BNM 的运营最佳实践RMiT - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

BNM 的运营最佳实践RMiT

一致性包提供了通用的合规性框架,旨在使您能够使用托管或自定义 AWS Config 规则以及 AWS Config 修正操作来创建安全、操作或成本优化监管检查。作为示例模板的一致性包并非旨在完全确保符合特定监管或合规性标准。您负责评估您对服务的使用是否符合适用的法律法规要求。



下面提供了银行内联马来西亚 (BNM) 技术风险管理 (RMiT) 和 AWS 托管配置规则之间的示例映射。每个 Config 规则适用于特定的 AWS 资源,并与一个或多个 BNM RMiT 控件相关。BNM RMiT 控制可与多个 Config 规则相关。有关与这些映射相关的更多详细信息和指导,请参阅下表。

此一致性包已由 AWS Security Assurance Services LLC (AWS SAS) 验证,AWS SAS 是一个由支付卡行业合格安全评估程序 (QSA)、HITRUST 认证通用安全框架练习程序 (CCSFP) 和合规性专家组成的团队,这些专家通过了认证,可提供针对各种行业框架的指导和评估。AWS SAS 专业人员设计此一致性包,使您能够符合标题 21 标题“第 11 部分”设计原则的子集。

AWS 区域: 所有支持的 AWS 区域(中东(巴林) 除外)

控制 ID 控制描述 AWS Config 规则 指南
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

api-gw-cache-enabled-and-encrypted

为了帮助保护静态数据,请确保已为 API Gateway 阶段的缓存启用加密。由于可为 API 方法捕获敏感数据,请启用静态加密以帮助保护这些数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

由于敏感数据可能存在并有助于保护静态数据,请确保为您的 AWS CloudTrail 跟踪启用加密。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

为了帮助保护敏感数据的静态保护,请确保已为您的 Amazon CloudWatch 日志组启用加密。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

由于敏感数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic File System (EFS) 启用加密。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

由于敏感数据可以存在并有助于保护静态数据,请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

由于敏感数据可以存在并且在传输过程中帮助保护数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

由于敏感型数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保未计划在 AWS Key Management Service (AWS KMS) 中删除必要的客户主密钥 (CMK)。由于密钥删除有时是必需的,此规则可以帮助检查计划删除的所有密钥,以防意外计划了密钥。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

为了帮助保护静态数据,请确保已为您的 Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可存在于 Amazon RDS 实例中,请启用静态加密以帮助保护这些数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您组织的策略。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

为了帮助保护静态数据,请确保为您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可存在于 Amazon S3 存储桶中,因此,请启用加密以帮助保护该数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

sagemaker-endpoint-configuration-kms-key-configured

为了帮助保护静态数据,请确保为您的 SageMaker 终端节点启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可存在于 SageMaker 终端节点中,因此启用静态加密以帮助保护这些数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

为了帮助保护静态数据,请确保为您的 SageMaker 笔记本启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可存在于 SageMaker 笔记本中,请启用静态加密以帮助保护该数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

sns-encrypted-kms

为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于敏感数据可存在于发布的消息中,因此启用静态加密以帮助保护该数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。由于敏感数据可存在于这些卷中,因此启用静态加密以帮助保护这些数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

rds-snapshot-encrypted

确保为您的 Amazon Relational Database Service (Amazon RDS) 快照启用了加密。由于敏感数据可以存在,请启用静态加密以帮助保护该数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

启用密钥轮换,以确保在到达加密期限后轮换密钥。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

s3-default-encryption-kms

确保为您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.18 财务机构必须谨慎行事,并评估与所用技术关联的加密控制,以保护信息的机密性、完整性、身份验证、授权和不可否认性。如果财务机构未生成自己的加密密钥,该财务机构应该采取适当的措施,确保实施可靠的控制和流程来管理加密密钥。如果涉及依赖于第三方评估,财务机构将考虑此类依赖是否与财务机构的风险和容忍性一致。财务机构还必须适当地考虑支持加密控制所需的系统资源,以及已加密数据的网络流量可见性降低的风险。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.2 - 财务机构应根据风险级别,将公有加密密钥存储在由证书颁发机构颁发的证书中。与客户关联的此类证书应由认可的证书颁发机构颁发。财务机构必须确保使用此类证书的身份验证和签名协议的实施受强大保护,以确保与用户证书对应的私有加密密钥的使用是在法律上绑定且不可复制的。此类证书的初始颁发和后续续订必须符合行业最佳实践和适用的法律/法规规范。

由于敏感数据可以存在并且在传输过程中帮助保护数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
10.2 - 财务机构应根据风险级别,将公有加密密钥存储在由证书颁发机构颁发的证书中。与客户关联的此类证书应由认可的证书颁发机构颁发。财务机构必须确保使用此类证书的身份验证和签名协议的实施受强大保护,以确保与用户证书对应的私有加密密钥的使用是在法律上绑定且不可复制的。此类证书的初始颁发和后续续订必须符合行业最佳实践和适用的法律/法规规范。

通过确保 AWS ACM 颁发 X509 证书,确保网络完整性。这些证书必须是有效证书,并且不会过期。此规则需要 daysToExpiration 的值(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
10.27 财务机构必须建立实时监控机制,以跟踪关键流程和服务的容量利用率和性能。这些监控机制应该能够向管理员提供及时且可操作的警报。

cloudwatch-alarm-resource-check

启用此规则可检查指定的资源类型是否有针对指定指标的 Amazon CloudWatch 警报。对于资源类型,您可以指定 EBS 卷、EC2 实例、RDS 集群或 S3 存储桶。使用 CloudWatch 警报将事件检测信息传送至适当的人员。此规则要求您设置 resourceType(例如,AWS::EC2::Instance)和 metricName(例如,CPUUtilization)参数。
10.27 财务机构必须建立实时监控机制,以跟踪关键流程和服务的容量利用率和性能。这些监控机制应该能够向管理员提供及时且可操作的警报。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中 API 调用活动的详细信息。
10.27 财务机构必须建立实时监控机制,以跟踪关键流程和服务的容量利用率和性能。这些监控机制应该能够向管理员提供及时且可操作的警报。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
10.27 财务机构必须建立实时监控机制,以跟踪关键流程和服务的容量利用率和性能。这些监控机制应该能够向管理员提供及时且可操作的警报。

ec2-instance-detailed-monitoring-enabled

启用此规则以帮助在 Amazon EC2 控制台上改进 Amazon Elastic Compute Cloud (Amazon EC2) 实例监控,这会以 1 分钟为间隔显示该实例的监控图表。
10.27 财务机构必须建立实时监控机制,以跟踪关键流程和服务的容量利用率和性能。这些监控机制应该能够向管理员提供及时且可操作的警报。

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 组的 Elastic Load Balancer (ELB) 运行状况检查支持维护足够的容量和可用性。负载均衡器会定期发送 ping、尝试连接或发送请求以测试 Auto Scaling 组中的 Amazon EC2 实例运行状况。如果实例没有报告回,则流量将发送到新的 Amazon EC2 实例。
10.27 财务机构必须建立实时监控机制,以跟踪关键流程和服务的容量利用率和性能。这些监控机制应该能够向管理员提供及时且可操作的警报。

rds-enhanced-monitoring-enabled

启用 Amazon Relational Database Service (Amazon RDS) 以帮助监控 Amazon RDS 可用性。这可让您详细了解 Amazon RDS 数据库实例的运行状况。当 Amazon RDS 存储使用多个底层物理设备时,增强监测将收集每个设备的数据。此外,当 Amazon RDS 数据库实例在多可用区部署中运行时,将收集辅助主机上每个设备的数据以及辅助主机指标。
10.27 财务机构必须建立实时监控机制,以跟踪关键流程和服务的容量利用率和性能。这些监控机制应该能够向管理员提供及时且可操作的警报。

lambda-concurrency-check

此规则可确保 Lambda 函数的并发数量上限和下限已建立。这有助于设定您的函数在任何给定时间所服务的请求数。
10.27 财务机构必须建立实时监控机制,以跟踪关键流程和服务的容量利用率和性能。这些监控机制应该能够向管理员提供及时且可操作的警报。

dynamodb-throughput-limit-check

启用此规则可确保在 Amazon DynamoDB 表上检查预置的吞吐容量。这是每个表可支持的读/写活动量。DynamoDB 使用此信息来预留足够的系统资源,以满足吞吐量需求。此规则在吞吐量接近客户账户的最大限制时生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage(配置默认值:80)和 accountWCUThresholdPercentage(配置默认值:80)参数。实际值应反映您组织的策略。
10.34 财务机构必须确保其关键系统的网络服务是可靠的,并且没有 SPOF,以防止关键系统受到潜在的网络故障和网络威胁。

可以实施冗余站点到站点 VPN 隧道以实现恢复能力要求。它使用两条隧道来帮助确保连接性,以防其中一个站点到站点 VPN 连接变得不可用。为了防止连接丢失,在您的客户网关变得不可用时,您可以使用第二个客户网关设置到 Amazon Virtual Private Cloud (Amazon VPC) 和虚拟专用网关的第二个站点到站点 VPN 连接。
10.34 财务机构必须确保其关键系统的网络服务是可靠的,并且没有 SPOF,以防止关键系统受到潜在的网络故障和网络威胁。

elb-deletion-protection-enabled

此规则确保 Elastic Load Balancing 已启用删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致应用程序的可用性降低。
10.35 财务机构必须建立实时网络带宽监控流程和相应的网络服务恢复能力指标,以标记因带宽拥塞和网络故障而导致的带宽和系统中断的利用率。这包括流量分析以检测趋势和异常。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
10.35 财务机构必须建立实时网络带宽监控流程和相应的网络服务恢复能力指标,以标记因带宽拥塞和网络故障而导致的带宽和系统中断的利用率。这包括流量分析以检测趋势和异常。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.35 财务机构必须建立实时网络带宽监控流程和相应的网络服务恢复能力指标,以标记因带宽拥塞和网络故障而导致的带宽和系统中断的利用率。这包括流量分析以检测趋势和异常。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
10.36 财务机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.36 财务机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

由于敏感数据可以存在并且在传输过程中帮助保护数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
10.36 财务机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.36 财务机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.36 财务机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

elb-deletion-protection-enabled

此规则确保 Elastic Load Balancing 已启用删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致应用程序的可用性降低。
10.36 财务机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

elb-cross-zone-load-balancing-enabled

为您的 Elastic Load Balancer (ELB) 启用跨区域负载均衡,以帮助保持充足的容量和可用性。跨区域负载均衡可降低在每个启用的可用区中保持相同数量的实例的需求。它还可以提高应用程序处理一个或多个实例丢失情况的能力。
10.38 财务机构必须确保在至少三年内,保留足够的相关网络设备日志用于调查和取证。

cw-loggroup-retention-period-check

确保为您的日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。缺少可用的过去事件日志数据使得难以重新构造和识别潜在的恶意事件。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低特权和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任共担原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。为了帮助保护凭证,此规则允许您选择性地设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:true)、PasswordReusePrevention 和 MaxPasswordAge(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您利用访问权限和授权的最小特权和责任原则,从而限制策略包含“效果”: “Allow”,在“Resource”上包含“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户,以帮助遵循最少功能原则。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需权限更多的权限可能会违反最低权限和职责共担原则。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果标识了这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能会违反最小特权原则。此规则要求您将值设置为 maxCredentialUsageAge(配置默认值:90)。实际值应反映您组织的策略。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可包含敏感信息,并且此类账户需要访问控制。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以便在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。使用此配置,无需 Internet 网关、NAT 设备或 VPN 连接。在 AWS 云中,所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,在 AWS 云中管理对资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

api-gw-cache-enabled-and-encrypted

为了帮助保护静态数据,请确保已为 API Gateway 阶段的缓存启用加密。由于可为 API 方法捕获敏感数据,请启用静态加密以帮助保护这些数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

由于敏感数据可能存在并有助于保护静态数据,请确保为您的 AWS CloudTrail 跟踪启用加密。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

为帮助保护静态敏感数据,请确保已为您的 Amazon CloudWatch 日志组启用加密。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

由于敏感数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic File System (EFS) 启用加密。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

由于敏感数据可以存在并有助于保护静态数据,请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

由于敏感型数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保未计划在 AWS Key Management Service (AWS KMS) 中删除必要的客户主密钥 (CMK)。由于密钥删除有时是必需的,此规则可以帮助检查计划删除的所有密钥,以防意外计划了密钥。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

为了帮助保护静态数据,请确保已为您的 Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可存在于 Amazon RDS 实例中,请启用静态加密以帮助保护这些数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置一个值。实际值应反映您组织的策略。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

为了帮助保护静态数据,请确保为您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可存在于 Amazon S3 存储桶中,因此,请启用加密以帮助保护该数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

sagemaker-endpoint-configuration-kms-key-configured

为了帮助保护静态数据,请确保为您的 SageMaker 终端节点启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可存在于 SageMaker 终端节点中,因此启用静态加密以帮助保护该数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

为了帮助保护静态数据,请确保为您的 SageMaker 笔记本启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可存在于 SageMaker 笔记本中,请启用静态加密以帮助保护该数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

sns-encrypted-kms

为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于敏感数据可存在于发布的消息中,因此启用静态加密以帮助保护该数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。由于敏感数据可存在于这些卷中,因此启用静态加密以帮助保护这些数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

rds-snapshot-encrypted

确保为您的 Amazon Relational Database Service (Amazon RDS) 快照启用了加密。由于敏感数据可以存在,请启用静态加密以帮助保护该数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

启用密钥轮换,以确保在到达加密期限后轮换密钥。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

s3-default-encryption-kms

确保为您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

由于敏感数据可以存在并且在传输过程中帮助保护数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.53 在使用云服务来防止意外披露和访问时,财务机构必须对客户和秘密信息以及专有数据实施适当的保护措施。这包括保留与客户和方信息、专有数据以及云上托管的服务(包括相关加密密钥管理)相关的所有数据的所有权、控制和管理。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果标识了这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能会违反最小特权原则。此规则要求您将值设置为 maxCredentialUsageAge(配置默认值:90)。实际值应反映您组织的策略。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低特权和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任共担原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。为了帮助保护凭证,此规则允许您选择性地设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:true)、PasswordReusePrevention 和 MaxPasswordAge(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您利用访问权限和授权的最小特权和责任原则,从而限制策略包含“效果”: “Allow”,在“Resource”上包含“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户,以帮助遵循最少功能原则。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需权限更多的权限可能会违反最低权限和职责共担原则。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
10.54 财务机构必须实施适当的访问控制策略,以确定用户 (如第三方服务提供商) 的标识、身份验证和授权。这必须同时解决逻辑和物理技术访问控制,这些访问控制与其技术系统的秘密访问级别是相当的

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
10.55(b) 在观察第 10.54 款时,财务机构应在其访问控制策略中考虑以下原则:(b) 使用“最小权限”访问权限或“必需”,其中仅向合法用户授予执行其角色的最低权限。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低特权和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
10.55(b) 在观察第 10.54 款时,财务机构应在其访问控制策略中考虑以下原则:(b) 使用“最小权限”访问权限或“必需”,其中仅向合法用户授予执行其角色的最低权限。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任共担原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
10.55(b) 在观察第 10.54 款时,财务机构应在其访问控制策略中考虑以下原则:(b) 使用“最小权限”访问权限或“必需”,其中仅向合法用户授予执行其角色的最低权限。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您利用访问权限和授权的最小特权和责任原则,从而限制策略包含“效果”: “Allow”,在“Resource”上包含“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
10.55(b) 在观察第 10.54 款时,财务机构应在其访问控制策略中考虑以下原则:(b) 使用“最小权限”访问权限或“必需”,其中仅向合法用户授予执行其角色的最低权限。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需权限更多的权限可能会违反最低权限和职责共担原则。
10.55(b) 在观察第 10.54 款时,财务机构应在其访问控制策略中考虑以下原则:(b) 使用“最小权限”访问权限或“必需”,其中仅向合法用户授予执行其角色的最低权限。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
10.55(b) 在观察第 10.54 款时,财务机构应在其访问控制策略中考虑以下原则:(b) 使用“最小权限”访问权限或“必需”,其中仅向合法用户授予执行其角色的最低权限。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
10.55(b) 在观察第 10.54 款时,财务机构应在其访问控制策略中考虑以下原则:(b) 使用“最小权限”访问权限或“必需”,其中仅向合法用户授予执行其角色的最低权限。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
10.55(b)(h)(i) 在观察 10.54 段落时,财务机构应在其访问控制策略中考虑以下原则:(b) 使用“最小特权”访问权限或“必需”,其中仅具有最小 (h) 限制和控制在多个用户之间共享用户 ID 和密码;以及 (i) 控制使用通用用户 ID 命名约定以更多个人身份 IDs。

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户,以帮助遵循最少功能原则。
10.55(c)(f) 在观察 10.54 段落时,财务机构应在其访问控制策略中考虑以下原则:(c) 使用时间限制的访问权限,以限制对特定时间段的访问(包括向服务提供商授予的访问权限);(f) 对关键活动(包括远程访问)采用更严格的身份验证

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。为了帮助保护凭证,此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:true)、PasswordReusePrevention 和 MaxPasswordAge(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
10.55(f)(h) 在观察第 10.54 条,财务机构应在其访问控制策略中考虑以下原则:(f) 对包括远程访问在内的关键活动采用更强大的身份验证;(h) 限制并控制在多个用户之间共享用户 ID 和密码

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
10.55(f)(h) 在观察第 10.54 条,财务机构应在其访问控制策略中考虑以下原则:(f) 对包括远程访问在内的关键活动采用更强大的身份验证;(h) 限制并控制在多个用户之间共享用户 ID 和密码

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
10.55(f)(h) 在观察第 10.54 条,财务机构应在其访问控制策略中考虑以下原则:(f) 对包括远程访问在内的关键活动采用更强大的身份验证;(h) 限制并控制在多个用户之间共享用户 ID 和密码

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
10.55(f)(h) 在观察第 10.54 条,财务机构应在其访问控制策略中考虑以下原则:(f) 对包括远程访问在内的关键活动采用更强大的身份验证;(h) 限制并控制在多个用户之间共享用户 ID 和密码

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
10.56 财务机构必须采用可靠的身份验证过程,以确保使用中的身份的真实性。身份验证机制应与 函数的重要性相当,并采用以下三种基本身份验证因素中的至少一个,即用户知道的内容 (如密码、PIN)、用户拥有的内容 (如智能卡、安全设备) 和用户具有的内容 (如生物识别特征,如指纹或生物数据模式)。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
10.56 财务机构必须采用可靠的身份验证过程,以确保使用中的身份的真实性。身份验证机制应与 函数的重要性相当,并采用以下三种基本身份验证因素中的至少一个,即用户知道的内容 (如密码、PIN)、用户拥有的内容 (如智能卡、安全设备) 和用户具有的内容 (如生物识别特征,如指纹或生物数据模式)。

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
10.56 财务机构必须采用可靠的身份验证过程,以确保使用中的身份的真实性。身份验证机制应与 函数的重要性相当,并采用以下三种基本身份验证因素中的至少一个,即用户知道的内容 (如密码、PIN)、用户拥有的内容 (如智能卡、安全设备) 和用户具有的内容 (如生物识别特征,如指纹或生物数据模式)。

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
10.56 财务机构必须采用可靠的身份验证过程,以确保使用中的身份的真实性。身份验证机制应与 函数的重要性相当,并采用以下三种基本身份验证因素中的至少一个,即用户知道的内容 (如密码、PIN)、用户拥有的内容 (如智能卡、安全设备) 和用户具有的内容 (如生物识别特征,如指纹或生物数据模式)。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
10.57 财务机构应定期审核和调整其密码实践,以增强应对不断变化的攻击的恢复能力。这包括有效且安全地生成密码。必须实施适当的控制,以检查所创建密码的强度。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。为帮助保护凭证,此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:true)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge。实际值应反映您组织的策略。
10.58 依赖于多个因素的身份验证方法通常比单因素系统更难破坏。因此,建议财务机构正确设计和实施 (尤其是在高风险或“单点登录”系统中) 多重验证 (MFA),使其更可靠并提供更强大的欺诈技巧。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
10.58 依赖于多个因素的身份验证方法通常比单因素系统更难破坏。因此,建议财务机构正确设计和实施 (尤其是在高风险或“单点登录”系统中) 多重验证 (MFA),使其更可靠并提供更强大的欺诈技巧。

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
10.58 依赖于多个因素的身份验证方法通常比单因素系统更难破坏。因此,建议财务机构正确设计和实施 (尤其是在高风险或“单点登录”系统中) 多重验证 (MFA),使其更可靠并提供更强大的欺诈技巧。

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了一层额外的保护。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
10.58 依赖于多个因素的身份验证方法通常比单因素系统更难破坏。因此,建议财务机构正确设计和实施 (尤其是在高风险或“单点登录”系统中) 多重验证 (MFA),使其更可靠并提供更强大的欺诈技巧。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

cw-loggroup-retention-period-check

确保为您的日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。缺少可用的过去事件日志数据使得难以重新构造和识别潜在的恶意事件。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 接收来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置一个值。实际值应反映您组织的策略。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任共担原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。为了帮助保护凭证,此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:true)、PasswordReusePrevention 和 MaxPasswordAge(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您利用访问权限和授权的最小特权和责任原则,从而限制策略包含“效果”: “Allow”,在“Resource”上包含“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户,以帮助遵循最少功能原则。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需权限更多的权限可能会违反最低权限和职责共担原则。
10.61 财务机构必须确保 (a) 实际上管理和监控对企业范围的系统的访问控制,以及 (b) 关键系统中的用户活动,以进行审计和调查。活动日志必须至少保留三年并定期进行审核。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
10.62 为了满足 10.61 条的要求,大型财务机构需要 - (a) 部署身份访问管理系统,以有效地管理和监控用户对企业级系统的访问权限;以及 (b) 部署自动化审计工具来标记任何异常。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
10.62 为了满足 10.61 条的要求,大型财务机构需要 - (a) 部署身份访问管理系统,以有效地管理和监控用户对企业级系统的访问权限;以及 (b) 部署自动化审计工具来标记任何异常。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
10.62 为了满足 10.61 条的要求,大型财务机构需要 - (a) 部署身份访问管理系统,以有效地管理和监控用户对企业级系统的访问权限;以及 (b) 部署自动化审计工具来标记任何异常。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
10.63 财务机构必须确保关键系统不会在具有已知安全漏洞或使用寿命结束 (EOL) 技术系统的过时系统上运行。为此,财务机构必须明确地将责任分配给已识别的函数:(a) 及时持续监控和实施最新补丁版本;(b) 确定即将接近 EOL 的关键技术系统以执行进一步修复操作。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
10.63 财务机构必须确保关键系统不会在具有已知安全漏洞或使用寿命结束 (EOL) 技术系统的过时系统上运行。为此,财务机构必须明确地将责任分配给已识别的函数:(a) 及时持续监控和实施最新补丁版本;(b) 确定即将接近 EOL 的关键技术系统以执行进一步修复操作。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
10.63 财务机构必须确保关键系统不会在具有已知安全漏洞或使用寿命结束 (EOL) 技术系统的过时系统上运行。为此,财务机构必须明确地将责任分配给已识别的函数:(a) 及时持续监控和实施最新补丁版本;(b) 确定即将接近 EOL 的关键技术系统以执行进一步修复操作。

ec2-managedinstance-patch-compliance-status-check

启用此规则可帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则将根据组织的策略和过程的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规性。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

api-gw-cache-enabled-and-encrypted

为了帮助保护静态数据,请确保已为 API Gateway 阶段的缓存启用加密。由于可为 API 方法捕获敏感数据,请启用静态加密以帮助保护这些数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

由于敏感数据可能存在并有助于保护静态数据,请确保为您的 AWS CloudTrail 跟踪启用加密。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

为了帮助保护静态敏感数据,请确保已为您的 Amazon CloudWatch 日志组启用加密。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

由于敏感数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic File System (EFS) 启用加密。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

由于敏感数据可以存在并有助于保护静态数据,请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

由于敏感数据可以存在并且在传输过程中帮助保护数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

由于敏感型数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

为了帮助保护静态数据,请确保已为您的 Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可存在于 Amazon RDS 实例中,请启用静态加密以帮助保护这些数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置一个值。实际值应反映您组织的策略。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

为了帮助保护静态数据,请确保为您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可存在于 Amazon S3 存储桶中,因此,请启用加密以帮助保护该数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

sagemaker-endpoint-configuration-kms-key-configured

为了帮助保护静态数据,请确保为您的 SageMaker 终端节点启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可以存在于 SageMaker 终端节点中,因此启用静态加密以帮助保护这些数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

为了帮助保护静态数据,请确保为您的 SageMaker 笔记本启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可存在于 SageMaker 笔记本中,因此启用静态加密以帮助保护这些数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

sns-encrypted-kms

为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于敏感数据可存在于发布的消息中,因此启用静态加密以帮助保护该数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。由于敏感数据可存在于这些卷中,因此启用静态加密以帮助保护这些数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

rds-snapshot-encrypted

确保为您的 Amazon Relational Database Service (Amazon RDS) 快照启用了加密。由于敏感数据可以存在,请启用静态加密以帮助保护该数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.66(a) 财务机构必须实施强大的技术安全控制,以提供保证以下信息的数字服务:(a) 客户和交易机密性和完整性

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
10.66(b) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(b) 通过通道和设备提供的服务的可靠性,对服务的中断最少

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling 使用 AWS Application Auto Scaling 服务调整预置的吞吐容量,以自动响应实际的流量模式。这使表或全局二级索引能够增加其预置读/写容量以处理突增流量,而不进行限制。
10.66(b) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(b) 通过通道和设备提供的服务的可靠性,对服务的中断最少

elb-deletion-protection-enabled

此规则确保 Elastic Load Balancing 已启用删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致应用程序的可用性降低。
10.66(b) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(b) 通过通道和设备提供的服务的可靠性,对服务的中断最少

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) 中的多可用区支持为数据库实例提供了更高的可用性和持久性。当您预置多可用区数据库实例时,Amazon RDS 会自动创建一个主数据库实例,并将数据同步复制到不同可用区中的备用实例。每个可用区都运行在其自己的、独立的物理上不同的基础设施上,并且设计为高度可靠。如果基础设施出现故障,Amazon RDS 将自动故障转移到备用实例,以便您可以在故障转移完成后立即恢复数据库操作。
10.66(b) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(b) 通过通道和设备提供的服务的可靠性,对服务的中断最少

可以实施冗余站点到站点 VPN 隧道以实现恢复能力要求。它使用两条隧道来帮助确保连接性,以防其中一个站点到站点 VPN 连接变得不可用。为了防止连接丢失,在您的客户网关变得不可用时,您可以使用第二个客户网关设置到 Amazon Virtual Private Cloud (Amazon VPC) 和虚拟专用网关的第二个站点到站点 VPN 连接。
10.66(b) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(b) 通过通道和设备提供的服务的可靠性,对服务的中断最少

elb-cross-zone-load-balancing-enabled

为您的 Elastic Load Balancer (ELB) 启用跨区域负载均衡,以帮助保持充足的容量和可用性。跨区域负载均衡可降低在每个启用的可用区中保持相同数量的实例的需求。它还可以提高应用程序处理一个或多个实例丢失情况的能力。
10.66(b) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(b) 通过通道和设备提供的服务的可靠性,对服务的中断最少

rds-instance-deletion-protection-enabled

确保 Amazon Relational Database Service (Amazon RDS) 实例已启用删除保护。使用删除保护可防止您的 Amazon RDS 实例被意外或恶意删除,这可能会导致您的应用程序的可用性降低。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 组的 Elastic Load Balancer (ELB) 运行状况检查支持维护足够的容量和可用性。负载均衡器会定期发送 ping、尝试连接或发送请求以测试 Auto Scaling 组中的 Amazon EC2 实例运行状况。如果实例没有报告回,则流量将发送到新的 Amazon EC2 实例。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。有关捕获的数据的详细信息,请参阅 AWS CloudTrail 记录内容中。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

dynamodb-throughput-limit-check

启用此规则可确保在 Amazon DynamoDB 表上检查预置的吞吐容量。这是每个表可支持的读/写活动量。DynamoDB 使用此信息来预留足够的系统资源,以满足吞吐量需求。此规则在吞吐量接近客户账户的最大限制时生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage(配置默认值:80)和 accountWCUThresholdPercentage(配置默认值:80)参数。实际值应反映您组织的策略。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

ec2-instance-detailed-monitoring-enabled

启用此规则以帮助在 Amazon EC2 控制台上改进 Amazon Elastic Compute Cloud (Amazon EC2) 实例监控,这会以 1 分钟为间隔显示该实例的监控图表。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

lambda-dlq-check

启用此规则可帮助您在函数失败时通过 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知相应的人员。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则 CloudTrail 会将日志文件从所有 AWS 区域传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

rds-enhanced-monitoring-enabled

启用 Amazon Relational Database Service (Amazon RDS) 以帮助监控 Amazon RDS 可用性。这可让您详细了解 Amazon RDS 数据库实例的运行状况。当 Amazon RDS 存储使用多个底层物理设备时,增强监测将收集每个设备的数据。此外,当 Amazon RDS 数据库实例在多可用区部署中运行时,将收集辅助主机上每个设备的数据以及辅助主机指标。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 接收来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
10.66(d) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(d) 足够的审核跟踪和监控异常交易

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您组织的策略。
10.66(e) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(e) 在事件或服务中断之前能够识别并恢复到恢复点

db-instance-backup-enabled

Amazon RDS 的备份功能创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,备份整个数据库实例。系统允许您设置特定的保留期以满足您的弹性要求。
10.66(e) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(e) 在事件或服务中断之前能够识别并恢复到恢复点

dynamodb-pitr-enabled

启用此规则可检查是否已备份信息。它还通过确保在 Amazon DynamoDB 中启用时间点恢复来维护备份。 该恢复将保留过去 35 天的表连续备份。
10.66(e) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(e) 在事件或服务中断之前能够识别并恢复到恢复点

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) 中的优化实例为 Amazon EBS I/O 操作提供额外的专用容量。这种优化通过最大限度减少 Amazon EBS I/O 操作与来自实例的其他流量之间的争用,为您的 EBS 卷提供最有效的性能。
10.66(e) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(e) 在事件或服务中断之前能够识别并恢复到恢复点

elasticache-redis-cluster-automatic-backup-check

在启用自动备份时,Amazon ElastiCache 每天为集群创建备份。备份可以保留您的组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,以从最新的备份还原数据。
10.66(e) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(e) 在事件或服务中断之前能够识别并恢复到恢复点

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保维护数据可用性。
10.66(e) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(e) 在事件或服务中断之前能够识别并恢复到恢复点

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制可帮助将对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制可保留、检索和还原存储在 Amazon S3 存储桶中的每个对象的每个版本。版本控制可帮助您轻松从意外用户操作和应用程序故障中恢复。
10.66(e) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(e) 在事件或服务中断之前能够识别并恢复到恢复点

dynamodb-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon DynamoDB 表是 AWS Backup 计划的一部分。AWS Backup 是一项具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
10.66(e) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(e) 在事件或服务中断之前能够识别并恢复到恢复点

ebs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷是 AWS Backup 计划的一部分。AWS Backup 是一项具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
10.66(e) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(e) 在事件或服务中断之前能够识别并恢复到恢复点

efs-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon Elastic File System (Amazon EFS) 文件系统是 AWS Backup 计划的一部分。AWS Backup 是一项具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
10.66(e) 财务机构必须实施强大的技术安全控制,以提供保证以下数字服务:(e) 在事件或服务中断之前能够识别并恢复到恢复点

rds-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例是 AWS Backup 计划的一部分。AWS Backup 是一项具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
11.7 财务机构必须部署有效工具来支持持续、主动的监控并及时检测其技术基础设施中的异常活动。监控范围必须涵盖所有关键系统,包括支持基础设施。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
11.7 财务机构必须部署有效工具来支持持续、主动的监控并及时检测其技术基础设施中的异常活动。监控范围必须涵盖所有关键系统,包括支持基础设施。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
11.7(c)(f) SOC 必须能够执行以下功能:(c) 漏洞管理;(f) 提供检测攻击者和威胁的感知,包括威胁情报分析和操作,以及监控受损 (IOC) 指标。这包括高级行为分析,以检测无签名和无文件的恶意软件,以及识别可能带来安全威胁的异常(包括在终端节点和网络层)。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
11.7(c)(f) SOC 必须能够执行以下功能:(c) 漏洞管理;(f) 提供检测攻击者和威胁的感知,包括威胁情报分析和操作,以及监控受损 (IOC) 指标。这包括高级行为分析,以检测无签名和无文件的恶意软件,以及识别可能带来安全威胁的异常(包括在终端节点和网络层)。

guardduty-non-archived-findings

Amazon GuardDuty 通过按严重性对结果进行分类(低、中和高)来帮助您了解事件的影响。您可以使用这些分类来确定修复策略和优先级。此规则允许您根据组织的策略,选择性地为非存档结果设置 daysLowSev(配置默认值:30)、daysMediumSev(配置默认值:7)和 daysHighSev(配置默认值:1)。
11.7(c)(f) SOC 必须能够执行以下功能:(c) 漏洞管理;(f) 提供检测攻击者和威胁的感知,包括威胁情报分析和操作,以及监控受损 (IOC) 指标。这包括高级行为分析,以检测无签名和无文件的恶意软件,以及识别可能带来安全威胁的异常(包括在终端节点和网络层)。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
11.8 财务机构必须确保其网络安全操作持续阻止和检测其安全控制的任何潜在破坏或降低其安全状况。对于大型财务机构,这必须包括对支持所有关键系统的外部和内部网络组件执行季度漏洞评估。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
11.8 财务机构必须确保其网络安全操作持续阻止和检测其安全控制的任何潜在破坏或降低其安全状况。对于大型财务机构,这必须包括对支持所有关键系统的外部和内部网络组件执行季度漏洞评估。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
附录 5.1 定期审查所有安全设备的配置和规则设置。使用自动化工具查看和监控对配置和规则设置的更改。- 附录 5。对 Cybersecurity 的控制措施

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
附录 5.1 定期审查所有安全设备的配置和规则设置。使用自动化工具查看和监控对配置和规则设置的更改。- 附录 5。对 Cybersecurity 的控制措施

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
附录 5.5(b) 确保服务器到服务器的外部网络连接的安全控制包括:(b) 使用传输层安全性 (TLS) 和虚拟专用网络 (VPN) IPSec 等安全隧道

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
附录 5.5(b) 确保服务器到服务器的外部网络连接的安全控制包括:(b) 使用传输层安全性 (TLS) 和虚拟专用网络 (VPN) IPSec 等安全隧道

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
附录 5.5(b) 确保服务器到服务器的外部网络连接的安全控制包括:(b) 使用传输层安全性 (TLS) 和虚拟专用网络 (VPN) IPSec 等安全隧道

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
附录 5.5(b) 确保服务器到服务器的外部网络连接的安全控制包括:(b) 使用传输层安全性 (TLS) 和虚拟专用网络 (VPN) IPSec 等安全隧道

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
附录 5.5(b) 确保服务器到服务器的外部网络连接的安全控制包括:(b) 使用传输层安全性 (TLS) 和虚拟专用网络 (VPN) IPSec 等安全隧道

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
附录 5.5(b) 确保服务器到服务器的外部网络连接的安全控制包括:(b) 使用传输层安全性 (TLS) 和虚拟专用网络 (VPN) IPSec 等安全隧道

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
附录 5.5(c) 确保服务器到服务器的外部网络连接的安全控制包括:(c) 部署具有足够周长防护能力的暂存服务器,以及防火墙、IPS 和防病毒等保护。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
附录 5.5(c) 确保服务器到服务器的外部网络连接的安全控制包括:(c) 部署具有足够周长防护能力的暂存服务器,以及防火墙、IPS 和防病毒等保护。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
附录 5.5(c) 确保服务器到服务器的外部网络连接的安全控制包括:(c) 部署具有足够周长防护能力的暂存服务器,以及防火墙、IPS 和防病毒等保护。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
附录 5.5(c) 确保服务器到服务器的外部网络连接的安全控制包括:(c) 部署具有足够周长防护能力的暂存服务器,以及防火墙、IPS 和防病毒等保护。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
附录 5.5(c) 确保服务器到服务器的外部网络连接的安全控制包括:(c) 部署具有足够周长防护能力的暂存服务器,以及防火墙、IPS 和防病毒等保护。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
附录 5.6 确保对服务器的远程访问的安全控制包括:(a) 限制对终端节点设备的访问,仅限制对稳定和锁定终端节点设备的访问;(b) 使用 TLS 和 VPN IPSec 等安全隧道;(c) 使用具有防火墙、IPS 和防病毒等足够周长的边界和保护的“网关”服务器;(d) 在远程访问过期后立即关闭相关端口。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
附录 5.6 确保针对服务器远程访问的安全控制包括以下内容:(a) 限制对终端节点设备的访问,仅稳定和锁定;(b) 使用诸如 TLS 和 VPN IPSec 等安全隧道;(c) 使用具有防火墙、IPS 和防病毒等足够外围边界和保护的“网关”服务器;以及 (d) 在远程访问过期后立即关闭相关端口。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
附录 5.6 确保针对服务器远程访问的安全控制包括以下内容:(a) 限制对仅稳定和锁定的终端节点设备的访问;(b) 使用 TLS 和 VPN IPSec 等安全隧道;(c) 使用具有防火墙、IPS 和防病毒等足够外围边界和保护的“网关”服务器;以及 (d) 在远程访问过期后立即关闭相关端口。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
附录 5.6 确保针对服务器远程访问的安全控制包括以下内容:(a) 限制对终端节点设备的访问,仅允许对终端节点设备进行强化和锁定;(b) 使用诸如 TLS 和 VPN IPSec 等安全隧道;(c) 使用具有防火墙、IPS 和防病毒等足够外围边界和保护的“网关”服务器;以及 (d) 在远程访问过期后立即关闭相关端口。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
附录 5.6 确保针对服务器远程访问的安全控制包括以下内容:(a) 限制对终端节点设备的访问,仅限制对终端节点设备的访问;(b) 使用 TLS 和 VPN IPSec 等安全隧道;(c) 使用具有防火墙、IPS 和防病毒等足够外围边界和保护的“网关”服务器;以及 (d) 在远程访问过期后立即关闭相关端口。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
附录 5.6 确保针对服务器远程访问的安全控制包括以下内容:(a) 限制对终端节点设备的访问,仅允许对终端节点设备进行强化和锁定;(b) 使用诸如 TLS 和 VPN IPSec 等安全隧道;(c) 使用具有防火墙、IPS 和防病毒等足够外围边界和保护的“网关”服务器;(d) 在远程访问过期后立即关闭相关端口。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
附录 5.6 确保针对服务器远程访问的安全控制包括:(a) 限制对终端节点设备的访问,仅限制对强化和锁定终端节点设备的访问;(b) 使用诸如 TLS 和 VPN IPSec 等安全隧道;(c) 使用具有防火墙、IPS 和防病毒等足够外围边界和保护的“网关”服务器;以及 (d) 在远程访问过期后立即关闭相关端口。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
附录 5.6 确保针对服务器远程访问的安全控制包括以下内容:(a) 限制对终端节点设备的访问,仅允许对终端节点设备进行强化和锁定;(b) 使用诸如 TLS 和 VPN IPSec 等安全隧道;(c) 使用具有防火墙、IPS 和防病毒等足够外围边界和保护的“网关”服务器;(d) 在远程访问过期后立即关闭相关端口。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。

Template

该模板在 GitHub 上可用: BNM RMiT 的 操作最佳实践。