适用于 BNM RMIT 的运营最佳实践 - Amazon Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 BNM RMIT 的运营最佳实践

一致性包提供了一个通用的合规性框架,旨在使您能够使用托管或自定义的创建安全性、运营或成本优化治理检查Amazon Config和规则Amazon Config补救行动. 合规性包(作为示例模板)的设计目的不是为了完全确保符合特定的监管或合规性标准。您有责任自行评估您对服务的使用是否符合适用的法律和法规要求。



以下是马来西亚国家银行 (BNM) 技术风险管理 (RMIT) 与Amazon Config托管规则。每个 Config 规则都应用于特定Amazon资源,并与一个或多个 BNM RMIT 控制相关。BNM RMIT 控制可能与多个 Config 规则相关。有关这些映射的详细信息和指南,请参阅下表。

此一致性包已通过Amazon安全保证服务有限责任公司 (AmazonSAS),这是一个由支付卡行业合格安全评估员 (QSA)、HITRUST 认证通用安全框架从业员 (CCSFP) 和合规专业人员组成的团队,他们通过了认证以为各种行业框架提供指导和评估的合规专业人员组成。AmazonSAS 专业人员设计了这个一致性包,使您能够与标题 21 CFR 第 11 部分设计原则的子集对齐。

Amazon Web Services 区域:全部支持Amazon Web Services 区域中东(巴林)

控制 ID 控制描述 Amazon Config 规则 指南
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

api-gw-cache-enabled-and-encrypted

为了帮助保护静态数据,请确保为 API Gateway 阶段的缓存启用了加密。由于可以为 API 方法捕获敏感数据,因此启用静态加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

cloud-trail-encryption-enabled

由于敏感数据可能存在,并且为了帮助保护静态数据,因此请确保为Amazon CloudTrail跟踪。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

为了帮助保护静态敏感数据,请确保您的 Amazon CloudWatch 日志组已启用加密功能。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

efs-encrypted-check

由于敏感数据可能存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic File System (EFS) 启用了加密功能。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

由于敏感数据可能存在并有助于保护静态数据,因此请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密功能。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

由于敏感数据可能存在,并且为了帮助保护传输时的数据,请确保为 Elastic Load Balancing 启用了加密功能。使用Amazon Certificate Manager管理、配置和部署公共和私有 SSL/TLS 证书Amazon服务和内部资源.
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

encrypted-volumes

由于感官数据可能存在,并且为了保护静态数据,请确保已经为 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保未计划在Amazon Key Management Service(AmazonKM)。由于有时需要删除密钥,因此此此规则可以帮助检查计划删除的所有密钥,以防无意中安排密钥。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

rds-storage-encrypted

为了帮助保护静态数据,请确保为 Amazon Relational Database Service (Amazon RDS) 实例启用了加密。由于敏感数据可能存在于 Amazon RDS 实例中静态,因此启用静态加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

redshift-cluster-configuration-check

为了保护静态数据,请确保 Amazon Redshift 集群已启用加密。您还必须确保在 Amazon Redshift 集群上部署了所需的配置。应启用审计记录以提供数据库中的连接和用户活动相关信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映组织的策略。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

redshift-require-tls-ssl

确保您的 Amazon Redshift torage Storage 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

s3-bucket-server-side-encryption-enabled

要帮助保护静态数据,请确保已启用 Amazon Simple Storage Service (Amazon S3) 存储桶的加密。由于敏感数据可以静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

s3-bucket-ssl-requests-only

为了帮助保护传输中的数据,请确保 Amazon Simple Storage Service (Amazon S3) 桶需要请求使用安全套接字层 (SSL)。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

为了帮助保护静态数据,请确保使用Amazon Key Management Service(Amazon已为您的 SageMaker 终端节点启用 KMS)。由于敏感数据可能存在于 SageMaker 终端节点中的静态数据,因此启用静态加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

为了帮助保护静态数据,请确保使用Amazon Key Management Service(Amazon已为您的 SageMaker 笔记本电脑启用 KMS)。由于敏感数据可能存在于 SageMaker 笔记本中静态,因此启用静态加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

sns-encrypted-kms

要帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题要求使用Amazon Key Management Service(AmazonKM)。由于敏感数据可能存在于已发布邮件中静态,因此启用静态加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

ec2-ebs-encryption-by-default

为帮助保护静态数据,请确保为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能存在于这些卷中静态,因此启用静态加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

rds-snapshot-encrypted

确保为 Amazon Relational Database Service (Amazon RDS) 快照启用了加密。由于敏感数据可以处于静态状态,因此启用静态加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

cmk-backing-key-rotation-enabled

启用密钥轮替,以确保在到达加密期限后,将轮换密钥。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

s3-default-encryption-kms

确保 Amazon Simple Storage Service (Amazon S3) 存储桶已启用加密。由于敏感数据可以静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

启用了 alb-http 丢弃标题

确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

确保启 Amazon Elasticsearch Service 密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.18 金融机构必须进行尽职调查和评估与所使用技术相关的密码控制,以保护信息的机密性、完整性、认证、授权和不可否认性。如果金融机构不生成自己的加密密钥,金融机构应采取适当措施,确保建立强有力的控制措施和程序来管理加密密钥。如果这涉及依赖第三方评估,金融机构应考虑这种依赖是否符合金融机构的风险偏好和承受能力。金融机构还必须适当考虑支持加密控制所需的系统资源以及加密数据的网络流量可见性降低的风险。

ELB-TLS-https-仅侦听器

确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.2 金融机构应将公共加密钥匙存放在证书颁发机构签发的证书中, 以符合风险程度. 与客户相关的证书应由认可的证书颁发机构签发。金融机构必须确保使用这种证书的认证和签名协议的实施受到强有力的保护,以确保使用与用户证书相对应的私人加密钥匙具有法律约束力和不可辩驳。这种证书的初次签发和随后的续期必须符合行业最佳做法和适用的法律/规章规定。

由于敏感数据可能存在,并且为了帮助保护传输时的数据,请确保为 Elastic Load Balancing 启用了加密功能。使用Amazon Certificate Manager管理、配置和部署公共和私有 SSL/TLS 证书Amazon服务和内部资源.
10.2 金融机构应将公共加密钥匙存放在证书颁发机构签发的证书中, 以符合风险程度. 与客户相关的证书应由认可的证书颁发机构签发。金融机构必须确保使用这种证书的认证和签名协议的实施受到强有力的保护,以确保使用与用户证书相对应的私人加密钥匙具有法律约束力和不可辩驳。这种证书的初次签发和随后的续期必须符合行业最佳做法和适用的法律/规章规定。

通过确保 X509 证书由AmazonACM. 这些证书必须有效且未过期。此规则需要一个 daysToExpiration 值 (Amazon基础安全最佳实践价值:90)。实际值应反映组织的策略。
10.27 金融机构必须建立实时监测机制,以跟踪关键流程和服务的能力利用情况和绩效。这些监测机制应能够及时向管理人员提供可采取行动的警报。

cloudwatch-alarm-resource-check

启用此规则可检查指定的资源类型是否有针对定定定定定定定定定定定定定定定定定定定定定定定定定定定 对于资源类型,您可以指定 EBS 卷、EC2 实例、RDS 集群或 S3 存储桶。使用 CloudWatch 警报将事件检测信息传达给相应的人员。此规则要求您设置 resourceType(例如,AWS። EC2። 实例)和指 metricName(例如,CPU 利用率)参数。
10.27 金融机构必须建立实时监测机制,以跟踪关键流程和服务的能力利用情况和绩效。这些监测机制应能够及时向管理人员提供可采取行动的警报。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含Amazon CloudTrail数据提供了 API 调用活动的详细信息Amazon Web Services 账户。
10.27 金融机构必须建立实时监测机制,以跟踪关键流程和服务的能力利用情况和绩效。这些监测机制应能够及时向管理人员提供可采取行动的警报。

cloudwatch-alarm-action-check

在指标超过阈值达到指定数量的评估期时,Amazon CloudWatch 将发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 “alarmActionRequired”(Config 默认值:True)、“需要 insufficientDataActionRequired”(Config 默认值:True)、“okActionRequired(Config 默认值:False)的值。实际值应反映您环境的警报操作。
10.27 金融机构必须建立实时监测机制,以跟踪关键流程和服务的能力利用情况和绩效。这些监测机制应能够及时向管理人员提供可采取行动的警报。

ec2-instance-detailed-monitoring-enabled

启用此规则可以帮助改进 Amazon EC2 控制台上的 Amazon Elastic Compute Cloud (Amazon EC2) 实例监控,该控制台将以 1 分钟为间隔显示实例的监控图表。
10.27 金融机构必须建立实时监测机制,以跟踪关键流程和服务的能力利用情况和绩效。这些监测机制应能够及时向管理人员提供可采取行动的警报。

autoscaling-group-elb-healthcheck-required

Amazon EElastic Load Balancer Compute Cloud (Amazon EC2) Auto Supple Elastic Compute Cloud (Amazon EC2) Auto Scaling upple 组支持维护足够的容量和可用性。负载均衡器会定期发送 ping、尝试进行连接或者发送请求来测试 Amazon EC2 实例在 auto-scaling 组中的运行状况。如果实例未报告,流量将被发送到新的 Amazon EC2 实例。
10.27 金融机构必须建立实时监测机制,以跟踪关键流程和服务的能力利用情况和绩效。这些监测机制应能够及时向管理人员提供可采取行动的警报。

rds-enhanced-monitoring-enabled

启用 Amazon Relational Database Service (Amazon RDS),帮助监控 Amazon RDS 的可用性。这样就可以详细了解 Amazon RDS 数据库实例的运行状况。当 Amazon RDS 存储使用多个底层物理设备时,增强监控会收集每个设备的数据。此外,当 Amazon RDS 数据库实例在多可用区部署中运行时,将收集辅助主机上每个设备的数据和辅助主机指标。
10.27 金融机构必须建立实时监测机制,以跟踪关键流程和服务的能力利用情况和绩效。这些监测机制应能够及时向管理人员提供可采取行动的警报。

此规则确保建立了 Lambda 函数的并发高和低限制。这可以帮助您确定您的函数在任何给定时间所服务的请求的基线。
10.27 金融机构必须建立实时监测机制,以跟踪关键流程和服务的能力利用情况和绩效。这些监测机制应能够及时向管理人员提供可采取行动的警报。

dynamodb-throughput-limit-check

启用此规则可确保在 Amazon DynamoDB 表上检查预配置的吞吐量容量。这是每个表可以支持的读/写活动量。DynamoDB 使用此信息来预留足够的系统资源,以满足吞吐量需求。当吞吐量达到客户帐户的最大限制时,此规则会生成警报。此规则允许您选择设置帐户切断阈值百分比(Config 默认值:80)和 accountRCUThresholdPercentage(Config 默认值:80)参数。实际值应反映组织的策略。
10.34 金融机构必须确保其关键系统的网络服务可靠且没有 SPOR,以保护关键系统免受潜在的网络故障和网络威胁。

可实施冗余 Site-to-Site VPN 隧道以实现恢复要求。它使用两条隧道以帮助确保连接性,以防止出现 Site-to-Site VPN 连接不可用的情况。要避免因您的客户网关不可用而造成连接中断,您可使用第二个客户网关来为您的 Amazon Virtual Private Cloud (Amazon VPC) 和虚拟专用网关设置另一个 Site-to-Site VPN 连接。
10.34 金融机构必须确保其关键系统的网络服务可靠且没有 SPOR,以保护关键系统免受潜在的网络故障和网络威胁。

elb-deletion-protection-enabled

此规则可确保 Elastic Load Balancing 启用了删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致应用程序的可用性丧失。
10.35 金融机构必须建立实时网络带宽监控流程和相应的网络服务弹性指标,以标记带宽拥塞和网络故障导致的任何带宽过度利用率和系统中断。这包括用于检测趋势和异常的流量分析。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出您的 Amazon Virple Cloud (Amazon VPC) 中的网络接口的信息的详细记录。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。
10.35 金融机构必须建立实时网络带宽监控流程和相应的网络服务弹性指标,以标记带宽拥塞和网络故障导致的任何带宽过度利用率和系统中断。这包括用于检测趋势和异常的流量分析。

elb-logging-enabled

Elastic Load Balancing 活动是环境中通信的中心点。确认 ELB 日志记录已启用。收集到的数据提供了有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.35 金融机构必须建立实时网络带宽监控流程和相应的网络服务弹性指标,以标记带宽拥塞和网络故障导致的任何带宽过度利用率和系统中断。这包括用于检测趋势和异常的流量分析。

cloudwatch-alarm-action-check

在指标超过阈值达到指定数量的评估期时,Amazon CloudWatch 将发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 “alarmActionRequired”(Config 默认值:True)、“需要 insufficientDataActionRequired”(Config 默认值:True)、“okActionRequired(Config 默认值:False)的值。实际值应反映您环境的警报操作。
10.36 金融机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.36 金融机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

由于敏感数据可能存在,并且为了帮助保护传输时的数据,请确保为 Elastic Load Balancing 启用了加密功能。使用Amazon Certificate Manager管理、配置和部署公共和私有 SSL/TLS 证书Amazon服务和内部资源.
10.36 金融机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

启用了 alb-http 丢弃标题

确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.36 金融机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

ELB-TLS-https-仅侦听器

确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.36 金融机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

elb-deletion-protection-enabled

此规则可确保 Elastic Load Balancing 启用了删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致应用程序的可用性丧失。
10.36 金融机构必须确保设计和实施支持关键系统的网络服务,以确保数据的机密性、完整性和可用性。

支持 ELB 跨区域负载平衡

为弹性负载均衡器 (ELB) 启用跨区域负载平衡,以帮助维持足够的容量和可用性。跨区域负载均衡可降低在每个启用的可用区中保持相同数量实例的需求。它还提高应用程序处理一个或多个实例丢失情况的能力。
10.38 金融机构必须确保为调查和取证目的保留足够和相关的网络设备日志至少三年。

cw-log group reten-check

确保为日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。由于缺乏可用的过去事件日志数据,因此难以重建和识别潜在的恶意事件。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以根据最小权限和职责分离原则来管理和合并访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,被称为密钥分发中心 (KDC)。它为委托人提供了一种进行身份验证的方法。KDC 通过颁发用于身份验证的票证来进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

iam-group-has-users-check

Amazon Identity and Access Management(IAM) 可以通过确保 IAM 组至少有一个 IAM 用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。根据 IAM 用户的关联权限或工作职能将其置于组中是纳入最小权限的一种方法。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

iam-password-policy

身份和证书是根据组织 IAM 密码策略颁发、管理和验证的。为了帮助保护凭据,此规则允许您选择性地设置要求(Amazon基础安全最佳实践价值:true),RequireLowercaseCharacters(Amazon基础安全最佳实践价值:true),RequireSymbols (Amazon基础安全最佳实践价值:true)RequireNumbers(Amazon基础安全最佳实践价值:true),MinimumPasswordLength(Amazon基础安全最佳实践价值:14)、PasswordReusePrevention 护 (Amazon基础安全最佳实践价值:24)和 MaxPasswordAge(Amazon基础安全最佳实践值:90),适用于您的 IAM 密码策略。实际值应反映组织的策略。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

iam-policy-no-statements-with-admin-access

Amazon Identity and Access Management(IAM) 可以帮助您将最小权限和职责分离原则与访问权限和授权相结合,从而限制策略包含 “效果”:“Allow”(其中在 “Resource”: “*” 上方包含 “Resource”: “*”。 允许用户拥有超过完成任务所需的更多权限可能违反最小权限和职责分离的原则。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

iam-root-access-key-check

对系统和资产的访问可以通过检查 root 用户是否没有附加到Amazon Identity and Access Management(IAM) 角色。确保已删除根访问密钥。相反,可以创建和使用基于角色的Amazon Web Services 账户,以帮助纳入最少功能的原则。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

iam-user-group-membership-check

Amazon Identity and Access Management(IAM) 可以确保 IAM 用户为至少一个组的成员,从而帮助您限制访问权限和授权。允许用户完成任务所需的更多权限可能违反最小权限和职责分离的原则。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

iam-user-mfa-enabled

启用此规则可限制对Amazon Web Services 云。此规则确保为所有 IAM 用户启用多重验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,减少遭到破坏的账户事件。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

iam-user-no-policies-check

此规则确保Amazon Identity and Access Management(IAM) 策略仅附加到组或角色仅附加到组或角色。在组或角色级别分配权限有助于减少身份接收或保留过多权限的机会。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

iam-user-unused-credentials-check

Amazon Identity and Access Management(IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别了这些未使用的凭据,则应禁用和/或删除凭据,因为这可能违反最小权限原则。此规则要求您将值设置为 maxCredentialUsageAge 间(Config 默认值:90)。实际值应反映组织的策略。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

mfa-enabled-for-iam-console-access

管理对Amazon Web Services 云通过确保为所有Amazon Identity and Access Management(IAM) 具有控制台密码的用户。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少账户遭到破坏的事件,并防止未经授权的用户访问敏感数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

管理对Amazon Web Services 云通过确保为根用户启用硬件 MFA 来执行此操作。根用户是Amazon Web Services 账户。MFA 为用户名和密码增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少受到威胁的事件Amazon Web Services 账户。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

管理对资源的访问Amazon Web Services 云通过确保为根用户启用了 MFA。根用户是Amazon Web Services 账户。MFA 为用户名和密码增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少受到威胁的事件Amazon Web Services 账户。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

s3-bucket-policy-grantee-check

管理对的访问Amazon Web Services 云通过启用 s3_ 存储桶策略授权检查。此规则检查 Amazon S3 存储桶授予的访问权限是否受任何Amazon委托人、联合身份用户、服务委托人、IP 地址或您提供的 Amazon Virtual Private Cloud (Amazon VPC) ID。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

iam-NON-CONPRONT

确保可用性Amazon Identity and Access Management(IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问。Amazon建议使用托管策略而不是内联策略。托管策略允许重用性、版本控制和回滚以及委派权限管理。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

dms-replication-not-public

管理对的访问Amazon Web Services 云通过确保 DMS 复制实例不能公开访问。DMS 复制实例可以包含敏感信息,此类帐户需要访问控制。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

ebs-snapshot-public-restorable-check

管理对的访问Amazon Web Services 云通过确保 EBS 快照不可公开还原。EBS 卷快照可以包含敏感信息,此类帐户需要访问控制。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

ec2-instance-no-public-ip

管理对的访问Amazon Web Services 云通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例不能公开访问。Amazon EC2 实例可以包含敏感信息,此类账户需要访问控制。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

elasticsearch-in-vpc-only

管理对的访问Amazon Web Services 云通过确保 Amazon Virtual Private Cloud (Amazon VPC) 中的 Amazon Sirtual Private Cloud。Amazon VPC 中的 Amazon ES 域可以在 Amazon VPC 中的 Amazon ES 和 Amazon VPC 中的其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

emr-master-no-public-ip

管理对的访问Amazon Web Services 云通过确保 Amazon EMR 集群主节点不能公开访问。Amazon EMR 集群主节点可以包含敏感信息,此类账户需要访问控制。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon VPC) 实例,以便在 Amazon VPC 中的实例和其他服务之间进行安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。所有流量都会保持安全。Amazon Web Services 云。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

internet-gateway-authorized-vpc-only

管理对资源的访问Amazon Web Services 云确保互联网网关仅连接到授权 Amazon Virtual Private Cloud (Amazon VPC)。互联网网关允许进出 Amazon VPC 的双向互联网访问,这可能导致对 Amazon VPC 资源的未经授权访问。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

管理对资源的访问Amazon Web Services 云通过确保AmazonLambda 函数不能公开访问。公众获取资源可能会导致资源的减少。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

部署AmazonLambda 在 Amazon Virtual Private Cloud (Amazon VPC) 中运行,用于在 Amazon VPC 中的函数和其他服务之间进行安全通信。使用此配置,无需 Internet 网关、NAT 设备或 VPN 连接。所有流量都会保持安全。Amazon Web Services 云。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问,AmazonLambda 函数应分配给 VPC。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

rds-instance-public-access-check

管理对资源的访问Amazon Web Services 云通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的。Amazon RDS 数据库实例可以包含敏感信息,此类账户需要原则和访问控制。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

rds-snapshots-public-prohibited

管理对资源的访问Amazon Web Services 云通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公开的。Amazon RDS 数据库实例可以包含敏感信息和原则,此类账户需要访问控制。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

redshift-cluster-public-access-check

管理对资源的访问Amazon Web Services 云通过确保 Amazon Redshift 集群不是公开的。Amazon Redshift 集群可以包含敏感信息和原则,此类账户需要访问控制。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

s3-account-level-public-access-blocks

管理对资源的访问Amazon Web Services 云通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不能公开访问。此规则通过防止公共访问来帮助保护敏感数据不受未经授权的远程用户攻击。此规则允许您选择设置 ignorePublicAcls(Config 默认值:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映组织的策略。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

s3-bucket-public-read-prohibited

管理对资源的访问Amazon Web Services 云仅允许授权的用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶。对访问的管理应与数据的分类保持一致。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

s3-bucket-public-write-prohibited

管理对资源的访问Amazon Web Services 云仅允许授权的用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶。对访问的管理应与数据的分类保持一致。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

管理对资源的访问Amazon Web Services 云通过确保 Amazon SageMaker 笔记本电脑不允许直接访问互联网。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

api-gw-cache-enabled-and-encrypted

为了帮助保护静态数据,请确保为 API Gateway 阶段的缓存启用了加密。由于可以为 API 方法捕获敏感数据,因此启用静态加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

cloud-trail-encryption-enabled

由于敏感数据可能存在,并且为了帮助保护静态数据,因此请确保为Amazon CloudTrail跟踪。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

为了帮助保护静态敏感数据,请确保您的 Amazon CloudWatch 日志组已启用加密功能。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

efs-encrypted-check

由于敏感数据可能存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic File System (EFS) 启用了加密功能。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

由于敏感数据可能存在并有助于保护静态数据,因此请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密功能。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

encrypted-volumes

由于感官数据可能存在,并且为了保护静态数据,请确保已经为 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保未计划在Amazon Key Management Service(AmazonKM)。由于有时需要删除密钥,因此此此规则可以帮助检查计划删除的所有密钥,以防无意中安排密钥。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

rds-storage-encrypted

为了帮助保护静态数据,请确保为 Amazon Relational Database Service (Amazon RDS) 实例启用了加密。由于敏感数据可能存在于 Amazon RDS 实例中静态,因此启用静态加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

redshift-cluster-configuration-check

为了保护静态数据,请确保 Amazon Redshift 集群已启用加密。您还必须确保在 Amazon Redshift 集群上部署了所需的配置。应启用审计记录以提供数据库中的连接和用户活动相关信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映组织的策略。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

s3-bucket-server-side-encryption-enabled

要帮助保护静态数据,请确保已启用 Amazon Simple Storage Service (Amazon S3) 存储桶的加密。由于敏感数据可以静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

为了帮助保护静态数据,请确保使用Amazon Key Management Service(Amazon已为您的 SageMaker 终端节点启用 KMS)。由于敏感数据可能存在于 SageMaker 终端节点中的静态数据,因此启用静态加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

为了帮助保护静态数据,请确保使用Amazon Key Management Service(Amazon已为您的 SageMaker 笔记本电脑启用 KMS)。由于敏感数据可能存在于 SageMaker 笔记本中静态,因此启用静态加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

sns-encrypted-kms

要帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题要求使用Amazon Key Management Service(AmazonKM)。由于敏感数据可能存在于已发布邮件中静态,因此启用静态加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

ec2-ebs-encryption-by-default

为帮助保护静态数据,请确保为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能存在于这些卷中静态,因此启用静态加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

rds-snapshot-encrypted

确保为 Amazon Relational Database Service (Amazon RDS) 快照启用了加密。由于敏感数据可以处于静态状态,因此启用静态加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

cmk-backing-key-rotation-enabled

启用密钥轮替,以确保在到达加密期限后,将轮换密钥。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

s3-default-encryption-kms

确保 Amazon Simple Storage Service (Amazon S3) 存储桶已启用加密。由于敏感数据可以静态存在于 Amazon S3 存储桶中,因此启用静态加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

s3-bucket-ssl-requests-only

为了帮助保护传输中的数据,请确保 Amazon Simple Storage Service (Amazon S3) 桶需要请求使用安全套接字层 (SSL)。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

由于敏感数据可能存在,并且为了帮助保护传输时的数据,请确保为 Elastic Load Balancing 启用了加密功能。使用Amazon Certificate Manager管理、配置和部署公共和私有 SSL/TLS 证书Amazon服务和内部资源.
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

redshift-require-tls-ssl

确保您的 Amazon Redshift torage Storage 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

启用了 alb-http 丢弃标题

确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

确保启 Amazon Elasticsearch Service 密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.53 在使用云服务时,金融机构必须对客户和交易方信息以及专有数据实施适当的保护措施,以防止未经授权的披露和访问。这应包括保留与客户和交易方信息、专有数据和云端托管的服务相关的所有数据的所有权、控制和管理,包括相关的加密密钥管理。

ELB-TLS-https-仅侦听器

确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决逻辑和物理技术访问控制问题,这些控制与未经授权进入其技术系统的风险程度相称。

iam-user-unused-credentials-check

Amazon Identity and Access Management(IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别了这些未使用的凭据,则应禁用和/或删除凭据,因为这可能违反最小权限原则。此规则要求您将值设置为 maxCredentialUsageAge 间(Config 默认值:90)。实际值应反映组织的策略。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以根据最小权限和职责分离原则来管理和合并访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,被称为密钥分发中心 (KDC)。它为委托人提供了一种进行身份验证的方法。KDC 通过颁发用于身份验证的票证来进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

iam-group-has-users-check

Amazon Identity and Access Management(IAM) 可以通过确保 IAM 组至少有一个 IAM 用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。根据 IAM 用户的关联权限或工作职能将其置于组中是纳入最小权限的一种方法。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

iam-password-policy

身份和证书是根据组织 IAM 密码策略颁发、管理和验证的。为了帮助保护凭据,此规则允许您选择性地设置要求(Amazon基础安全最佳实践价值:true),RequireLowercaseCharacters(Amazon基础安全最佳实践价值:true),RequireSymbols(Amazon基础安全最佳实践价值:true)RequireNumbers(Amazon基础安全最佳实践价值:true),MinimumPasswordLength(Amazon基础安全最佳实践价值:14)、PasswordReusePrevention 护 (Amazon基础安全最佳实践价值:24)和 MaxPasswordAge(Amazon基础安全最佳实践值:90),适用于您的 IAM 密码策略。实际值应反映组织的策略。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

iam-policy-no-statements-with-admin-access

Amazon Identity and Access Management(IAM) 可以帮助您将最小权限和职责分离原则与访问权限和授权相结合,从而限制策略包含 “效果”:“Allow”(其中在 “Resource”: “*” 上方包含 “Resource”: “*”。 允许用户拥有超过完成任务所需的更多权限可能违反最小权限和职责分离的原则。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

iam-root-access-key-check

对系统和资产的访问可以通过检查 root 用户是否没有附加到Amazon Identity and Access Management(IAM) 角色。确保已删除根访问密钥。相反,可以创建和使用基于角色的Amazon Web Services 账户,以帮助纳入最少功能的原则。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

iam-user-group-membership-check

Amazon Identity and Access Management(IAM) 可以确保 IAM 用户为至少一个组的成员,从而帮助您限制访问权限和授权。允许用户完成任务所需的更多权限可能违反最小权限和职责分离的原则。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

iam-user-mfa-enabled

启用此规则可限制对Amazon Web Services 云。此规则确保为所有 IAM 用户启用多重验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,减少遭到破坏的账户事件。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

iam-user-no-policies-check

此规则确保Amazon Identity and Access Management(IAM) 策略仅附加到组或角色仅附加到组或角色。在组或角色级别分配权限有助于减少身份接收或保留过多权限的机会。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

mfa-enabled-for-iam-console-access

管理对资源的访问Amazon Web Services 云通过确保为所有Amazon Identity and Access Management(IAM) 具有控制台密码的用户。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少账户遭到破坏的事件,并防止未经授权的用户访问敏感数据。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

管理对资源的访问Amazon Web Services 云通过确保为根用户启用硬件 MFA 来执行此操作。根用户是Amazon Web Services 账户。MFA 为用户名和密码增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少受到威胁的事件Amazon Web Services 账户。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

管理对资源的访问Amazon Web Services 云通过确保为根用户启用了 MFA。根用户是Amazon Web Services 账户。MFA 为用户名和密码增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少受到威胁的事件Amazon Web Services 账户。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

s3-bucket-policy-grantee-check

管理对的访问Amazon Web Services 云通过启用 s3_ 存储桶策略授权检查。此规则检查 Amazon S3 存储桶授予的访问权限是否受任何Amazon委托人、联合身份用户、服务委托人、IP 地址或您提供的 Amazon Virtual Private Cloud (Amazon VPC) ID。
10.54 金融机构必须实施适当的访问控制策略,用于识别、认证和授权用户(内部和外部用户,如第三方服务提供商)。这必须解决与未经授权访问其技术系统风险程度相称的逻辑和物理技术访问控制

iam-NON-CONPRONT

确保可用性Amazon Identity and Access Management(IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问。Amazon建议使用托管策略而不是内联策略。托管策略允许重用性、版本控制和回滚以及委派权限管理。
10.55 (b) 在遵守第 10.54 段时,金融机构应在其访问控制政策中考虑以下原则:(b) 使用 "最低特权" 的访问权,或在 "需要拥有" 的基础上,只授予合法用户履行其职责的最低限度的充分权限;

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以根据最小权限和职责分离原则来管理和合并访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,被称为密钥分发中心 (KDC)。它为委托人提供了一种进行身份验证的方法。KDC 通过颁发用于身份验证的票证来进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
10.55 (b) 在遵守第 10.54 段时,金融机构应在其访问控制政策中考虑以下原则:(b) 使用 "最低特权" 的访问权,或在 "需要拥有" 的基础上,只授予合法用户履行其职责的最低限度的充分权限;

iam-group-has-users-check

Amazon Identity and Access Management(IAM) 可以通过确保 IAM 组至少有一个 IAM 用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。根据 IAM 用户的关联权限或工作职能将其置于组中是纳入最小权限的一种方法。
10.55 (b) 在遵守第 10.54 段时,金融机构应在其访问控制政策中考虑以下原则:(b) 使用 "最低特权" 的访问权,或在 "需要拥有" 的基础上,只授予合法用户履行其职责的最低限度的充分权限;

iam-policy-no-statements-with-admin-access

Amazon Identity and Access Management(IAM) 可以帮助您将最小权限和职责分离原则与访问权限和授权相结合,从而限制策略包含 “效果”:“Allow”(其中在 “Resource”: “*” 上方包含 “Resource”: “*”。 允许用户拥有超过完成任务所需的更多权限可能违反最小权限和职责分离的原则。
10.55 (b) 在遵守第 10.54 段时,金融机构应在其访问控制政策中考虑以下原则:(b) 使用 "最低特权" 的访问权,或在 "需要拥有" 的基础上,只授予合法用户履行其职责的最低限度的充分权限;

iam-user-group-membership-check

Amazon Identity and Access Management(IAM) 可以确保 IAM 用户为至少一个组的成员,从而帮助您限制访问权限和授权。允许用户完成任务所需的更多权限可能违反最小权限和职责分离的原则。
10.55 (b) 在遵守第 10.54 段时,金融机构应在其访问控制政策中考虑以下原则:(b) 使用 "最低特权" 的访问权,或在 "需要拥有" 的基础上,只授予合法用户履行其职责的最低限度的充分权限;

iam-user-no-policies-check

此规则确保Amazon Identity and Access Management(IAM) 策略仅附加到组或角色仅附加到组或角色。在组或角色级别分配权限有助于减少身份接收或保留过多权限的机会。
10.55 (b) 在遵守第 10.54 段时,金融机构应在其访问控制政策中考虑以下原则:(b) 使用 "最低特权" 的访问权,或在 "需要拥有" 的基础上,只授予合法用户履行其职责的最低限度的充分权限;

s3-bucket-policy-grantee-check

管理对的访问Amazon Web Services 云通过启用 s3_ 存储桶策略授权检查。此规则检查 Amazon S3 存储桶授予的访问权限是否受任何Amazon委托人、联合身份用户、服务委托人、IP 地址或您提供的 Amazon Virtual Private Cloud (Amazon VPC) ID。
10.55 (b) 在遵守第 10.54 段时,金融机构应在其访问控制政策中考虑以下原则:(b) 使用 "最低特权" 的访问权,或在 "需要拥有" 的基础上,只授予合法用户履行其职责的最低限度的充分权限;

iam-NON-CONPRONT

确保可用性Amazon Identity and Access Management(IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问。Amazon建议使用托管策略而不是内联策略。托管策略允许重用性、版本控制和回滚以及委派权限管理。
第 10.55 (b) (h) (一) 在遵守第 10.54 段时,金融机构应在其访问控制政策中考虑以下原则:(b) 使用 "最低特权" 的访问权,或在 "需要拥有" 的基础上,只有最低限度 (h) 限制和控制多个用户之间共享用用户 ID 和密码;以及控制通用用户 ID 命名约定的使用,以支持更具个人身份的 ID。

iam-root-access-key-check

对系统和资产的访问可以通过检查 root 用户是否没有附加到Amazon Identity and Access Management(IAM) 角色。确保已删除根访问密钥。相反,可以创建和使用基于角色的Amazon Web Services 账户,以帮助纳入最少功能的原则。
第 10.55 段 (c) 分段 (f) 分段 在遵守第 10.54 段时,金融机构应在其出入控制政策中考虑下列原则:(c) 采用有时限的准入权限,限制进入一个特定期限,包括授予服务提供者的访问权;(f) 对关键的认证采用更强有力的认证活动,包括远程访问

iam-password-policy

身份和证书是根据组织 IAM 密码策略颁发、管理和验证的。为了帮助保护凭据,此规则允许您选择性地设置要求(Amazon基础安全最佳实践价值:true),RequireLowercaseCharacters(Amazon基础安全最佳实践价值:true),RequireSymbols(Amazon基础安全最佳实践价值:true)RequireNumbers(Amazon基础安全最佳实践价值:true),MinimumPasswordLength(Amazon基础安全最佳实践价值:14)、PasswordReusePrevention 护 (Amazon基础安全最佳实践价值:24)和 MaxPasswordAge(Amazon基础安全最佳实践值:90),适用于您的 IAM 密码策略。实际值应反映组织的策略。
第 10.55 (f) (h) 段 在遵守第 10.54 段时, 金融机构应在其出入控制政策中考虑下列原则:(f) 对包括远程访问在内的关键活动采取更强有力的认证措施; (h) 限制和控制多个用户之间共享用户 ID 和密码

iam-user-mfa-enabled

启用此规则可限制对Amazon Web Services 云。此规则确保为所有 IAM 用户启用多重验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,减少遭到破坏的账户事件。
第 10.55 (f) (h) 段 在遵守第 10.54 段时, 金融机构应在其出入控制政策中考虑下列原则:(f) 对包括远程访问在内的关键活动采取更强有力的认证措施; (h) 限制和控制多个用户之间共享用户 ID 和密码

mfa-enabled-for-iam-console-access

管理对资源的访问Amazon Web Services 云通过确保为所有Amazon Identity and Access Management(IAM) 具有控制台密码的用户。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少账户遭到破坏的事件,并防止未经授权的用户访问敏感数据。
第 10.55 (f) (h) 段 在遵守第 10.54 段时, 金融机构应在其出入控制政策中考虑下列原则:(f) 对包括远程访问在内的关键活动采取更强有力的认证措施; (h) 限制和控制多个用户之间共享用户 ID 和密码

管理对资源的访问Amazon Web Services 云通过确保为根用户启用硬件 MFA 来执行此操作。根用户是Amazon Web Services 账户。MFA 为用户名和密码增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少受到威胁的事件Amazon Web Services 账户。
第 10.55 (f) (h) 段 在遵守第 10.54 段时, 金融机构应在其出入控制政策中考虑下列原则:(f) 对包括远程访问在内的关键活动采取更强有力的认证措施; (h) 限制和控制多个用户之间共享用户 ID 和密码

管理对资源的访问Amazon Web Services 云通过确保为根用户启用了 MFA。根用户是Amazon Web Services 账户。MFA 为用户名和密码增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少受到威胁的事件Amazon Web Services 账户。
10.56 金融机构必须采用强有力的身份验证流程,以确保正在使用的身份的真实性。认证机制应与功能的关键程度相称,并采用这三个基本认证因素中的至少一个或多个,即用户知道的东西(例如密码、PIN 码)、用户拥有的东西(例如智能卡、安全装置)以及用户所拥有的东西(例如:生物特征,如指纹或视网膜图案)。

iam-user-mfa-enabled

启用此规则可限制对Amazon Web Services 云。此规则确保为所有 IAM 用户启用多重验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,减少遭到破坏的账户事件。
10.56 金融机构必须采用强有力的身份验证流程,以确保正在使用的身份的真实性。认证机制应与功能的关键程度相称,并采用这三个基本认证因素中的至少一个或多个,即用户知道的东西(例如密码、PIN 码)、用户拥有的东西(例如智能卡、安全装置)以及用户所拥有的东西(例如:生物特征,如指纹或视网膜图案)。

管理对资源的访问Amazon Web Services 云通过确保为根用户启用硬件 MFA 来执行此操作。根用户是Amazon Web Services 账户。MFA 为用户名和密码增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少受到威胁的事件Amazon Web Services 账户。
10.56 金融机构必须采用强有力的身份验证流程,以确保正在使用的身份的真实性。认证机制应与功能的关键程度相称,并采用这三个基本认证因素中的至少一个或多个,即用户知道的东西(例如密码、PIN 码)、用户拥有的东西(例如智能卡、安全装置)以及用户所拥有的东西(例如:生物特征,如指纹或视网膜图案)。

管理对资源的访问Amazon Web Services 云通过确保为根用户启用了 MFA。根用户是Amazon Web Services 账户。MFA 为用户名和密码增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少受到威胁的事件Amazon Web Services 账户。
10.56 金融机构必须采用强有力的身份验证流程,以确保正在使用的身份的真实性。认证机制应与功能的关键程度相称,并采用这三个基本认证因素中的至少一个或多个,即用户知道的东西(例如密码、PIN 码)、用户拥有的东西(例如智能卡、安全装置)以及用户所拥有的东西(例如:生物特征,如指纹或视网膜图案)。

mfa-enabled-for-iam-console-access

管理对资源的访问Amazon Web Services 云通过确保为所有Amazon Identity and Access Management(IAM) 具有控制台密码的用户。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少账户遭到破坏的事件,并防止未经授权的用户访问敏感数据。
10.57 金融机构应定期审查和调整其密码做法,以增强抵御不断演变的攻击的能力。这包括有效和安全的密码生成。必须有适当的控制措施来检查所创建的密码的强度。

iam-password-policy

身份和证书是根据组织 IAM 密码策略颁发、管理和验证的。为了帮助保护凭据,此规则允许您选择性地设置要求(Amazon基础安全最佳实践价值:true),RequireLowercaseCharacters(Amazon基础安全最佳实践价值:true),RequireSymbols(Amazon基础安全最佳实践价值:true)RequireNumbers(Amazon基础安全最佳实践价值:true),MinimumPasswordLength(Amazon基础安全最佳实践价值:14)、PasswordReusePrevention 护 (Amazon基础安全最佳实践价值:24)和 MaxPasswordAge(Amazon基础安全最佳实践值:90),适用于您的 IAM 密码策略。实际值应反映组织的策略。
10.58 依赖于多个因素的身份验证方法通常比单一因素系统更难妥协。有鉴于此,鼓励金融机构适当设计和实施(特别是在高风险或 “单一登录” 系统中)多因素认证(MFA),这些认证更可靠,并提供更强有力的欺诈威慑。

iam-user-mfa-enabled

启用此规则可限制对Amazon Web Services 云。此规则确保为所有 IAM 用户启用多重验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,减少遭到破坏的账户事件。
10.58 依赖于多个因素的身份验证方法通常比单一因素系统更难妥协。有鉴于此,鼓励金融机构适当设计和实施(特别是在高风险或 “单一登录” 系统中)多因素认证(MFA),这些认证更可靠,并提供更强有力的欺诈威慑。

管理对资源的访问Amazon Web Services 云通过确保为根用户启用硬件 MFA 来执行此操作。根用户是Amazon Web Services 账户。MFA 为用户名和密码增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少受到威胁的事件Amazon Web Services 账户。
10.58 依赖于多个因素的身份验证方法通常比单一因素系统更难妥协。有鉴于此,鼓励金融机构适当设计和实施(特别是在高风险或 “单一登录” 系统中)多因素认证(MFA),这些认证更可靠,并提供更强有力的欺诈威慑。

管理对资源的访问Amazon Web Services 云通过确保为根用户启用了 MFA。根用户是Amazon Web Services 账户。MFA 为用户名和密码增加了一层额外的防护。通过要求根用户使用 MFA,您可以减少受到威胁的事件Amazon Web Services 账户。
10.58 依赖于多个因素的身份验证方法通常比单一因素系统更难妥协。有鉴于此,鼓励金融机构适当设计和实施(特别是在高风险或 “单一登录” 系统中)多因素认证(MFA),这些认证更可靠,并提供更强有力的欺诈威慑。

mfa-enabled-for-iam-console-access

管理对资源的访问Amazon Web Services 云通过确保为所有Amazon Identity and Access Management(IAM) 具有控制台密码的用户。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少账户遭到破坏的事件,并防止未经授权的用户访问敏感数据。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

cloudtrail-enabled

Amazon CloudTrail可以通过录制来帮助不可否认Amazon Web Services Management Console操作和 API 调用。您可以通过以下方式找到用户和Amazon Web Services 账户调用的Amazon服务、生成调用的源 IP 地址以及调用的时间。捕获数据的详细信息可在Amazon CloudTrail记录内容。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含Amazon CloudTrail数据提供了 API 调用活动的详细信息Amazon Web Services 账户。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

cw-log group reten-check

确保为日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。由于缺乏可用的过去事件日志数据,因此难以重建和识别潜在的恶意事件。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测到任何异常活动。详细信息包括:Amazon Web Services 账户访问 Amazon S3 存储桶的信息、IP 地址和事件时间。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种方法,监控网络是否存在潜在的网络安全事件。对于 Amazon S3 存储桶提出的各种请求,将详细地记录对 Amazon S3 存储桶提出的各种请求。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

s3-bucket-policy-grantee-check

管理对的访问Amazon Web Services 云通过启用 s3_ 存储桶策略授权检查。此规则检查 Amazon S3 存储桶授予的访问权限是否受任何Amazon委托人、联合身份用户、服务委托人、IP 地址或您提供的 Amazon Virtual Private Cloud (Amazon VPC) ID。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问 API 的用户的详细视图以及他们访问 API 的方式。这种洞察使用户活动的可见性。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

elb-logging-enabled

Elastic Load Balancing 活动是环境中通信的中心点。确认 ELB 日志记录已启用。收集到的数据提供了有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

为了帮助您在环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

要帮助您在环境中进行日志记录和监控,请启用Amazon区域和全球 Web ACL 上的 WAF (V2) 日志记录。AmazonWAF 日志记录提供有关 Web ACL 对流量进行分析的详细信息。日志记录AmazonWAF 从您的Amazon资源、有关请求的信息,以及每个请求所匹配的规则的操作。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

redshift-cluster-configuration-check

为了保护静态数据,请确保 Amazon Redshift 集群已启用加密。您还必须确保在 Amazon Redshift 集群上部署了所需的配置。应启用审计记录以提供数据库中的连接和用户活动相关信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映组织的策略。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

iam-group-has-users-check

Amazon Identity and Access Management(IAM) 可以通过确保 IAM 组至少有一个 IAM 用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。根据 IAM 用户的关联权限或工作职能将其置于组中是纳入最小权限的一种方法。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

iam-password-policy

身份和证书是根据组织 IAM 密码策略颁发、管理和验证的。为了帮助保护凭据,此规则允许您选择性地设置要求(Amazon基础安全最佳实践价值:true),RequireLowercaseCharacters(Amazon基础安全最佳实践价值:true),RequireSymbols(Amazon基础安全最佳实践价值:true)RequireNumbers(Amazon基础安全最佳实践价值:true),MinimumPasswordLength(Amazon基础安全最佳实践价值:14)、PasswordReusePrevention 护 (Amazon基础安全最佳实践价值:24)和 MaxPasswordAge(Amazon基础安全最佳实践值:90),适用于您的 IAM 密码策略。实际值应反映组织的策略。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

iam-policy-no-statements-with-admin-access

Amazon Identity and Access Management(IAM) 可以帮助您将最小权限和职责分离原则与访问权限和授权相结合,从而限制策略包含 “效果”:“Allow”(其中在 “Resource”: “*” 上方包含 “Resource”: “*”。 允许用户拥有超过完成任务所需的更多权限可能违反最小权限和职责分离的原则。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

iam-root-access-key-check

对系统和资产的访问可以通过检查 root 用户是否没有附加到Amazon Identity and Access Management(IAM) 角色。确保已删除根访问密钥。相反,可以创建和使用基于角色的Amazon Web Services 账户,以帮助纳入最少功能的原则。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

iam-user-group-membership-check

Amazon Identity and Access Management(IAM) 可以确保 IAM 用户为至少一个组的成员,从而帮助您限制访问权限和授权。允许用户完成任务所需的更多权限可能违反最小权限和职责分离的原则。
10.61 金融机构必须随后 — — (a) 对全企业系统的访问控制得到有效的管理和监测;(b) 记录关键系统中的用户活动以供审计和调查。活动日志必须保存至少三年,并及时定期审查。

iam-user-no-policies-check

此规则确保Amazon Identity and Access Management(IAM) 策略仅附加到组或角色仅附加到组或角色。在组或角色级别分配权限有助于减少身份接收或保留过多权限的机会。
10.62 为了满足第 10.61 段的要求,大型金融机构必须:(a) 部署身份访问管理系统,以有效管理和监测用户对整个企业系统的访问;(b) 部署自动审计工具,以指出任何异常情况。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含Amazon CloudTrail数据提供了 API 调用活动的详细信息Amazon Web Services 账户。
10.62 为了满足第 10.61 段的要求,大型金融机构必须:(a) 部署身份访问管理系统,以有效管理和监测用户对整个企业系统的访问;(b) 部署自动审计工具,以指出任何异常情况。

Amazon GuardDuty 可以通过使用威胁情报源帮助监控和检测潜在的网络安全事件。这些包括恶意 IP 和机器学习的列表,以标识您Amazon Web Services 云一个环境。
10.62 为了满足第 10.61 段的要求,大型金融机构必须:(a) 部署身份访问管理系统,以有效管理和监测用户对整个企业系统的访问;(b) 部署自动审计工具,以指出任何异常情况。

AmazonSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。AmazonSecurity Hub 会聚合、组织和优先级来自多个Amazon服务。这些服务包括亚马逊 Security Hub, Amazon Inspector, Amazon Macie,Amazon Identity and Access Management(IAM) 访问分析器和AmazonFirewall Manager 和Amazon合作伙伴解决方案
10.63 金融机构必须确保关键系统不会在具有已知安全漏洞或报废 (EOL) 技术系统的过时系统上运行。在这方面,金融机构必须明确指定职能的责任:(a) 持续监测和及时实施最新的补丁程序版本;(b) 确定接近 EOL 以采取进一步补救行动的关键技术系统。

ec2-instance-managed-by-systems-manager

利用 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可以获得组织内的软件平台和应用程序的清单。Amazon Secrets Manager。使用Amazon Secrets Manager提供详细的系统配置、操作系统修补程序级别、服务名称和类型、软件安装、应用程序名称、发布者和版本以及有关环境的其他详细信息。
10.63 金融机构必须确保关键系统不会在具有已知安全漏洞或报废 (EOL) 技术系统的过时系统上运行。在这方面,金融机构必须明确指定职能的责任:(a) 持续监测和及时实施最新的补丁程序版本;(b) 确定接近 EOL 以采取进一步补救行动的关键技术系统。

ec2-managedinstance-association-compliance-status-check

使用Amazon Secrets Manager帮助组织内软件平台和应用程序清单的关联。Amazon Secrets Manager为托管实例分配配置状态,并允许您设置操作系统修补程序级别、软件安装、应用程序配置以及有关环境的其他详细信息的基准。
10.63 金融机构必须确保关键系统不会在具有已知安全漏洞或报废 (EOL) 技术系统的过时系统上运行。在这方面,金融机构必须明确指定职能的责任:(a) 持续监测和及时实施最新的补丁程序版本;(b) 确定接近 EOL 以采取进一步补救行动的关键技术系统。

ec2-managedinstance-patch-compliance-status-check

启用此规则有助于识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则检查 Amazon EC2 实例修补程序是否符合Amazon Secrets Manager根据组织的策略和程序的要求进行。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

api-gw-cache-enabled-and-encrypted

为了帮助保护静态数据,请确保为 API Gateway 阶段的缓存启用了加密。由于可以为 API 方法捕获敏感数据,因此启用静态加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

cloud-trail-encryption-enabled

由于敏感数据可能存在,并且为了帮助保护静态数据,因此请确保为Amazon CloudTrail跟踪。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

为了帮助保护静态敏感数据,请确保您的 Amazon CloudWatch 日志组已启用加密功能。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

efs-encrypted-check

由于敏感数据可能存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic File System (EFS) 启用了加密功能。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

由于敏感数据可能存在并有助于保护静态数据,因此请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密功能。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

由于敏感数据可能存在,并且为了帮助保护传输时的数据,请确保为 Elastic Load Balancing 启用了加密功能。使用Amazon Certificate Manager管理、配置和部署公共和私有 SSL/TLS 证书Amazon服务和内部资源.
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

encrypted-volumes

由于感官数据可能存在,并且为了保护静态数据,请确保已经为 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

rds-storage-encrypted

为了帮助保护静态数据,请确保为 Amazon Relational Database Service (Amazon RDS) 实例启用了加密。由于敏感数据可能存在于 Amazon RDS 实例中静态,因此启用静态加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

redshift-cluster-configuration-check

为了保护静态数据,请确保 Amazon Redshift 集群已启用加密。您还必须确保在 Amazon Redshift 集群上部署了所需的配置。应启用审计记录以提供数据库中的连接和用户活动相关信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映组织的策略。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

redshift-require-tls-ssl

确保您的 Amazon Redshift torage Storage 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

s3-bucket-server-side-encryption-enabled

要帮助保护静态数据,请确保已启用 Amazon Simple Storage Service (Amazon S3) 存储桶的加密。由于敏感数据可以静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

s3-bucket-ssl-requests-only

为了帮助保护传输中的数据,请确保 Amazon Simple Storage Service (Amazon S3) 桶需要请求使用安全套接字层 (SSL)。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

为了帮助保护静态数据,请确保使用Amazon Key Management Service(Amazon已为您的 SageMaker 终端节点启用 KMS)。由于敏感数据可能存在于 SageMaker 终端节点中的静态数据,因此启用静态加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

为了帮助保护静态数据,请确保使用Amazon Key Management Service(Amazon已为您的 SageMaker 笔记本电脑启用 KMS)。由于敏感数据可能存在于 SageMaker 笔记本中静态,因此启用静态加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

sns-encrypted-kms

要帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题要求使用Amazon Key Management Service(AmazonKM)。由于敏感数据可能存在于已发布邮件中静态,因此启用静态加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

ec2-ebs-encryption-by-default

为帮助保护静态数据,请确保为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能存在于这些卷中静态,因此启用静态加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

rds-snapshot-encrypted

确保为 Amazon Relational Database Service (Amazon RDS) 快照启用了加密。由于敏感数据可以处于静态状态,因此启用静态加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

启用了 alb-http 丢弃标题

确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

确保启 Amazon Elasticsearch Service 密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.66 (a) 金融机构必须在提供数字服务时实施强有力的技术安全控制, 以确保以下方面:(a) 客户和交易对应方信息和交易的保密性和完整性

ELB-TLS-https-仅侦听器

确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
10.66 (b) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(b) 通过渠道和设备提供的服务的可靠性,同时最大限度地减少对服务的中断

dynamodb-autoscaling-enabled

Amazon DynamoDB 自动扩展使用Amazon应 Application Auto Scaling 服务可调整自动响应实际流量模式的预配置吞吐量容量。这将允许表或全局二级索引增大其预置读写容量以处理突增流量,而不进行限制。
10.66 (b) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(b) 通过渠道和设备提供的服务的可靠性,同时最大限度地减少对服务的中断

elb-deletion-protection-enabled

此规则可确保 Elastic Load Balancing 启用了删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致应用程序的可用性丧失。
10.66 (b) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(b) 通过渠道和设备提供的服务的可靠性,同时最大限度地减少对服务的中断

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) 中的多可用区支持提供了增强的数据库实例的可用性和持久性。当您预配置多可用区数据库实例时,Amazon RDS 会自动创建主数据库实例,并同步将数据复制到不同可用区中的备用实例。每个可用区都在独立的、物理上显著不同的、物理上显著不同的基础设施上运行并且被设计得高度可靠。在基础设施发生故障时,Amazon RDS 会自动执行到备用故障切换,以便在故障转移完成后立即恢复数据库操作。
10.66 (b) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(b) 通过渠道和设备提供的服务的可靠性,同时最大限度地减少对服务的中断

可实施冗余 Site-to-Site VPN 隧道以实现恢复要求。它使用两条隧道以帮助确保连接性,以防止出现 Site-to-Site VPN 连接不可用的情况。要避免因您的客户网关不可用而造成连接中断,您可使用第二个客户网关来为您的 Amazon Virtual Private Cloud (Amazon VPC) 和虚拟专用网关设置另一个 Site-to-Site VPN 连接。
10.66 (b) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(b) 通过渠道和设备提供的服务的可靠性,同时最大限度地减少对服务的中断

支持 ELB 跨区域负载平衡

为弹性负载均衡器 (ELB) 启用跨区域负载平衡,以帮助维持足够的容量和可用性。跨区域负载均衡可降低在每个启用的可用区中保持相同数量实例的需求。它还提高应用程序处理一个或多个实例丢失情况的能力。
10.66 (b) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(b) 通过渠道和设备提供的服务的可靠性,同时最大限度地减少对服务的中断

rds-实例deletion-protection-enabled

确保 Amazon Relational Database Service (Amazon RDS) 实例启用了删除保护。使用删除保护可防止您的 Amazon RDS 实例被意外或恶意删除,这可能会导致应用程序的可用性丧失。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问 API 的用户的详细视图以及他们访问 API 的方式。这种洞察使用户活动的可见性。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

autoscaling-group-elb-healthcheck-required

Amazon EElastic Load Balancer Compute Cloud (Amazon EC2) Auto Supple Elastic Compute Cloud (Amazon EC2) Auto Scaling upple 组支持维护足够的容量和可用性。负载均衡器会定期发送 ping、尝试进行连接或者发送请求来测试 Amazon EC2 实例在 auto-scaling 组中的运行状况。如果实例未报告,流量将被发送到新的 Amazon EC2 实例。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含Amazon CloudTrail数据提供了 API 调用活动的详细信息Amazon Web Services 账户。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

cloudtrail-enabled

Amazon CloudTrail可以通过录制来帮助不可否认Amazon Web Services Management Console操作和 API 调用。您可以通过以下方式找到用户和Amazon Web Services 账户调用的Amazon服务、生成调用的源 IP 地址以及调用的时间。捕获数据的详细信息可在Amazon CloudTrail记录内容。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测到任何异常活动。详细信息包括:Amazon Web Services 账户访问 Amazon S3 存储桶的信息、IP 地址和事件时间。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

cloudwatch-alarm-action-check

在指标超过阈值达到指定数量的评估期时,Amazon CloudWatch 将发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 “alarmActionRequired”(Config 默认值:True)、“需要 insufficientDataActionRequired”(Config 默认值:True)、“okActionRequired(Config 默认值:False)的值。实际值应反映您环境的警报操作。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

dynamodb-throughput-limit-check

启用此规则可确保在 Amazon DynamoDB 表上检查预配置的吞吐量容量。这是每个表可以支持的读/写活动量。DynamoDB 使用此信息来预留足够的系统资源,以满足吞吐量需求。当吞吐量达到客户帐户的最大限制时,此规则会生成警报。此规则允许您选择设置帐户切断阈值百分比(Config 默认值:80)和 accountRCUThresholdPercentage(Config 默认值:80)参数。实际值应反映组织的策略。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

ec2-instance-detailed-monitoring-enabled

启用此规则可以帮助改进 Amazon EC2 控制台上的 Amazon Elastic Compute Cloud (Amazon EC2) 实例监控,该控制台将以 1 分钟为间隔显示实例的监控图表。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

elb-logging-enabled

Elastic Load Balancing 活动是环境中通信的中心点。确认 ELB 日志记录已启用。收集到的数据提供了有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

Amazon GuardDuty 可以通过使用威胁情报源帮助监控和检测潜在的网络安全事件。这些包括恶意 IP 和机器学习的列表,以标识您Amazon Web Services 云一个环境。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

启用此规则有助于在功能失败时通过 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Nofy Service (Amazon SNS) 通知相应的人员。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

启用多区域云跟踪

Amazon CloudTrail记录Amazon Web Services Management Console操作和 API 调用。您可以识别哪些用户和帐户名为Amazon、从中发出调用的源 IP 地址以及调用的发生时间。CloudTrail 将从所有Amazon Web Services 区域添加到您的 S3 存储桶(如果 MULTI_REGION_ENABLED)。此外,当Amazon启动一个新区域,则 CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域 API 活动的日志文件,而无需执行任何操作。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

rds-enhanced-monitoring-enabled

启用 Amazon Relational Database Service (Amazon RDS),帮助监控 Amazon RDS 的可用性。这样就可以详细了解 Amazon RDS 数据库实例的运行状况。当 Amazon RDS 存储使用多个底层物理设备时,增强监控会收集每个设备的数据。此外,当 Amazon RDS 数据库实例在多可用区部署中运行时,将收集辅助主机上每个设备的数据和辅助主机指标。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种方法,监控网络是否存在潜在的网络安全事件。对于 Amazon S3 存储桶提出的各种请求,将详细地记录对 Amazon S3 存储桶提出的各种请求。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

AmazonSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。AmazonSecurity Hub 会聚合、组织和优先级来自多个Amazon服务。这些服务包括亚马逊 Security Hub, Amazon Inspector, Amazon Macie,Amazon Identity and Access Management(IAM) 访问分析器和AmazonFirewall Manager 和Amazon合作伙伴解决方案
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出您的 Amazon Virple Cloud (Amazon VPC) 中的网络接口的信息的详细记录。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

为了帮助您在环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

要帮助您在环境中进行日志记录和监控,请启用Amazon区域和全球 Web ACL 上的 WAF (V2) 日志记录。AmazonWAF 日志记录提供有关 Web ACL 对流量进行分析的详细信息。日志记录AmazonWAF 从您的Amazon资源、有关请求的信息,以及每个请求所匹配的规则的操作。
10.66 (d) 金融机构必须在提供数字服务方面实施强有力的技术安全控制, 以确保以下方面:(d) 充分的审计跟踪和监测异常交易

redshift-cluster-configuration-check

为了保护静态数据,请确保 Amazon Redshift 集群已启用加密。您还必须确保在 Amazon Redshift 集群上部署了所需的配置。应启用审计记录以提供数据库中的连接和用户活动相关信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映组织的策略。
10.66 (e) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(e) 能够在事件或服务中断之前识别并恢复到恢复点

db-instance-backup-enabled

Amazon RDS 的备份功能可创建数据库和事务日志的备份。Amazon RDS 将自动创建数据库实例的存储卷快照,备份整个数据库实例。该系统允许您设置特定的保留期以满足您的恢复要求。
10.66 (e) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(e) 能够在事件或服务中断之前识别并恢复到恢复点

dynamodb-pitr-enabled

启用此规则可检查信息是否已备份。它还通过确保在 Amazon DynamoDB 中启用了时间点恢复来维护备份。恢复将在过去 35 天内维护表的连续备份。
10.66 (e) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(e) 能够在事件或服务中断之前识别并恢复到恢复点

ebs-optimized-instance

Amazon EElastic Block Store (Amazon EBS) 中的优化实例为 Amazon EBS I/O 操作提供了额外的专用容量。这种优化通过最小化 Amazon EBS I/O 操作与来自您实例的其他流量之间的争用,为您的 EBS 卷提供最有效的性能。
10.66 (e) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(e) 能够在事件或服务中断之前识别并恢复到恢复点

elasticache-redis-cluster-automatic-backup-check

启用自动备份后,Amazon ElastiCache 每天为集群创建一个备份。备份可以按照您的组织的指定保留几天。自动备份可以帮助防止数据丢失。如果发生故障,您可以通过从最新的备份还原所有数据来创建新集群。
10.66 (e) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(e) 能够在事件或服务中断之前识别并恢复到恢复点

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持维护充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保维护数据可用性。
10.66 (e) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(e) 能够在事件或服务中断之前识别并恢复到恢复点

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制功能可帮助将对象的多个变量保留在同一 Amazon S3 存储桶中。使用版本控制功能来保留、检索和还原 Amazon S3 存储桶中存储的每个对象的各个版本。版本控制可帮助您轻松的从用户意外操作和应用程序故障中恢复数据。
10.66 (e) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(e) 能够在事件或服务中断之前识别并恢复到恢复点

备份中的动态计划

为了帮助完成数据备份流程,请确保您的 Amazon DynamoDB 表是AmazonBackup 计划。AmazonBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。此解决方案简化了备份管理工作,让您能够满足业务和法规备份合规性要求。
10.66 (e) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(e) 能够在事件或服务中断之前识别并恢复到恢复点

备份计划

为帮助完成数据备份流程,请确保 Amazon Elastic Block Store (Amazon EBS) 卷是AmazonBackup 计划。AmazonBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。此解决方案简化了备份管理工作,让您能够满足业务和法规备份合规性要求。
10.66 (e) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(e) 能够在事件或服务中断之前识别并恢复到恢复点

EFS 进入备份计划

要帮助进行数据备份流程,请确保 Amazon EFS lastic File File File File File File File File File File File File File File File File FileAmazonBackup 计划。AmazonBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。此解决方案简化了备份管理工作,让您能够满足业务和法规备份合规性要求。
10.66 (e) 金融机构必须在提供数字服务时实施强有力的技术安全控制,以确保以下方面:(e) 能够在事件或服务中断之前识别并恢复到恢复点

备份计划中的 RDS

为了帮助完成数据备份流程,请确保 Amazon Relational Database Service (Amazon RDS) 实例是AmazonBackup 计划。AmazonBackup 是一项完全托管的备份服务,具有基于策略的备份解决方案。此解决方案简化了备份管理工作,让您能够满足业务和法规备份合规性要求。
11.7 金融机构必须部署有效的工具,支持持续和主动地监测和及时发现其技术基础设施中的异常活动。监测范围必须涵盖所有关键系统,包括辅助基础设施。

Amazon GuardDuty 可以通过使用威胁情报源帮助监控和检测潜在的网络安全事件。这些包括恶意 IP 和机器学习的列表,以标识您Amazon Web Services 云一个环境。
11.7 金融机构必须部署有效的工具,支持持续和主动地监测和及时发现其技术基础设施中的异常活动。监测范围必须涵盖所有关键系统,包括辅助基础设施。

AmazonSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。AmazonSecurity Hub 会聚合、组织和优先级来自多个Amazon服务。这些服务包括亚马逊 Security Hub, Amazon Inspector, Amazon Macie,Amazon Identity and Access Management(IAM) 访问分析器和AmazonFirewall Manager 和Amazon合作伙伴解决方案
11.7(c)(f) 安全理事会必须能够履行以下职能:(c) 脆弱性管理;(f) 提供情况感知,以侦测对手和威胁,包括威胁情报分析和行动,以及监测妥协指标 (IOC)。这包括高级行为分析,以检测无特征码和无文件恶意软件,并识别可能构成安全威胁的异常现象,包括端点和网络层。

Amazon GuardDuty 可以通过使用威胁情报源帮助监控和检测潜在的网络安全事件。这些包括恶意 IP 和机器学习的列表,以标识您Amazon Web Services 云一个环境。
11.7(c)(f) 安全理事会必须能够履行以下职能:(c) 脆弱性管理;(f) 提供情况感知,以侦测对手和威胁,包括威胁情报分析和行动,以及监测妥协指标 (IOC)。这包括高级行为分析,以检测无特征码和无文件恶意软件,并识别可能构成安全威胁的异常现象,包括端点和网络层。

Amazon GuardDuty 通过按严重程度(低、中和高)对调查结果进行分类,帮助您了解事件的影响。您可以使用这些分类来确定修正策略和优先级。此规则允许您根据组织策略的要求,为非存档查找结果选择性地设置 DadaysLowSev ssEV(Config 默认值:30)、DaySev(Config 默认值:7)和 DayShev(Config 默认值:1)。
11.7(c)(f) 安全理事会必须能够履行以下职能:(c) 脆弱性管理;(f) 提供情况感知,以侦测对手和威胁,包括威胁情报分析和行动,以及监测妥协指标 (IOC)。这包括高级行为分析,以检测无特征码和无文件恶意软件,并识别可能构成安全威胁的异常现象,包括端点和网络层。

AmazonSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。AmazonSecurity Hub 会聚合、组织和优先级来自多个Amazon服务。这些服务包括亚马逊 Security Hub, Amazon Inspector, Amazon Macie,Amazon Identity and Access Management(IAM) 访问分析器和AmazonFirewall Manager 和Amazon合作伙伴解决方案
11.8 金融机构必须确保其网络安全业务持续防止和检测其安全控制的任何潜在损害或其安全态势的削弱。对于大型金融机构,这必须包括对支持所有关键系统的外部和内部网络组件进行季度漏洞评估。

Amazon GuardDuty 可以通过使用威胁情报源帮助监控和检测潜在的网络安全事件。这些包括恶意 IP 和机器学习的列表,以标识您Amazon Web Services 云一个环境。
11.8 金融机构必须确保其网络安全业务持续防止和检测其安全控制的任何潜在损害或其安全态势的削弱。对于大型金融机构,这必须包括对支持所有关键系统的外部和内部网络组件进行季度漏洞评估。

AmazonSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。AmazonSecurity Hub 会聚合、组织和优先级来自多个Amazon服务。这些服务包括亚马逊 Security Hub, Amazon Inspector, Amazon Macie,Amazon Identity and Access Management(IAM) 访问分析器和AmazonFirewall Manager 和Amazon合作伙伴解决方案
附录 5.1 定期审查所有安全设备的配置和规则设置。使用自动化工具查看和监视对配置和规则设置的更改。-附录 5. 网络安全管制措施

Amazon GuardDuty 可以通过使用威胁情报源帮助监控和检测潜在的网络安全事件。这些包括恶意 IP 和机器学习的列表,以标识您Amazon Web Services 云一个环境。
附录 5.1 定期审查所有安全设备的配置和规则设置。使用自动化工具查看和监视对配置和规则设置的更改。-附录 5. 网络安全管制措施

AmazonSecurity Hub 有助于监控未经授权的人员、连接、设备和软件。AmazonSecurity Hub 会聚合、组织和优先级来自多个Amazon服务。这些服务包括亚马逊 Security Hub, Amazon Inspector, Amazon Macie,Amazon Identity and Access Management(IAM) 访问分析器和AmazonFirewall Manager 和Amazon合作伙伴解决方案
附录 5.5 (b) 确保服务器到服务器外部网络连接的安全控制包括:(b) 使用安全隧道,如传输层安全 (TLS) 和虚拟专用网络 (VPN) IPsec

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
附录 5.5 (b) 确保服务器到服务器外部网络连接的安全控制包括:(b) 使用安全隧道,如传输层安全 (TLS) 和虚拟专用网络 (VPN) IPsec

redshift-require-tls-ssl

确保您的 Amazon Redshift torage Storage 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
附录 5.5 (b) 确保服务器到服务器外部网络连接的安全控制包括:(b) 使用安全隧道,如传输层安全 (TLS) 和虚拟专用网络 (VPN) IPsec

s3-bucket-ssl-requests-only

为了帮助保护传输中的数据,请确保 Amazon Simple Storage Service (Amazon S3) 桶需要请求使用安全套接字层 (SSL)。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
附录 5.5 (b) 确保服务器到服务器外部网络连接的安全控制包括:(b) 使用安全隧道,如传输层安全 (TLS) 和虚拟专用网络 (VPN) IPsec

启用了 alb-http 丢弃标题

确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
附录 5.5 (b) 确保服务器到服务器外部网络连接的安全控制包括:(b) 使用安全隧道,如传输层安全 (TLS) 和虚拟专用网络 (VPN) IPsec

确保启 Amazon Elasticsearch Service 密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
附录 5.5 (b) 确保服务器到服务器外部网络连接的安全控制包括:(b) 使用安全隧道,如传输层安全 (TLS) 和虚拟专用网络 (VPN) IPsec

ELB-TLS-https-仅侦听器

确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
附录 5.5 (c) 确保服务器到服务器外部网络连接的安全控制包括:(c) 部署具有足够的外围防御和防护(如防火墙、IPS 和防病毒)的临时服务器。

Amazon GuardDuty 可以通过使用威胁情报源帮助监控和检测潜在的网络安全事件。这些包括恶意 IP 和机器学习的列表,以标识您Amazon Web Services 云一个环境。
附录 5.5 (c) 确保服务器到服务器外部网络连接的安全控制包括:(c) 部署具有足够的外围防御和防护(如防火墙、IPS 和防病毒)的临时服务器。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以提供有状态的过滤以帮助管理网络访问,方法是:Amazon资源的费用。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
附录 5.5 (c) 确保服务器到服务器外部网络连接的安全控制包括:(c) 部署具有足够的外围防御和防护(如防火墙、IPS 和防病毒)的临时服务器。

restricted-common-ports

管理对资源的访问Amazon Web Services 云通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上的常用端口受到限制。不限制对可信源端口的访问可能会导致系统的可用性、完整性和机密性受到攻击。此规则允许您选择设置阻止端口 1-阻止端口 5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映组织的策略。
附录 5.5 (c) 确保服务器到服务器外部网络连接的安全控制包括:(c) 部署具有足够的外围防御和防护(如防火墙、IPS 和防病毒)的临时服务器。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组有助于管理网络访问,方法是提供有状态的过滤,以Amazon资源的费用。限制默认安全组上的所有流量有助于限制远程访问Amazon资源的费用。
附录 5.5 (c) 确保服务器到服务器外部网络连接的安全控制包括:(c) 部署具有足够的外围防御和防护(如防火墙、IPS 和防病毒)的临时服务器。

vpc-sg-open-only-to-authorized-ports

管理对资源的访问Amazon Web Services 云通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上的常用端口受到限制。不限制端口访问可信源可能会导致系统的可用性、完整性和机密性受到攻击。通过限制 Internet (0.0.0.0/0),可以控制对内部系统的远程访问。
附录 5.6 确保远程访问服务器的安全控制措施包括:(a) 限制访问仅强化和锁定的终端设备;(b) 使用安全隧道,如 TLS 和 VPN IPSec;(c) 部署具有足够外围防御和防护(如防火墙、IPS 和防病毒)的 “网关” 服务器;(d) 远程访问期满后立即关闭有关港口。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以提供有状态的过滤以帮助管理网络访问,方法是:Amazon资源的费用。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
附录 5.6 确保远程访问服务器的安全控制措施包括:(a) 限制访问仅强化和锁定的终端设备;(b) 使用安全隧道,如 TLS 和 VPN IPSec;(c) 部署具有足够外围防御和防护(如防火墙、IPS 和防病毒)的 “网关” 服务器;(d) 远程访问期满后立即关闭有关港口。

restricted-common-ports

管理对资源的访问Amazon Web Services 云通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上的常用端口受到限制。不限制对可信源端口的访问可能会导致系统的可用性、完整性和机密性受到攻击。此规则允许您选择设置阻止端口 1-阻止端口 5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映组织的策略。
附录 5.6 确保远程访问服务器的安全控制措施包括:(a) 限制访问仅强化和锁定的终端设备;(b) 使用安全隧道,如 TLS 和 VPN IPSec;(c) 部署具有足够外围防御和防护(如防火墙、IPS 和防病毒)的 “网关” 服务器;(d) 远程访问期满后立即关闭有关港口。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组有助于管理网络访问,方法是提供有状态的过滤,以Amazon资源的费用。限制默认安全组上的所有流量有助于限制远程访问Amazon资源的费用。
附录 5.6 确保远程访问服务器的安全控制措施包括:(a) 限制访问仅强化和锁定的终端设备;(b) 使用安全隧道,如 TLS 和 VPN IPSec;(c) 部署具有足够外围防御和防护(如防火墙、IPS 和防病毒)的 “网关” 服务器;(d) 远程访问期满后立即关闭有关港口。

vpc-sg-open-only-to-authorized-ports

管理对资源的访问Amazon Web Services 云通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上的常用端口受到限制。不限制端口访问可信源可能会导致系统的可用性、完整性和机密性受到攻击。通过限制 Internet (0.0.0.0/0),可以控制对内部系统的远程访问。
附录 5.6 确保远程访问服务器的安全控制措施包括:(a) 限制访问仅强化和锁定的终端设备;(b) 使用安全隧道,如 TLS 和 VPN IPSec;(c) 部署具有足够外围防御和防护(如防火墙、IPS 和防病毒)的 “网关” 服务器;(d) 远程访问期满后立即关闭有关港口。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
附录 5.6 确保远程访问服务器的安全控制措施包括:(a) 限制访问仅强化和锁定的终端设备;(b) 使用安全隧道,如 TLS 和 VPN IPSec;(c) 部署具有足够外围防御和防护(如防火墙、IPS 和防病毒)的 “网关” 服务器;(d) 远程访问期满后立即关闭有关港口。

redshift-require-tls-ssl

确保您的 Amazon Redshift Compute Storage Compute Storage Compute Storage Storage Storage Storage Storage Storage 由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
附录 5.6 确保远程访问服务器的安全控制措施包括:(a) 限制访问仅强化和锁定的终端设备;(b) 使用安全隧道,如 TLS 和 VPN IPSec;(c) 部署具有足够外围防御和防护(如防火墙、IPS 和防病毒)的 “网关” 服务器;(d) 远程访问期满后立即关闭有关港口。

启用了 alb-http 丢弃标题

确保您的弹性负载均衡器 (ELB) 配置为删除 http 标头。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。
附录 5.6 确保远程访问服务器的安全控制措施包括:(a) 限制访问仅强化和锁定的终端设备;(b) 使用安全隧道,如 TLS 和 VPN IPSec;(c) 部署具有足够外围防御和防护(如防火墙、IPS 和防病毒)的 “网关” 服务器;(d) 远程访问期满后立即关闭有关港口。

ELB-TLS-https-仅侦听器

确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可能存在,因此启用传输过程中的加密以帮助保护这些数据。

Template

该模板在 GitHub 上提供。适用于 BNM RMIT 的运营最佳实践