ElasticBeanstalk.2] Pembaruan platform yang dikelola Elastic Beanstalk harus diaktifkan
-
[ELB.3] Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS
-
[ELB.4] Application Load Balancer harus dikonfigurasi untuk menjatuhkan header http yang tidak valid
-
[ELB.5] Pencatatan aplikasi dan Classic Load Balancer harus diaktifkan
-
[ELB.6] Aplikasi, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan
-
[ELB.7] Classic Load Balancers harus mengaktifkan pengurasan koneksi
-
[ELB.9] Classic Load Balancer harus mengaktifkan penyeimbangan beban lintas zona
-
[ELB.10] Classic Load Balancer harus menjangkau beberapa Availability Zone
-
[ELB.13] Penyeimbang Beban Aplikasi, Jaringan, dan Gateway harus mencakup beberapa Availability Zone
-
[EMR.1] Node primer klaster EMR Amazon seharusnya tidak memiliki alamat IP publik
-
[ES.1] Domain Elasticsearch harus mengaktifkan enkripsi saat istirahat
-
[ES.3] Domain Elasticsearch harus mengenkripsi data yang dikirim antar node
-
[ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan
-
[ES.5] Domain Elasticsearch harus mengaktifkan pencatatan audit
-
[ES.6] Domain Elasticsearch harus memiliki setidaknya tiga node data
-
[ES.7] Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus
-
[ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan TLS terbaru
-
[EventBridge.3] bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir
-
[IAM.1] Kebijakan IAM seharusnya tidak mengizinkan hak administratif “*” penuh
-
[IAM.2] Pengguna IAM seharusnya tidak memiliki kebijakan IAM yang dilampirkan
-
[IAM.3] Kunci akses pengguna IAM harus diputar setiap 90 hari atau kurang
-
[IAM.5] MFA harus diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
-
[IAM.6] MFA perangkat keras harus diaktifkan untuk pengguna root
-
[IAM.7] Kebijakan kata sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
-
[IAM.8] Kredensi pengguna IAM yang tidak digunakan harus dihapus
-
[KMS.3] tidak AWS KMS keys boleh dihapus secara tidak sengaja
-
[Lambda.1] Kebijakan fungsi Lambda harus melarang akses publik
-
[Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung
-
[Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone
-
[MSK.1] Kluster MSK harus dienkripsi saat transit di antara node broker
-
[MQ.5] Broker ActiveMQ harus menggunakan mode penerapan aktif/siaga
-
[MQ.6] Broker RabbitMQ harus menggunakan mode penerapan cluster
-
[Neptunus.1] Cluster DB Neptunus harus dienkripsi saat istirahat
-
[Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch
-
[Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak publik
-
[Neptunus.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan
-
[Neptunus.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis
-
[Neptune.6] Snapshot cluster Neptunus DB harus dienkripsi saat istirahat
-
[Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM
-
[Neptunus.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot
-
[NetworkFirewall.6] Grup aturan Stateless Network Firewall tidak boleh kosong
-
[Opensearch.1] OpenSearch domain harus mengaktifkan enkripsi saat istirahat
-
[Opensearch.3] OpenSearch domain harus mengenkripsi data yang dikirim antar node
-
[Opensearch.4] login kesalahan OpenSearch domain ke Log harus diaktifkan CloudWatch
-
[Opensearch.5] OpenSearch domain harus mengaktifkan pencatatan audit
-
[Opensearch.6] OpenSearch domain harus memiliki setidaknya tiga node data
-
[Opensearch.7] OpenSearch domain harus mengaktifkan kontrol akses berbutir halus
-
[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat
-
[RDS.4] Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat
-
[RDS.5] Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone
-
[RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans RDS DB
-
[RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan
-
[RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch
-
[RDS.10] Otentikasi IAM harus dikonfigurasi untuk instance RDS
-
[RDS.11] Instans RDS harus mengaktifkan pencadangan otomatis
-
[RDS.12] Otentikasi IAM harus dikonfigurasi untuk cluster RDS
-
[RDS.13] Peningkatan versi minor otomatis RDS harus diaktifkan
-
[RDS.15] Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone
-
[RDS.17] Instans RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot
-
[RDS.23] Instans RDS tidak boleh menggunakan port default mesin database
-
[RDS.25] Instans database RDS harus menggunakan nama pengguna administrator khusus
-
[Redshift.1] Cluster Amazon Redshift harus melarang akses publik
-
[Redshift.2] Koneksi ke cluster Amazon Redshift harus dienkripsi saat transit
-
[Redshift.4] Cluster Amazon Redshift harus mengaktifkan pencatatan audit
-
[Redshift.6] Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama
-
[Redshift.7] Cluster Redshift harus menggunakan perutean VPC yang ditingkatkan
-
[Redshift.8] Cluster Amazon Redshift tidak boleh menggunakan nama pengguna Admin default
-
[Redshift.9] Cluster Redshift tidak boleh menggunakan nama database default
-
[Redshift.10] Cluster Redshift harus dienkripsi saat istirahat
-
[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok
-
[S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik
-
[S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik
-
[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL
-
[S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS
-
[S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server
-
[S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3
-
[S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup
-
[S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys
-
[SageMaker.1] Instans SageMaker notebook Amazon seharusnya tidak memiliki akses internet langsung
-
[SageMaker.2] instance SageMaker notebook harus diluncurkan dalam VPC khusus
-
[SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook
-
[SecretsManager.1] Rahasia Secrets Manager harus mengaktifkan rotasi otomatis
-
[SecretsManager.3] Hapus rahasia Secrets Manager yang tidak digunakan
-
[SecretsManager.4] Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu
-
[SSM.1] EC2 Instans Amazon harus dikelola oleh AWS Systems Manager
-
[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat
-
[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan
-
[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
-
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Untuk informasi selengkapnya tentang standar ini, lihat Kontrol CSPM Security Hub di AWS Control Tower Panduan Pengguna.
