的操作最佳实践FedRAMP(中) - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的操作最佳实践FedRAMP(中)

一致性包提供了通用的合规性框架,旨在使您能够使用托管或自定义 AWS Config 规则以及 AWS Config 修正操作来创建安全、操作或成本优化监管检查。作为示例模板的一致性包并非旨在完全确保符合特定监管或合规性标准。您有责任评估您对服务的使用是否符合适用的法律法规要求。

下面提供了联邦风险与授权管理计划 (FedRAMP) 与 AWS 托管 Config 规则之间的示例映射。每个 Config 规则适用于特定的 AWS 资源,并与一个或多个 FedRAMP 控件相关。控制可与多个 Config 规则相关。FedRAMP有关与这些映射相关的更多详细信息和指导,请参阅下表。

此一致性包已由 AWS Security Assurance Services LLC (AWS SAS) 验证,AWS SAS 是一个由支付卡行业合格安全评估程序 (QSA)、HITRUST 认证通用安全框架实践者 (CCSFP) 和合规性专家组成的团队,这些团队通过了认证,可用于为各种行业框架提供指导和评估。AWS SAS 专业人员设计此一致性包,以使客户能够与 FedRAMP 控件的子集保持一致。

AWS 区域: 所有支持的 AWS 区域(中东(巴林) 除外)

控制 ID 控制描述 AWS Config 规则 指南
AC-2(1) 组织采用自动化机制来支持信息系统账户的管理。

secretsmanager-scheduled-rotation-success-check

此规则确保 AWS Secrets Manager 密钥已根据轮换计划成功轮换。定期轮换密钥可以缩短密钥处于活动状态的时间段,并可能减少在泄露时对业务的影响。
AC-2(1) 组织采用自动化机制来支持信息系统账户的管理。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们满足或超过 NIST SP 800-63 和 Centers for Internet Security (CIS) AWS Foundations 基准密码强度要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(FedRAMP 参数:24)和 MaxPasswordAge(AWS 基础实践密码: 实际值应反映您的组织的策略。
AC-2(1) 组织采用自动化机制来支持信息系统账户的管理。

access-keys-rotated

通过确保根据组织策略轮换 IAM 访问密钥,审核已授权设备、用户和流程的凭证。定期更改访问密钥是一种安全最佳实践。它缩短了访问密钥处于活动状态的期间,并减小密钥泄露时对业务的影响。此规则需要访问密钥轮换值(配置默认值:90)。实际值应反映您组织的策略。
AC-2(1) 组织采用自动化机制来支持信息系统账户的管理。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果标识了这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能会违反最小权限原则。此规则要求您将值设置为 maxCredentialUsageAge(配置默认值:90)。实际值应反映您组织的策略。
AC-2(1) 组织采用自动化机制来支持信息系统账户的管理。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需更多的权限可能会违反最小权限原则和职责共担原则。
AC-2(1) 组织采用自动化机制来支持信息系统账户的管理。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
AC-2(1) 组织采用自动化机制来支持信息系统账户的管理。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
AC-2(3) 信息系统会在 90 天后自动禁用用户账户的非活动账户。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果标识了这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能会违反最小权限原则。此规则要求您将值设置为 maxCredentialUsageAge(FedRAMP 参数:90)。实际值应反映您组织的策略。
AC-2(4) 信息系统会自动审核账户创建、修改、启用、禁用和删除操作,并通知 [分配:组织定义的人员或角色]。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
AC-2(4) 信息系统会自动审核账户创建、修改、启用、禁用和删除操作,并通知 [分配:组织定义的人员或角色]。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
AC-2(4) 信息系统会自动审核账户创建、修改、启用、禁用和删除操作,并通知 [分配:组织定义的人员或角色]。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AC-2(4) 信息系统会自动审核账户创建、修改、启用、禁用和删除操作,并通知 [分配:组织定义的人员或角色]。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息将显示在 AWS CloudTrail 记录内容中。
AC-2(4) 信息系统会自动审核账户创建、修改、启用、禁用和删除操作,并通知 [分配:组织定义的人员或角色]。

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 将从所有 AWS 区域将日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
AC-2(4) 信息系统会自动审核账户创建、修改、启用、禁用和删除操作,并通知 [分配:组织定义的人员或角色]。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
AC-2(4) 信息系统会自动审核账户创建、修改、启用、禁用和删除操作,并通知 [分配:组织定义的人员或角色]。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
AC-2(4) 信息系统会自动审核账户创建、修改、启用、禁用和删除操作,并通知 [分配:组织定义的人员或角色]。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您的组织的策略。
AC-2(12)(a) 组织:a。监控信息系统账户的 [分配:组织定义的典型使用]。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
AC-2(12)(a) 组织:a。监控信息系统账户的 [分配:组织定义的典型使用]。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
AC-2(f) 组织:f. 根据 [分配:组织定义的过程或条件] 创建、启用、修改、禁用和删除信息系统账户。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果标识了这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能会违反最小权限原则。此规则要求您将值设置为 maxCredentialUsageAge(配置默认值:90)。实际值应反映您组织的策略。
AC-2(f) 组织:f. 根据 [分配:组织定义的过程或条件] 创建、启用、修改、禁用和删除信息系统账户。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们满足或超过 NIST SP 800-63 和 Centers for Internet Security (CIS) AWS Foundations 基准密码强度要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(FedRAMP 参数:24)和 MaxPasswordAge(AWS 基础实践密码: 实际值应反映您的组织的策略。
AC-2(f) 组织:f. 根据 [分配:组织定义的过程或条件] 创建、启用、修改、禁用和删除信息系统账户。

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
AC-2 (g) 组织:g. 监控信息系统账户的使用。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置一个值。实际值应反映您的组织的策略。
AC-2 (g) 组织:g. 监控信息系统账户的使用。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
AC-2 (g) 组织:g. 监控信息系统账户的使用。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
AC-2 (g) 组织:g. 监控信息系统账户的使用。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
AC-2 (g) 组织:g. 监控信息系统账户的使用。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
AC-2 (g) 组织:g. 监控信息系统账户的使用。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
AC-2 (g) 组织:g. 监控信息系统账户的使用。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
AC-2 (g) 组织:g. 监控信息系统账户的使用。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AC-2(j) 组织:j。审核账户是否符合账户管理要求 [分配:组织定义的频率]。

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了额外的保护层。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
AC-2(j) 组织:j。审核账户是否符合账户管理要求 [分配:组织定义的频率]。

secretsmanager-scheduled-rotation-success-check

此规则确保 AWS Secrets Manager 密钥已根据轮换计划成功轮换。定期轮换密钥可以缩短密钥处于活动状态的时间段,并可能减少在泄露时对业务的影响。
AC-2(j) 组织:j。审核账户是否符合账户管理要求 [分配:组织定义的频率]。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需更多的权限可能会违反最小权限原则和职责共担原则。
AC-2(j) 组织:j。审核账户是否符合账户管理要求 [分配:组织定义的频率]。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们满足或超过 NIST SP 800-63 和 Centers for Internet Security (CIS) AWS Foundations 基准密码强度要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(FedRAMP 参数:24)和 MaxPasswordAge(AWS 基础实践密码: 实际值应反映您的组织的策略。
AC-2(j) 组织:j。审核账户是否符合账户管理要求 [分配:组织定义的频率]。

access-keys-rotated

通过确保根据组织策略轮换 IAM 访问密钥,审核已授权设备、用户和流程的凭证。定期更改访问密钥是一种安全最佳实践。它缩短了访问密钥处于活动状态的期间,并减小密钥泄露时对业务的影响。此规则需要访问密钥轮换值(配置默认值:90)。实际值应反映您组织的策略。
AC-2(j) 组织:j。审核账户是否符合账户管理要求 [分配:组织定义的频率]。

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
AC-2(j) 组织:j。审核账户是否符合账户管理要求 [分配:组织定义的频率]。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
AC-2(j) 组织:j。审核账户是否符合账户管理要求 [分配:组织定义的频率]。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任共担原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC-2(j) 组织:j。审核账户是否符合账户管理要求 [分配:组织定义的频率]。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您融入有关访问权限和授权的最小特权和责任拆分原则,从而限制策略包含“效果”: “Allow”,在“Resource”上显示“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC-2(j) 组织:j。审核账户是否符合账户管理要求 [分配:组织定义的频率]。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果标识了这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能会违反最小权限原则。此规则要求您将值设置为 maxCredentialUsageAge(配置默认值:90)。实际值应反映您组织的策略。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需更多的权限可能会违反最小权限原则和职责共担原则。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据对未经授权的远程用户安全。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您的组织的策略。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任共担原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您融入有关访问权限和授权的最小特权和责任拆分原则,从而限制策略包含“效果”: “Allow”,在“Resource”上显示“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC-3 信息系统根据适用的访问控制策略,对信息和系统资源的逻辑访问实施批准的授权。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,并且这些账户需要原则和访问控制。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。使用此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

restricted-common-ports

通过确保通用端口在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上受限,在 AWS 云中管理对资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,3389,3306,333)。实际值应反映您的组织的策略。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据对未经授权的远程用户安全。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您的组织的策略。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

vpc-sg-open-only-to-authorized-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

通过确保 AWS ACM 颁发 X509 证书,确保网络完整性。这些证书必须是有效证书,并且不会过期。此规则需要 daysToExpiration 的值(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
AC-4 信息系统强制实施批准的授权,以根据 [分配: 组织定义的信息流控制策略] 来控制系统内以及互连系统之间的信息流。

internet-gateway-authorized-vpc-only

通过确保 Internet 网关仅附加到授权 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
AC - 5c 组织:c. 定义信息系统访问授权以支持职责分离。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
AC - 5c 组织:c. 定义信息系统访问授权以支持职责分离。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任共担原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC - 5c 组织:c. 定义信息系统访问授权以支持职责分离。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您融入有关访问权限和授权的最小特权和责任拆分原则,从而限制策略包含“效果”: “Allow”,在“Resource”上显示“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC - 5c 组织:c. 定义信息系统访问授权以支持职责分离。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据对未经授权的远程用户安全。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您的组织的策略。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs的限制。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

确保 AWS Codebuild 项目环境中不存在身份验证凭证 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。不要以明文形式存储这些变量。将这些变量存储在明文中会导致意外的数据泄露和未经授权的访问。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果标识了这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能会违反最小权限原则。此规则要求您将值设置为 maxCredentialUsageAge(配置默认值:90)。实际值应反映您组织的策略。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任共担原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您融入有关访问权限和授权的最小特权和责任拆分原则,从而限制策略包含“效果”: “Allow”,在“Resource”上显示“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需更多的权限可能会违反最小权限原则和职责共担原则。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,并且这些账户需要原则和访问控制。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

ec2-imdsv2-check

确保启用了实例元数据服务版本 2 (IMDSv2) 方法,以保护对 Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。方法使用基于会话的控件。IMDSv2借助 IMDSv2,可以实施控制来限制对实例元数据的更改。
AC-6 组织采用最低特权原则,只允许用户(或代表用户进行操作的进程)进行授权访问,这些访问是按照组织任务和业务功能完成分配的任务所必需的。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
AC-6(10) 信息系统可防止非特权用户执行包含禁用、绕过或更改已实施的安全安全保护/措施的特权函数。

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
AC-17(1) 信息系统监控和控制远程访问方法。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
AC-17(1) 信息系统监控和控制远程访问方法。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
AC - 17 (2) 信息系统实施加密机制以保护远程访问会话的机密性和完整性。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
AC - 17 (2) 信息系统实施加密机制以保护远程访问会话的机密性和完整性。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
AC - 17 (2) 信息系统实施加密机制以保护远程访问会话的机密性和完整性。

通过确保 AWS ACM 颁发 X509 证书,确保网络完整性。这些证书必须是有效证书,并且不会过期。此规则需要 daysToExpiration 的值(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
AC - 17 (2) 信息系统实施加密机制以保护远程访问会话的机密性和完整性。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
AC - 17 (2) 信息系统实施加密机制以保护远程访问会话的机密性和完整性。

由于敏感数据可以存在并有助于保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
AC - 17 (2) 信息系统实施加密机制以保护远程访问会话的机密性和完整性。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
AC - 17 (2) 信息系统实施加密机制以保护远程访问会话的机密性和完整性。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
AC - 17 (3) 信息系统通过 [Assignment: organization-defined number] 托管网络访问控制点路由所有远程访问。

internet-gateway-authorized-vpc-only

通过确保 Internet 网关仅附加到授权 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,并且这些账户需要原则和访问控制。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据对未经授权的远程用户安全。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您的组织的策略。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC-21(b) 组织:b。使用 [分配: 组织定义的自动机制或手动流程] 来帮助用户做出信息共享/协作决策。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AU-2(a)(d) 组织:a。确定信息系统能够审核以下事件: 成功和失败的账户登录事件、账户管理事件、对象访问、策略更改、权限函数、进程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。d。决定在信息系统中审核以下事件:[在 AU-2 中定义的可审核事件的组织定义子集,对每个已识别的事件持续进行审核]。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
AU-2(a)(d) 组织:a。确定信息系统能够审核以下事件: 成功和失败的账户登录事件、账户管理事件、对象访问、策略更改、权限函数、进程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。d。决定在信息系统中审核以下事件:[在 AU-2 中定义的可审核事件的组织定义子集,对每个已识别的事件持续进行审核]。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AU-2(a)(d) 组织:a。确定信息系统能够审核以下事件: 成功和失败的账户登录事件、账户管理事件、对象访问、策略更改、权限函数、进程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。d。决定在信息系统中审核以下事件:[在 AU-2 中定义的可审核事件的组织定义子集,对每个已识别的事件持续进行审核]。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
AU-2(a)(d) 组织:a。确定信息系统能够审核以下事件: 成功和失败的账户登录事件、账户管理事件、对象访问、策略更改、权限函数、进程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。d。决定在信息系统中审核以下事件:[在 AU-2 中定义的可审核事件的组织定义子集,对每个已识别的事件持续进行审核]。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
AU-2(a)(d) 组织:a。确定信息系统能够审核以下事件: 成功和失败的账户登录事件、账户管理事件、对象访问、策略更改、权限函数、进程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。d。决定在信息系统中审核以下事件:[在 AU-2 中定义的可审核事件的组织定义子集,对每个已识别的事件持续进行审核]。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
AU-2(a)(d) 组织:a。确定信息系统能够审核以下事件: 成功和失败的账户登录事件、账户管理事件、对象访问、策略更改、权限函数、进程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。d。决定在信息系统中审核以下事件:[在 AU-2 中定义的可审核事件的组织定义子集,对每个已识别的事件持续进行审核]。

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则 CloudTrail 会将日志文件从所有 AWS 区域传输到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
AU-2(a)(d) 组织:a。确定信息系统能够审核以下事件: 成功和失败的账户登录事件、账户管理事件、对象访问、策略更改、权限函数、进程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。d。决定在信息系统中审核以下事件:[在 AU-2 中定义的可审核事件的组织定义子集,对每个已识别的事件持续进行审核]。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
AU-2(a)(d) 组织:a。确定信息系统能够审核以下事件: 成功和失败的账户登录事件、账户管理事件、对象访问、策略更改、权限函数、进程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。d。决定在信息系统中审核以下事件:[在 AU-2 中定义的可审核事件的组织定义子集,对每个已识别的事件持续进行审核]。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
AU-2(a)(d) 组织:a。确定信息系统能够审核以下事件: 成功和失败的账户登录事件、账户管理事件、对象访问、策略更改、权限函数、进程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。d。决定在信息系统中审核以下事件:[在 AU-2 中定义的可审核事件的组织定义子集,对每个已识别的事件持续进行审核]。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
AU-2(a)(d) 组织:a。确定信息系统能够审核以下事件: 成功和失败的账户登录事件、账户管理事件、对象访问、策略更改、权限函数、进程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。d。决定在信息系统中审核以下事件:[在 AU-2 中定义的可审核事件的组织定义子集,对每个已识别的事件持续进行审核]。

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
AU-2(a)(d) 组织:a。确定信息系统能够审核以下事件: 成功和失败的账户登录事件、账户管理事件、对象访问、策略更改、权限函数、进程跟踪和系统事件。对于 Web 应用程序:所有管理员活动、身份验证检查、授权检查、数据删除、数据访问、数据更改和权限更改。d。决定在信息系统中审核以下事件:[在 AU-2 中定义的可审核事件的组织定义子集,对每个已识别的事件持续进行审核]。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您的组织的策略。
AU-3 信息系统生成审核记录,其中包含的信息确定事件发生的类型、事件发生的时间、事件发生的位置、事件来源、事件结果以及与事件关联的任何个人或主题的身份。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
AU-3 信息系统生成审核记录,其中包含的信息确定事件发生的类型、事件发生的时间、事件发生的位置、事件来源、事件结果以及与事件关联的任何个人或主题的身份。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AU-3 信息系统生成审核记录,其中包含的信息确定事件发生的类型、事件发生的时间、事件发生的位置、事件来源、事件结果以及与事件关联的任何个人或主题的身份。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
AU-3 信息系统生成审核记录,其中包含的信息确定事件发生的类型、事件发生的时间、事件发生的位置、事件来源、事件结果以及与事件关联的任何个人或主题的身份。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
AU-3 信息系统生成审核记录,其中包含的信息确定事件发生的类型、事件发生的时间、事件发生的位置、事件来源、事件结果以及与事件关联的任何个人或主题的身份。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
AU-3 信息系统生成审核记录,其中包含的信息确定事件发生的类型、事件发生的时间、事件发生的位置、事件来源、事件结果以及与事件关联的任何个人或主题的身份。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
AU-3 信息系统生成审核记录,其中包含的信息确定事件发生的类型、事件发生的时间、事件发生的位置、事件来源、事件结果以及与事件关联的任何个人或主题的身份。

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将所有 AWS 区域中的日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
AU-3 信息系统生成审核记录,其中包含的信息确定事件发生的类型、事件发生的时间、事件发生的位置、事件来源、事件结果以及与事件关联的任何个人或主题的身份。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
AU-3 信息系统生成审核记录,其中包含的信息确定事件发生的类型、事件发生的时间、事件发生的位置、事件来源、事件结果以及与事件关联的任何个人或主题的身份。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
AU-3 信息系统生成审核记录,其中包含的信息确定事件发生的类型、事件发生的时间、事件发生的位置、事件来源、事件结果以及与事件关联的任何个人或主题的身份。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您的组织的策略。
AU-3 信息系统生成审核记录,其中包含的信息确定事件发生的类型、事件发生的时间、事件发生的位置、事件来源、事件结果以及与事件关联的任何个人或主题的身份。

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
AU-6(1) (3) (1) 组织采用自动化机制来集成审核审核审核、分析和报告流程,以支持调查和响应可疑活动的组织流程。(3) 组织分析并关联不同存储库中的审核记录,以增强组织范围的条件感知。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
AU-6(1) (3) (1) 组织采用自动化机制来集成审核审核审核、分析和报告流程,以支持调查和响应可疑活动的组织流程。(3) 组织分析并关联不同存储库中的审核记录,以增强组织范围的条件感知。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
AU-6(1) (3) (1) 组织采用自动化机制来集成审核审核审核、分析和报告流程,以支持调查和响应可疑活动的组织流程。(3) 组织分析并关联不同存储库中的审核记录,以增强组织范围的条件感知。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AU-6(1) (3) (1) 组织采用自动化机制来集成审核审核审核、分析和报告流程,以支持调查和响应可疑活动的组织流程。(3) 组织分析并关联不同存储库中的审核记录,以增强组织范围的条件感知。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
AU-7(1) 信息系统提供了根据 [分配: 审核记录中的组织定义的审核字段] 处理相关事件的审核记录的功能。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
AU-7(1) 信息系统提供了根据 [分配: 审核记录中的组织定义的审核字段] 处理相关事件的审核记录的功能。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AU-9 信息系统可以保护审计信息和审计工具,以免未经授权的访问、修改和删除。

由于敏感数据可能存在并有助于保护静态数据,请确保为您的 AWS CloudTrail 跟踪启用加密。
AU-9 信息系统可以保护审计信息和审计工具,以免未经授权的访问、修改和删除。

为了帮助保护静态敏感数据,请确保已为您的 Amazon CloudWatch 日志组启用加密。
AU-9 (2) 信息系统至少每周将审核记录备份到与要审核的系统或组件物理不同的系统或系统组件上。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保维护数据可用性。
AU-11 组织保留审计记录至少 90 天,以便为安全事件的事后调查提供支持,并满足法规和组织的信息保留要求。

cw-loggroup-retention-period-check

确保为您的日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。缺少可用的过去事件日志数据使得难以重建和识别潜在的恶意事件。此规则允许您根据组织的策略的要求选择性地设置 MinRetentionTime(FedRAMP 参数:90)。
AU-12(a)(c) 信息系统:a。为 AU-2 a 中定义的可审核事件提供审核记录生成功能,涵盖在其中部署/提供了审核功能的所有信息系统和网络组件。为 AU-2 d 中定义的事件生成审核记录,并在 AU-3 中定义内容。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
AU-12(a)(c) 信息系统:a。为 AU-2 a 中定义的可审核事件提供审核记录生成功能,涵盖在其中部署/提供了审核功能的所有信息系统和网络组件。为 AU-2 d 中定义的事件生成审核记录,并在 AU-3 中定义内容。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AU-12(a)(c) 信息系统:a。为 AU-2 a 中定义的可审核事件提供审核记录生成功能,涵盖在其中部署/提供了审核功能的所有信息系统和网络组件。为 AU-2 d 中定义的事件生成审核记录,并在 AU-3 中定义内容。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
AU-12(a)(c) 信息系统:a。为 AU-2 a 中定义的可审核事件提供审核记录生成功能,涵盖在其中部署/提供了审核功能的所有信息系统和网络组件。为 AU-2 d 中定义的事件生成审核记录,并在 AU-3 中定义内容。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
AU-12(a)(c) 信息系统:a。为 AU-2 a 中定义的可审核事件提供审核记录生成功能,涵盖在其中部署/提供了审核功能的所有信息系统和网络组件。为 AU-2 d 中定义的事件生成审核记录,并在 AU-3 中定义内容。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
AU-12(a)(c) 信息系统:a。为 AU-2 a 中定义的可审核事件提供审核记录生成功能,涵盖在其中部署/提供了审核功能的所有信息系统和网络组件。为 AU-2 d 中定义的事件生成审核记录,并在 AU-3 中定义内容。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
AU-12(a)(c) 信息系统:a。为 AU-2 a 中定义的可审核事件提供审核记录生成功能,涵盖在其中部署/提供了审核功能的所有信息系统和网络组件。为 AU-2 d 中定义的事件生成审核记录,并在 AU-3 中定义内容。

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将所有 AWS 区域中的日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
AU-12(a)(c) 信息系统:a。为 AU-2 a 中定义的可审核事件提供审核记录生成功能,涵盖在其中部署/提供了审核功能的所有信息系统和网络组件。为 AU-2 d 中定义的事件生成审核记录,并在 AU-3 中定义内容。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
AU-12(a)(c) 信息系统:a。为 AU-2 a 中定义的可审核事件提供审核记录生成功能,涵盖在其中部署/提供了审核功能的所有信息系统和网络组件。为 AU-2 d 中定义的事件生成审核记录,并在 AU-3 中定义内容。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
AU-12(a)(c) 信息系统:a。为 AU-2 a 中定义的可审核事件提供审核记录生成功能,涵盖在其中部署/提供了审核功能的所有信息系统和网络组件。为 AU-2 d 中定义的事件生成审核记录,并在 AU-3 中定义内容。

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
AU-12(a)(c) 信息系统:a。为 AU-2 a 中定义的可审核事件提供审核记录生成功能,涵盖在其中部署/提供了审核功能的所有信息系统和网络组件。为 AU-2 d 中定义的事件生成审核记录,并在 AU-3 中定义内容。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您的组织的策略。
CA-7(a)(b) 组织制定持续监控策略并实施持续监控计划,其中包括:a。创建了要监控的 [分配:组织定义的指标];b。确定用于监控的 [分配:组织定义的频率] 和用于支持此类监控的评估的 [分配:组织定义的频率]

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
CA-7(a)(b) 组织制定持续监控策略并实施持续监控计划,其中包括:a。创建了要监控的 [分配:组织定义的指标];b。确定用于监控的 [分配:组织定义的频率] 和用于支持此类监控的评估的 [分配:组织定义的频率]

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
CA-7(a)(b) 组织制定持续监控策略并实施持续监控计划,其中包括:a。创建了要监控的 [分配:组织定义的指标];b。确定用于监控的 [分配:组织定义的频率] 和用于支持此类监控的评估的 [分配:组织定义的频率]

ec2-instance-detailed-monitoring-enabled

启用此规则可帮助在 Amazon EC2 控制台上改进 Amazon Elastic Compute Cloud (Amazon EC2) 实例监控,这会以 1 分钟为间隔显示该实例的监控图表。
CA-7(a)(b) 组织制定持续监控策略并实施持续监控计划,其中包括:a。创建了要监控的 [分配:组织定义的指标];b。确定用于监控的 [分配:组织定义的频率] 和用于支持此类监控的评估的 [分配:组织定义的频率]

rds-enhanced-monitoring-enabled

启用 Amazon Relational Database Service (Amazon RDS) 以帮助监控 Amazon RDS 可用性。这可让您详细了解 Amazon RDS 数据库实例的运行状况。当 Amazon RDS 存储使用多个底层物理设备时,增强监测将收集每个设备的数据。此外,当 Amazon RDS 数据库实例在多可用区部署中运行时,将收集辅助主机上每个设备的数据以及辅助主机指标。
CA-7(a)(b) 组织制定持续监控策略并实施持续监控计划,其中包括:a。创建了要监控的 [分配:组织定义的指标];b。确定用于监控的 [分配:组织定义的频率] 和用于支持此类监控的评估的 [分配:组织定义的频率]

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
CA-7(a)(b) 组织制定持续监控策略并实施持续监控计划,其中包括:a。创建了要监控的 [分配:组织定义的指标];b。确定用于监控的 [分配:组织定义的频率] 和用于支持此类监控的评估的 [分配:组织定义的频率]

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
CM-2 组织在配置控制下开发、文档和维护信息系统的当前基准配置。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
CM-2 组织在配置控制下开发、文档和维护信息系统的当前基准配置。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
CM-2 组织在配置控制下开发、文档和维护信息系统的当前基准配置。

ec2-stopped-instance

启用此规则可通过检查 Amazon EC2 实例是否已根据您组织的标准停止超过允许的天数来帮助 Amazon Elastic Compute Cloud (Amazon EC2) 实例的基准配置。
CM-2 组织在配置控制下开发、文档和维护信息系统的当前基准配置。

ec2-volume-inuse-check

此规则可确保将附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例的 Amazon Elastic Block Store 卷标记为在实例终止时删除。如果在某个 Amazon EBS 卷附加到的实例终止时该卷未被删除,则可能会违反最低功能的概念。
CM-2 组织在配置控制下开发、文档和维护信息系统的当前基准配置。

elb-deletion-protection-enabled

此规则确保 Elastic Load Balancing 已启用删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致您的应用程序的可用性降低。
CM-2 组织在配置控制下开发、文档和维护信息系统的当前基准配置。

restricted-common-ports

通过确保通用端口在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上受限,在 AWS 云中管理对资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,3389,3306,333)。实际值应反映您的组织的策略。
CM-2 组织在配置控制下开发、文档和维护信息系统的当前基准配置。

cloudtrail-security-trail-enabled

此规则通过检查是否启用多个设置,帮助确保为 AWS CloudTrail 使用 AWS 建议的安全最佳实践。其中包括使用日志加密、日志验证以及在多个区域中启用 AWS CloudTrail。
CM-7 (a) 组织:a。将信息系统配置为仅提供基本功能。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
CM-7 (a) 组织:a。将信息系统配置为仅提供基本功能。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
CM-8(1) 组织将信息系统组件的清单更新为组件安装、删除和信息系统更新的一个组成部分。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
CM-8(3) (a) 组织:a。持续采用自动化机制,使用自动机制,检测最多需要五分钟的延迟,以检测信息系统中是否存在未经授权的硬件、软件和固件组件

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
CM-8(3) (a) 组织:a。持续采用自动化机制,使用自动机制,检测最多需要五分钟的延迟,以检测信息系统中是否存在未经授权的硬件、软件和固件组件

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
CM-8(3) (a) 组织:a。持续采用自动化机制,使用自动机制,检测最多需要五分钟的延迟,以检测信息系统中是否存在未经授权的硬件、软件和固件组件

ec2-managedinstance-patch-compliance-status-check

启用此规则可帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则根据组织的策略和过程的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规性。
CP-9(b) 组织:b。对信息系统中包含的系统级信息执行备份(每天为增量;每周为完整版)。

db-instance-backup-enabled

Amazon RDS 的备份功能创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,备份整个数据库实例。系统允许您设置特定的保留期以满足您的弹性要求。
CP-9(b) 组织:b。对信息系统中包含的系统级信息执行备份(每天为增量;每周为完整版)。

dynamodb-pitr-enabled

启用此规则可检查是否已备份信息。它还通过确保在 Amazon DynamoDB 中启用时间点恢复来维护备份。 该恢复将保留过去 35 天的表连续备份。
CP-9(b) 组织:b。对信息系统中包含的系统级信息执行备份(每天为增量;每周为完整版)。

elasticache-redis-cluster-automatic-backup-check

在启用自动备份时,Amazon ElastiCache 每天为集群创建备份。该备份可以保留您组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,以从最新的备份还原数据。
CP-9(b) 组织:b。对信息系统中包含的系统级信息执行备份(每天为增量;每周为完整版)。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保维护数据可用性。
CP-9(b) 组织:b。对信息系统中包含的系统级信息执行备份(每天为增量;每周为完整版)。

dynamodb-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon DynamoDB 表是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
CP-9(b) 组织:b。对信息系统中包含的系统级信息执行备份(每天为增量;每周为完整版)。

ebs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
CP-9(b) 组织:b。对信息系统中包含的系统级信息执行备份(每天为增量;每周为完整版)。

efs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic File System (Amazon EFS) 文件系统是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
CP-9(b) 组织:b。对信息系统中包含的系统级信息执行备份(每天为增量;每周为完整版)。

rds-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling 使用 AWS Application Auto Scaling 服务调整预置的吞吐容量,以自动响应实际的流量模式。这使表或全局二级索引能够增加其预置读/写容量以处理突增流量,而不进行限制。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) 中的多可用区支持为数据库实例提供了更高的可用性和持久性。当您预配置多可用区数据库实例时,Amazon RDS 会自动创建一个主数据库实例,并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身独立的物理上不同的基础设施上运行,并且被设计为高度可靠。如果基础设施出现故障,Amazon RDS 会执行到备用实例的自动故障转移,以便您可以在故障转移完成后立即恢复数据库操作。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制可帮助在相同的 Amazon S3 存储桶中保留对象的多个变体。使用版本控制可保留、检索和还原 Amazon S3 存储桶中存储的每个对象的每个版本。版本控制可帮助您轻松从意外用户操作和应用程序故障中恢复。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

db-instance-backup-enabled

Amazon RDS 的备份功能创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,备份整个数据库实例。系统允许您设置特定的保留期以满足您的弹性要求。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

dynamodb-pitr-enabled

启用此规则可检查是否已备份信息。它还通过确保在 Amazon DynamoDB 中启用时间点恢复来维护备份。 该恢复将保留过去 35 天的表连续备份。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

elasticache-redis-cluster-automatic-backup-check

在启用自动备份时,Amazon ElastiCache 每天为集群创建备份。该备份可以保留您组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,以从最新的备份还原数据。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

elb-deletion-protection-enabled

此规则确保 Elastic Load Balancing 已启用删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致您的应用程序的可用性降低。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保维护数据可用性。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

可以实施冗余站点到站点 VPN 隧道以实现恢复能力要求。它使用两条隧道来帮助确保连接性,以防其中一个站点到站点 VPN 连接变得不可用。为了防止连接丢失,在您的客户网关变得不可用时,您可以使用第二个客户网关设置到 Amazon Virtual Private Cloud (Amazon VPC) 和虚拟专用网关的第二个站点到站点 VPN 连接。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

dynamodb-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon DynamoDB 表是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

ebs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

efs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic File System (Amazon EFS) 文件系统是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

elb-cross-zone-load-balancing-enabled

为您的 Elastic Load Balancer (ELB) 启用跨区域负载均衡,以帮助保持充足的容量和可用性。跨区域负载均衡可降低在每个已启用的可用区中保持相同数量的实例的需求。它还可以提高应用程序处理一个或多个实例丢失情况的能力。
CP-10 组织提供了在发生中断、损害或故障后恢复信息系统并将其重新构建为已知状态的功能。

rds-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
IA-2 信息系统唯一地标识并验证组织用户(或代表组织用户进行操作的进程)。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们满足或超过 NIST SP 800-63 和 Centers for Internet Security (CIS) AWS Foundations 基准密码强度要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(FedRAMP 参数:24)和 MaxPasswordAge(AWS 基础实践密码: 实际值应反映您的组织的策略。
IA-2(1) (1) 信息系统为对特权账户的网络访问实施多重验证。

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了额外的保护层。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
IA-2(1) (1) 信息系统为对特权账户的网络访问实施多重验证。

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了额外的保护层。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
IA-2(1) (2) (1) 信息系统为对特权账户的网络访问实施多重验证。(2) 信息系统为对非特权账户的网络访问实施多重验证。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止未经授权的用户访问敏感数据。
IA-2(1) (2) (1) 信息系统为对特权账户的网络访问实施多重验证。(2) 信息系统为对非特权账户的网络访问实施多重验证。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
IA-5(1) (a) (d) (e) 信息系统,用于基于密码的身份验证:a。强制实施 [分配:组织定义的有关区分大小写、字符数、大写字母组合、小写字母、数字和特殊字符的最小密码复杂性,包括每种类型的最低要求];d。强制实施 [Assignment: organization-defined numbers for lifeline 最短生命周期、最长生命周期] 的密码最短和最长生命周期限制;例如。禁止将密码重用 24 代

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们满足或超过 NIST SP 800-63 和 Centers for Internet Security (CIS) AWS Foundations 基准密码强度要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(FedRAMP 参数:24)和 MaxPasswordAge(AWS 基础实践密码: 实际值应反映您的组织的策略。
IA-5(4) 组织使用自动化工具来确定密码身份验证器是否足够强大,无法满足 [分配:组织定义的要求]。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们满足或超过 NIST SP 800-63 和 Centers for Internet Security (CIS) AWS Foundations 基准密码强度要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(FedRAMP 参数:24)和 MaxPasswordAge(AWS 基础实践密码: 实际值应反映您的组织的策略。
IA-5(7) 该组织确保未加密的静态身份验证器不会嵌入到应用程序或访问脚本中,也不会存储在函数密钥上。

确保 AWS Codebuild 项目环境中不存在身份验证凭证 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。不要以明文形式存储这些变量。将这些变量存储在明文中会导致意外的数据泄露和未经授权的访问。
IR-4(1) 组织采用自动化机制来支持事件处理流程。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
IR-4(1) 组织采用自动化机制来支持事件处理流程。

guardduty-non-archived-findings

Amazon GuardDuty 通过按严重性对结果进行分类(低、中和高)来帮助您了解事件的影响。您可以使用这些分类来确定修复策略和优先级。此规则允许您根据组织的策略,选择性地为非存档结果设置 daysLowSev(FedRAMP 参数:180)、daysMediumSev(FedRAMP 参数:90)和 daysHighSev(FedRAMP 参数:30)。
IR-6(1) 组织采用自动化机制来帮助报告安全事件。

guardduty-non-archived-findings

Amazon GuardDuty 通过按严重性对结果进行分类(低、中和高)来帮助您了解事件的影响。您可以使用这些分类来确定修复策略和优先级。此规则允许您根据组织的策略,选择性地为非存档结果设置 daysLowSev(FedRAMP 参数:180)、daysMediumSev(FedRAMP 参数:90)和 daysHighSev(FedRAMP 参数:30)。
IR-7(1) 组织采用自动化机制来提高与事件响应相关的信息和支持的可用性。

guardduty-non-archived-findings

Amazon GuardDuty 通过按严重性对结果进行分类(低、中和高)来帮助您了解事件的影响。您可以使用这些分类来确定修复策略和优先级。此规则允许您根据组织的策略,选择性地为非存档结果设置 daysLowSev(FedRAMP 参数:180)、daysMediumSev(FedRAMP 参数:90)和 daysHighSev(FedRAMP 参数:30)。
RA-5 - 组织:a。扫描信息系统和托管应用程序中的漏洞 [分配: 组织定义的频率和/或根据组织定义流程随机执行),以及识别并报告可能影响系统/应用程序的新漏洞时;b。使用漏洞扫描工具和技术,这些工具和技术通过使用以下标准来实现工具之间的互操作性和漏洞管理过程的自动化部分: 1。枚举平台、软件缺陷和不正确配置;2. 设置核对清单和测试过程的格式;以及 3. 测量漏洞影响;c. 分析漏洞扫描报告和安全控制评估的结果;d。根据组织风险评估修正合法漏洞 [分配:组织定义的响应时间]。与 [分配:组织定义的人员或角色] 共享从漏洞扫描流程和安全控制评估中获取的信息,以帮助消除其他信息系统中的类似漏洞 (即系统漏洞或缺陷)。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
RA-5 - 组织:a。扫描信息系统中是否有漏洞,并每月 [操作系统/基础设施;每月 Web 应用程序和数据库] 托管应用程序,以及确定和报告可能影响系统/应用程序的新漏洞时;b。使用漏洞扫描工具和技术,这些工具和技术通过使用以下标准来实现工具之间的互操作性和漏洞管理过程的自动化部分: 1。枚举平台、软件缺陷和不正确配置;2. 设置核对清单和测试过程的格式;以及 3. 测量漏洞影响;c. 分析漏洞扫描报告和安全控制评估的结果;d。修复合法漏洞:高风险漏洞在发现日期后的 30 天内缓解;中等风险漏洞在发现日期后的 90 天 (90) 天内缓解;低风险漏洞在发现日期后的 100 到 8 (180) 天内根据组织风险评估缓解;以及 e。与 [分配:组织定义的人员或角色] 共享从漏洞扫描流程和安全控制评估中获取的信息,以帮助消除其他信息系统中的类似漏洞 (即系统漏洞或缺陷)。

guardduty-non-archived-findings

Amazon GuardDuty 通过按严重性对结果进行分类(低、中和高)来帮助您了解事件的影响。您可以使用这些分类来确定修复策略和优先级。此规则允许您根据组织的策略,选择性地为非存档调查结果设置 daysLowSev(FedRAMP 参数:180)、daysMediumSev(FedRAMP 参数:90)和 daysHighSev(FedRAMP 参数:30)。
SA-3(a) 组织:a。使用纳入信息安全注意事项的 [分配:组织定义的系统开发生命周期] 管理信息系统。

确保 AWS Codebuild 项目环境中不存在身份验证凭证 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY。不要以明文形式存储这些变量。将这些变量存储在明文中会导致意外的数据泄露和未经授权的访问。
SA-3(a) 组织:a。使用纳入信息安全注意事项的 [分配:组织定义的系统开发生命周期] 管理信息系统。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
SA-3(a) 组织:a。使用纳入信息安全注意事项的 [分配:组织定义的系统开发生命周期] 管理信息系统。

确保 GitHub 或 Bitbucket 源存储库 URL 在 AWS Codebuild 项目环境中不包含个人访问令牌、用户名和密码。使用 OAuth 而不是个人访问令牌或用户名和密码来授予访问 GitHub 或 Bitbucket 存储库的授权。
SA-10 - 该组织要求信息系统、系统组件或信息系统服务的开发人员执行以下操作:a。在系统、组件或服务开发、实施和 AND 操作期间执行配置管理;b. 文档、管理和控制对 [Assignment: configuration management 下的组织定义的配置项] 的更改完整性;c. 只对系统、组件或服务实施经过组织批准的更改;d。记录对系统、组件或服务的已批准更改以及此类更改的潜在安全影响;以及 跟踪系统、组件或服务中的安全缺陷和缺陷解决,并将结果报告给 [分配:组织定义的人员]。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
SA-10 - 该组织要求信息系统、系统组件或信息系统服务的开发人员执行以下操作:a。在系统、组件或服务开发、实施和 AND 操作期间执行配置管理;b. 文档、管理和控制对 [Assignment: configuration management 下的组织定义的配置项] 的更改完整性;c. 只对系统、组件或服务实施经过组织批准的更改;d。记录对系统、组件或服务的已批准更改以及此类更改的潜在安全影响;以及 跟踪系统、组件或服务中的安全缺陷和缺陷解决,并将结果报告给 [分配:组织定义的人员]。

guardduty-non-archived-findings

Amazon GuardDuty 通过按严重性对结果进行分类(低、中和高)来帮助您了解事件的影响。您可以使用这些分类来确定修复策略和优先级。此规则允许您根据组织的策略,选择性地为非存档调查结果设置 daysLowSev(FedRAMP 参数:180)、daysMediumSev(FedRAMP 参数:90)和 daysHighSev(FedRAMP 参数:30)。
SA-10 - 该组织要求信息系统、系统组件或信息系统服务的开发人员执行以下操作:a。在系统、组件或服务开发、实施和 AND 操作期间执行配置管理;b. 文档、管理和控制对 [Assignment: configuration management 下的组织定义的配置项] 的更改完整性;c. 只对系统、组件或服务实施经过组织批准的更改;d。记录对系统、组件或服务的已批准更改以及此类更改的潜在安全影响;以及 跟踪系统、组件或服务中的安全缺陷和缺陷解决,并将结果报告给 [分配:组织定义的人员]。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SA-10 - 该组织要求信息系统、系统组件或信息系统服务的开发人员执行以下操作:a。在系统、组件或服务开发、实施和 AND 操作期间执行配置管理;b. 文档、管理和控制对 [Assignment: configuration management 下的组织定义的配置项] 的更改完整性;c. 只对系统、组件或服务实施经过组织批准的更改;d。记录对系统、组件或服务的已批准更改以及此类更改的潜在安全影响;以及 跟踪系统、组件或服务中的安全缺陷和缺陷解决,并将结果报告给 [分配:组织定义的人员]。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
SC-2 信息系统将用户功能(包括用户界面服务)与信息系统管理功能分开。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任共担原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
SC-2 信息系统将用户功能(包括用户界面服务)与信息系统管理功能分开。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您融入有关访问权限和授权的最小特权和责任拆分原则,从而限制策略包含“效果”: “Allow”,在“Resource”上显示“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
SC-4 信息系统可以防止通过共享系统资源进行未经授权的和意外的信息传输。

ec2-volume-inuse-check

此规则可确保将附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例的 Amazon Elastic Block Store 卷标记为在实例终止时删除。如果在某个 Amazon EBS 卷附加到的实例终止时该卷未被删除,则可能会违反最低功能的概念。
SC-5 信息系统可以防范或限制以下拒绝服务攻击类型产生的影响: [分配:组织定义的拒绝服务攻击类型或对此类信息的源的引用] (通过使用 [分配:组织定义的安全保障安全)。

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 组的 Elastic Load Balancer (ELB) 运行状况检查支持保持足够的容量和可用性。负载均衡器会定期发送 ping、尝试连接或发送请求以测试 Auto Scaling 组中的 Amazon EC2 实例运行状况。如果实例没有报告回,则流量将发送到新的 Amazon EC2 实例。
SC-5 信息系统可以防范或限制以下拒绝服务攻击类型产生的影响: [分配:组织定义的拒绝服务攻击类型或对此类信息的源的引用] (通过使用 [分配:组织定义的安全保障安全)。

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling 使用 AWS Application Auto Scaling 服务调整预置的吞吐容量,以自动响应实际的流量模式。这使表或全局二级索引能够增加其预置读/写容量以处理突增流量,而不进行限制。
SC-5 信息系统可以防范或限制以下拒绝服务攻击类型产生的影响: [分配:组织定义的拒绝服务攻击类型或对此类信息的源的引用] (通过使用 [分配:组织定义的安全保障安全)。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) 中的多可用区支持为数据库实例提供了更高的可用性和持久性。当您预配置多可用区数据库实例时,Amazon RDS 会自动创建一个主数据库实例,并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身独立的物理上不同的基础设施上运行,并且被设计为高度可靠。如果基础设施出现故障,Amazon RDS 会执行到备用实例的自动故障转移,以便您可以在故障转移完成后立即恢复数据库操作。
SC-5 信息系统可以防范或限制以下拒绝服务攻击类型产生的影响: [分配:组织定义的拒绝服务攻击类型或对此类信息的源的引用] (通过使用 [分配:组织定义的安全保障安全)。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保维护数据可用性。
SC-5 信息系统可以防范或限制以下拒绝服务攻击类型产生的影响: [分配:组织定义的拒绝服务攻击类型或对此类信息的源的引用] (通过使用 [分配:组织定义的安全保障安全)。

elb-cross-zone-load-balancing-enabled

为您的 Elastic Load Balancer (ELB) 启用跨区域负载均衡,以帮助保持充足的容量和可用性。跨区域负载均衡可降低在每个已启用的可用区中保持相同数量的实例的需求。它还可以提高应用程序处理一个或多个实例丢失情况的能力。
SC-5 信息系统可以防范或限制以下拒绝服务攻击类型产生的影响: [分配:组织定义的拒绝服务攻击类型或对此类信息的源的引用] (通过使用 [分配:组织定义的安全保障安全)。

rds-instance-deletion-protection-enabled

确保 Amazon Relational Database Service (Amazon RDS) 实例已启用删除保护。使用删除保护可防止您的 Amazon RDS 实例被意外或恶意删除,这可能会导致您的应用程序的可用性降低。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

internet-gateway-authorized-vpc-only

通过确保 Internet 网关仅附加到授权 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。使用此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,并且这些账户需要原则和访问控制。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

restricted-common-ports

通过确保通用端口在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上受限,在 AWS 云中管理对资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您的组织的策略。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据对未经授权的远程用户安全。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您的组织的策略。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

由于敏感数据可以存在并有助于保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

确保在 Elastic Load Balancer (ELB) 上启用 AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 APIs 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或在您环境中消耗过多的资源。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

vpc-sg-open-only-to-authorized-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-7 - 信息系统:a。在系统的外部边界处和系统内的关键内部边界监控和控制通信;b。为 [Selection: physically; logically] 与内部组织网络和 c 分离的可公开访问的系统组件实施 subnetworks。仅通过由根据组织安全架构排列的边界保护设备组成的托管接口连接到外部网络或信息系统。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

internet-gateway-authorized-vpc-only

通过确保 Internet 网关仅附加到授权 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。使用此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,并且这些账户需要原则和访问控制。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

restricted-common-ports

通过确保通用端口在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上受限,在 AWS 云中管理对资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您的组织的策略。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据对未经授权的远程用户安全。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您的组织的策略。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
SC-7 (3) 该组织限制了与信息系统的外部网络连接的数量。

vpc-sg-open-only-to-authorized-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
SC-8 信息系统保护所传输信息的机密性和完整性。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8 信息系统保护所传输信息的机密性和完整性。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8 信息系统保护所传输信息的机密性和完整性。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8 信息系统保护所传输信息的机密性和完整性。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8 信息系统保护所传输信息的机密性和完整性。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8 信息系统保护所传输信息的机密性和完整性。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8 信息系统保护所传输信息的机密性和完整性。

由于敏感数据可以存在并有助于保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
SC-8(1) 信息系统对 [Selection (One or more)] 实施加密机制:除非 [Assignment: organization-defined alternative physical security] 提供保护,否则可防止未经授权的信息泄露;在传输期间检测信息更改。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8(1) 信息系统对 [Selection (One or more)] 实施加密机制:除非 [Assignment: organization-defined alternative physical security] 提供保护,否则可防止未经授权的信息泄露;在传输期间检测信息更改。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8(1) 信息系统对 [Selection (One or more)] 实施加密机制:除非 [Assignment: organization-defined alternative physical security] 提供保护,否则可防止未经授权的信息泄露;在传输期间检测信息更改。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8(1) 信息系统对 [Selection (One or more)] 实施加密机制:除非 [Assignment: organization-defined alternative physical security] 提供保护,否则可防止未经授权的信息泄露;在传输期间检测信息更改。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8(1) 信息系统对 [Selection (One or more)] 实施加密机制:除非 [Assignment: organization-defined alternative physical security] 提供保护,否则可防止未经授权的信息泄露;在传输期间检测信息更改。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8(1) 信息系统对 [Selection (One or more)] 实施加密机制:除非 [Assignment: organization-defined alternative physical security] 提供保护,否则可防止未经授权的信息泄露;在传输期间检测信息更改。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-8(1) 信息系统对 [Selection (One or more)] 实施加密机制:除非 [Assignment: organization-defined alternative physical security] 提供保护,否则可防止未经授权的信息泄露;在传输期间检测信息更改。

由于敏感数据可以存在并有助于保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
SC - 12 该组织根据 [分配:组织定义的密钥生成、分配、存储、访问和销毁要求] 为信息系统中使用的所需加密密钥建立和管理加密密钥。

启用密钥轮换,以确保在到达加密期限时轮换密钥。
SC - 12 该组织根据 [分配:组织定义的密钥生成、分配、存储、访问和销毁要求] 为信息系统中使用的所需加密密钥建立和管理加密密钥。

通过确保 AWS ACM 颁发 X509 证书,确保网络完整性。这些证书必须是有效证书,并且不会过期。此规则需要 daysToExpiration 的值(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
SC - 12 该组织根据 [分配:组织定义的密钥生成、分配、存储、访问和销毁要求] 为信息系统中使用的所需加密密钥建立和管理加密密钥。

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保未计划在 AWS Key Management Service (AWS KMS) 中删除必要的客户主密钥 (CMK)。由于密钥删除有时是必需的,此规则可以帮助检查计划删除的所有密钥,以防意外计划了密钥。
SC - 13 信息系统根据适用的联邦法律、执行顺序、指令、策略、法规和标准实施经 FIPS 验证或 NSA 批准的加密。

dynamodb-table-encrypted-kms

确保已为您的 Amazon DynamoDB 表启用加密。由于敏感数据可存在于这些表中,因此启用静态加密以帮助保护这些数据。默认情况下,将使用 AWS 拥有的客户主密钥 (CMK) 对 DynamoDB 表进行加密。
SC-23 信息系统可保护通信会话的真实性。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-23 信息系统可保护通信会话的真实性。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-23 信息系统可保护通信会话的真实性。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

api-gw-cache-enabled-and-encrypted

为了帮助保护静态数据,请确保已为 API Gateway 阶段的缓存启用加密。由于可为 API 方法捕获敏感数据,请启用静态加密以帮助保护这些数据。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

由于敏感数据可能存在并有助于保护静态数据,请确保为您的 AWS CloudTrail 跟踪启用加密。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

为帮助保护静态敏感数据,请确保已为您的 Amazon CloudWatch 日志组启用加密。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

由于敏感数据可以存在并有助于保护静态数据,因此请确保已为您的 Amazon Elastic File System (EFS) 启用加密。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

由于敏感数据可以存在并有助于保护静态数据,请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

由于敏感型数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保未计划在 AWS Key Management Service (AWS KMS) 中删除必要的客户主密钥 (CMK)。由于密钥删除有时是必需的,此规则可以帮助检查计划删除的所有密钥,以防意外计划了密钥。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您的组织的策略。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

s3-bucket-default-lock-enabled

默认情况下,确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶已启用锁定。由于敏感数据可存在于 S3 存储桶中,因此请实施静态对象锁定以帮助保护该数据。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

为了帮助保护静态数据,请确保为您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可存在于 Amazon S3 存储桶中,因此,请启用加密以帮助保护该数据。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

sagemaker-endpoint-configuration-kms-key-configured

为了帮助保护静态数据,请确保为您的 SageMaker 终端节点启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可存在于 SageMaker 终端节点中,因此启用静态加密以帮助保护该数据。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

为了帮助保护静态数据,请确保为您的 SageMaker 笔记本启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可存在于 SageMaker 笔记本中,请启用静态加密以帮助保护这些数据。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

sns-encrypted-kms

为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于敏感数据可存在于发布的消息中,因此启用静态加密以帮助保护该数据。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。由于敏感数据可存在于这些卷中,因此启用静态加密以帮助保护这些数据。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

rds-snapshot-encrypted

确保为您的 Amazon Relational Database Service (Amazon RDS) 快照启用了加密。由于敏感数据可以存在,请启用静态加密以帮助保护该数据。
SC-28 信息系统保护 [分配:组织定义静态信息] 的机密性和完整性。

为了帮助保护静态数据,请确保已为您的 Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。
SI-2 (2) 组织至少每月使用一次自动化机制,以确定针对缺陷修正的信息系统组件的状态。

ec2-managedinstance-patch-compliance-status-check

启用此规则可帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则根据组织的策略和过程的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规性。
SI-2 (2) 组织至少每月使用一次自动化机制,以确定针对缺陷修正的信息系统组件的状态。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
SI-2 (2) 组织至少每月使用一次自动化机制,以确定针对缺陷修正的信息系统组件的状态。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
SI-4(1) 该组织将各个入侵检测工具连接到信息系统范围的入侵探测系统,并将其配置。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
SI-4(16) 该组织将整个信息系统中使用的监控工具的信息关联起来。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
SI-4(16) 该组织将整个信息系统中使用的监控工具的信息关联起来。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SI-4 (2) 组织采用自动化工具来支持近乎实时地分析事件。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
SI-4 (2) 组织采用自动化工具来支持近乎实时地分析事件。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SI-4 (2) 组织采用自动化工具来支持近乎实时地分析事件。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
SI-4 (2) 组织采用自动化工具来支持近乎实时地分析事件。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
SI-4 (2) 组织采用自动化工具来支持近乎实时地分析事件。

ec2-instance-detailed-monitoring-enabled

启用此规则可帮助在 Amazon EC2 控制台上改进 Amazon Elastic Compute Cloud (Amazon EC2) 实例监控,这会以 1 分钟为间隔显示该实例的监控图表。
SI-4(4) 信息系统持续监控入站和出站通信流量,以查找异常或未经授权的活动或条件。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
SI-4(4) 信息系统持续监控入站和出站通信流量,以查找异常或未经授权的活动或条件。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SI-4(4) 信息系统持续监控入站和出站通信流量,以查找异常或未经授权的活动或条件。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
SI-4(4) 信息系统持续监控入站和出站通信流量,以查找异常或未经授权的活动或条件。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
SI-4(5) 在出现以下损害或潜在损害迹象时, 信息系统会提醒 [分配: 组织定义的人员或角色]。[分配: 组织定义的受损指标]。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
SI-4(5) 在出现以下损害或潜在损害迹象时, 信息系统会提醒 [分配: 组织定义的人员或角色]。[分配: 组织定义的受损指标]。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SI-4(5) 在出现以下损害或潜在损害迹象时, 信息系统会提醒 [分配: 组织定义的人员或角色]。[分配: 组织定义的受损指标]。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
SI-4(5) 在出现以下损害或潜在损害迹象时, 信息系统会提醒 [分配: 组织定义的人员或角色]。[分配: 组织定义的受损指标]。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
SI-4(a)(b)(c) 组织:a。监控信息系统以检测: 1。符合 [分配: 组织定义的监控目标] 的潜在攻击的攻击和指标;以及 2. 未授权的本地连接、网络和远程连接;b。通过 [分配: 组织定义的技术和方法] 确定未经授权的信息系统使用;c. 部署监控设备:i. 在信息系统中通过统计方式收集组织确定的基本信息;以及 (ii) 在系统内的临时位置跟踪组织感兴趣的特定类型的事务。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
SI-4(a)(b)(c) 组织:a。监控信息系统以检测: 1。符合 [分配: 组织定义的监控目标] 的潜在攻击的攻击和指标;以及 2. 未授权的本地连接、网络和远程连接;b。通过 [分配: 组织定义的技术和方法] 确定未经授权的信息系统使用;c. 部署监控设备:i. 在信息系统中通过统计方式收集组织确定的基本信息;以及 (ii) 在系统内的临时位置跟踪组织感兴趣的特定类型的事务。

guardduty-non-archived-findings

Amazon GuardDuty 通过按严重性对结果进行分类来帮助您了解事件的影响:低、中和高。您可以使用这些分类来确定修复策略和优先级。此规则允许您根据组织的策略,选择性地为非存档调查结果设置 daysLowSev(FedRAMP 参数:180)、daysMediumSev(FedRAMP 参数:90)和 daysHighSev(FedRAMP 参数:30)。
SI-4(a)(b)(c) 组织:a。监控信息系统以检测: 1。符合 [分配: 组织定义的监控目标] 的潜在攻击的攻击和指标;以及 2. 未授权的本地连接、网络和远程连接;b。通过 [分配: 组织定义的技术和方法] 确定未经授权的信息系统使用;c. 部署监控设备:i. 在信息系统中通过统计方式收集组织确定的基本信息;以及 (ii) 在系统内的临时位置跟踪组织感兴趣的特定类型的事务。

确保在 Elastic Load Balancer (ELB) 上启用 AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 APIs 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或在您环境中消耗过多的资源。
SI-4(a)(b)(c) 组织:a。监控信息系统以检测: 1。符合 [分配: 组织定义的监控目标] 的潜在攻击的攻击和指标;以及 2. 未授权的本地连接、网络和远程连接;b。通过 [分配: 组织定义的技术和方法] 确定未经授权的信息系统使用;c. 部署监控设备:i. 在信息系统中通过统计方式收集组织确定的基本信息;以及 (ii) 在系统内的临时位置跟踪组织感兴趣的特定类型的事务。

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
SI-4(a)(b)(c) 组织:a。监控信息系统以检测: 1。符合 [分配: 组织定义的监控目标] 的潜在攻击的攻击和指标;以及 2. 未授权的本地连接、网络和远程连接;b。通过 [分配: 组织定义的技术和方法] 确定未经授权的信息系统使用;c. 部署监控设备:i. 在信息系统中通过统计方式收集组织确定的基本信息;以及 (ii) 在系统内的临时位置跟踪组织感兴趣的特定类型的事务。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SI-4(a)(b)(c) 组织:a。监控信息系统以检测: 1。符合 [分配: 组织定义的监控目标] 的潜在攻击的攻击和指标;以及 2. 未授权的本地连接、网络和远程连接;b。通过 [分配: 组织定义的技术和方法] 确定未经授权的信息系统使用;c. 部署监控设备:i. 在信息系统中通过统计方式收集组织确定的基本信息;以及 (ii) 在系统内的临时位置跟踪组织感兴趣的特定类型的事务。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
SI-4(a)(b)(c) 组织:a。监控信息系统以检测: 1。符合 [分配: 组织定义的监控目标] 的潜在攻击的攻击和指标;以及 2. 未授权的本地连接、网络和远程连接;b。通过 [分配: 组织定义的技术和方法] 确定未经授权的信息系统使用;c. 部署监控设备:i. 在信息系统中通过统计方式收集组织确定的基本信息;以及 (ii) 在系统内的临时位置跟踪组织感兴趣的特定类型的事务。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
SI-4(a)(b)(c) 组织:a。监控信息系统以检测: 1。符合 [分配: 组织定义的监控目标] 的潜在攻击的攻击和指标;以及 2. 未授权的本地连接、网络和远程连接;b。通过 [分配: 组织定义的技术和方法] 确定未经授权的信息系统使用;c. 部署监控设备:i. 在信息系统中通过统计方式收集组织确定的基本信息;以及 (ii) 在系统内的临时位置跟踪组织感兴趣的特定类型的事务。

ec2-instance-detailed-monitoring-enabled

启用此规则可帮助在 Amazon EC2 控制台上改进 Amazon Elastic Compute Cloud (Amazon EC2) 实例监控,这会以 1 分钟为间隔显示该实例的监控图表。
SI-7 组织使用完整性验证工具来检测对 [分配:组织定义的软件、固件和信息] 进行的未经授权的更改。

利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证可帮助确定日志文件在 CloudTrail 提交后是否已修改或删除或未更改。此功能是使用行业标准算法构建的: 用于哈希的 SHA-256 和用于数字签名的带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
SI-7(1) 信息系统至少每月执行一次完整性检查安全相关事件。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
SI-7(1) 信息系统至少每月执行一次完整性检查安全相关事件。

ec2-managedinstance-patch-compliance-status-check

启用此规则可帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则根据组织的策略和过程的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规性。
SI-7(1) 信息系统至少每月执行一次完整性检查安全相关事件。

利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证可帮助确定日志文件在 CloudTrail 提交后是否已修改或删除或未更改。此功能是使用行业标准算法构建的: 用于哈希的 SHA-256 和用于数字签名的带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
SI - 12 组织将根据适用的联邦法律、执行顺序、指令、策略、法规、标准和操作要求,在信息系统中处理和保留信息以及来自系统的信息输出。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制可帮助在相同的 Amazon S3 存储桶中保留对象的多个变体。使用版本控制可保留、检索和还原 Amazon S3 存储桶中存储的每个对象的每个版本。版本控制可帮助您轻松从意外用户操作和应用程序故障中恢复。
SI - 12 组织将根据适用的联邦法律、执行顺序、指令、策略、法规、标准和操作要求,在信息系统中处理和保留信息以及来自系统的信息输出。

db-instance-backup-enabled

Amazon RDS 的备份功能创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,备份整个数据库实例。系统允许您设置特定的保留期以满足您的弹性要求。
SI - 12 组织将根据适用的联邦法律、执行顺序、指令、策略、法规、标准和操作要求,在信息系统中处理和保留信息以及来自系统的信息输出。

dynamodb-pitr-enabled

启用此规则可检查是否已备份信息。它还通过确保在 Amazon DynamoDB 中启用时间点恢复来维护备份。 该恢复将保留过去 35 天的表连续备份。
SI - 12 组织将根据适用的联邦法律、执行顺序、指令、策略、法规、标准和操作要求,在信息系统中处理和保留信息以及来自系统的信息输出。

elasticache-redis-cluster-automatic-backup-check

在启用自动备份时,Amazon ElastiCache 每天为集群创建备份。该备份可以保留您组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,以从最新的备份还原数据。
SI - 12 组织将根据适用的联邦法律、执行顺序、指令、策略、法规、标准和操作要求,在信息系统中处理和保留信息以及来自系统的信息输出。

rds-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
SI - 12 组织将根据适用的联邦法律、执行顺序、指令、策略、法规、标准和操作要求,在信息系统中处理和保留信息以及来自系统的信息输出。

ebs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
SI - 12 组织将根据适用的联邦法律、执行顺序、指令、策略、法规、标准和操作要求,在信息系统中处理和保留信息以及来自系统的信息输出。

efs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic File System (Amazon EFS) 文件系统是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
SI - 12 组织将根据适用的联邦法律、执行顺序、指令、策略、法规、标准和操作要求,在信息系统中处理和保留信息以及来自系统的信息输出。

dynamodb-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon DynamoDB 表是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
SI - 12 组织将根据适用的联邦法律、执行顺序、指令、策略、法规、标准和操作要求,在信息系统中处理和保留信息以及来自系统的信息输出。

cw-loggroup-retention-period-check

确保为您的日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。缺少可用的过去事件日志数据使得难以重建和识别潜在的恶意事件。此规则允许您根据组织的策略的要求选择性地设置 MinRetentionTime(FedRAMP 参数:90)。

Template

该模板在 GitHub 上可用: (中)FedRAMP 的 操作最佳实践。