适用于 NBC TRMG 的运营最佳实践 - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 NBC TRMG 的运营最佳实践

一致性包提供了通用的合规性框架,旨在使您能够使用托管或自定义 AWS Config 规则以及 AWS Config 修正操作来创建安全、操作或成本优化监管检查。作为示例模板的一致性包并非旨在完全确保符合特定监管或合规性标准。您有责任评估您对服务的使用是否符合适用的法律法规要求。

下面提供了美国国家调查银行 (NBC) 技术风险管理 (TRM) 准则框架和 AWS 托管 Config 规则之间的示例映射。每个 Config 规则适用于特定的 AWS 资源,并且与一个或多个 NBC TRM 指南相关。一个 NBC TRM 指南可以与多个 Config 规则相关。有关与这些映射相关的更多详细信息和指导,请参阅下表。

此示例一致性包模板包含在 国家 CAurator 银行 (NBC) 技术风险管理 (TRM) 准则框架中映射到控件的映射,可在此处访问这些框架: 巴基斯坦国家银行: 技术风险管理指南

AWS 区域: 所有支持的 AWS 区域(中东(巴林) 除外)

控制 ID 控制描述 AWS Config 规则 指南
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统性过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统性过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统化过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统化过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。有关捕获的数据的详细信息,请参阅 AWS CloudTrail 记录内容中。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统性过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统性过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统化过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统化过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统化过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

lambda-dlq-check

启用此规则可帮助您在函数失败时通过 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知相应的人员。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统性过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将所有 AWS 区域中的日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统性过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统化过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统化过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统性过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

cw-loggroup-retention-period-check

确保为您的日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。缺少可用的过去事件日志数据使得难以重建和识别潜在的恶意事件。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统化过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统性过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统化过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置一个值。实际值应反映您的组织的策略。
3.1.1(d) d) 需要考虑的重要控件包括: - 应用和授权创建用户 IDs 和访问控制矩阵的系统化过程 - 执行风险评估并基于相同内容授予访问权限。- 实施基于角色的访问控制,旨在确保有效划分责任 - 更改系统的默认用户名和/或密码,并禁止共享通用账户的用户 ID 和密码 - 只要角色或责任发生了变化,就会删除有关停止工作/合同的访问权利 - 处理 及时向 通知有关用户添加的信息安全功能。 删除和角色更改 – 用户的定期协调 IDs 系统和需要访问和删除任何不必要的 IDs, (如果有) - 审核, 日志记录和监控所有用户对 IT 资产的访问 - 考虑停用用户 IDs 长时间离开的关键应用程序用户

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果标识了这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能会违反最小权限原则。此规则要求您将值设置为 maxCredentialUsageAge(配置默认值:90)。实际值应反映您组织的策略。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

access-keys-rotated

通过确保根据组织策略轮换 IAM 访问密钥,审核已授权设备、用户和流程的凭证。定期更改访问密钥是一种安全最佳实践。它缩短了访问密钥处于活动状态的期间,并减小密钥泄露时对业务的影响。此规则需要访问密钥轮换值(配置默认值:90)。实际值应反映您组织的策略。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

由于敏感数据可以存在并有助于保护静态数据,因此请确保已为您的 Amazon Elastic File System (EFS) 启用加密。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

由于敏感型数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

为了帮助保护静态数据,请确保已为您的 Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。由于敏感数据可存在于这些卷中,因此启用静态加密以帮助保护这些数据。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

rds-snapshot-encrypted

确保为您的 Amazon Relational Database Service (Amazon RDS) 快照启用了加密。由于敏感数据可以存在,请启用静态加密以帮助保护该数据。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们满足或超过 NIST SP 800-63 和 Centers for Internet Security (CIS) AWS Foundations 基准密码强度要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您的组织的策略。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您融入有关访问权限和授权的最小特权和责任拆分原则,从而限制策略包含“效果”: “Allow”,在“Resource”上显示“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果标识了这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能会违反最小权限原则。此规则要求您将值设置为 maxCredentialUsageAge(配置默认值:90)。实际值应反映您组织的策略。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止未经授权的用户访问敏感数据。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了额外的保护层。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了额外的保护层。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。有关捕获的数据的详细信息,请参阅 AWS CloudTrail 记录内容中。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将所有 AWS 区域中的日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

cw-loggroup-retention-period-check

确保为您的日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。缺少可用的过去事件日志数据使得难以重建和识别潜在的恶意事件。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
3.1.1(h) h) 执行关键操作的系统管理员、安全人员、编程人员和人员不能始终由于其工作职能和特权访问而对其维护或运营的财务系统造成严重损坏。具有提升的系统访问权限的人员应紧密地指导他们记录所有系统活动,因为它们具有内部知识和用于绕过系统控制和安全过程的资源。下面枚举了一些控制和安全实践: – 为特权用户实施双重身份验证 – 使特权用户对远程访问具有强控制 – 限制特权用户数 – 根据“有需要:有”或“有需要:有,有需要”授予特权访问权限” – 确保特权用户无法访问其活动所捕获到的系统日志中的系统活动审核日志记录 – 执行定期管理日志 禁止共享特权 IDs 及其访问代码 – 禁止供应商和承包商在不密切监督和监控的情况下获得对系统的特权访问权限,并防止备份数据免受未经授权的访问

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您的组织的策略。
3.1.2(a) a) BFI 应在其 IT 基础设施的关键节点安装网络安全设备(如防火墙、反病毒/防恶意软件软件以及入侵检测和防护系统),以保护网络外围。

确保在 Elastic Load Balancer (ELB) 上启用 AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 APIs 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或在您环境中消耗过多的资源。
3.1.2(a) a) BFI 应在其 IT 基础设施的关键节点安装网络安全设备(如防火墙、反病毒/防恶意软件软件以及入侵检测和防护系统),以保护网络外围。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

通过确保 AWS ACM 颁发 X509 证书,确保网络完整性。这些证书必须是有效证书,并且不会过期。此规则需要 daysToExpiration 的值(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

由于敏感数据可以存在并有助于保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息将显示在 AWS CloudTrail 记录内容中。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

lambda-dlq-check

启用此规则可帮助您在函数失败时通过 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知相应的人员。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则 CloudTrail 会将日志文件从所有 AWS 区域传输到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您的组织的策略。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

internet-gateway-authorized-vpc-only

通过确保 Internet 网关仅附加到授权 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。使用此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,并且这些账户需要原则和访问控制。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

restricted-common-ports

通过确保通用端口在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上受限,在 AWS 云中管理对资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您的组织的策略。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据对未经授权的远程用户安全。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您的组织的策略。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
3.1.2(c) c) 应实施控制以确保网络中的信息安全以及连接服务免受不必要访问的保护。特别是,应考虑以下项目: - 应建立网络设备管理的责任和过程 - 应适当将网络的操作责任与计算机操作分离开 - 应建立特殊控制以保护通过公共网络或无线网络传递的数据的机密性和完整性,并保护连接的系统和应用程序(在连接到不受信任的系统/网络时包括网络加密协议)。- 应应用适当的日志记录和监控,以便对可能影响或与信息安全相关的操作进行记录和检测 - 管理活动应紧密协调,从而在组织的服务中实施,并确保在信息处理基础设施中一致地应用控制 - 应对网络中的系统系统进行身份验证,并且应限制与网络不受信任的系统连接

vpc-sg-open-only-to-authorized-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

通过确保 AWS ACM 颁发 X509 证书,确保网络完整性。这些证书必须是有效证书,并且不会过期。此规则需要 daysToExpiration 的值(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您融入有关访问权限和授权的最小特权和责任拆分原则,从而限制策略包含“效果”: “Allow”,在“Resource”上显示“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需更多的权限可能会违反最小权限原则和职责共担原则。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们满足或超过 NIST SP 800-63 和 Centers for Internet Security (CIS) AWS Foundations 基准密码强度要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您的组织的策略。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止未经授权的用户访问敏感数据。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了额外的保护层。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了额外的保护层。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

由于敏感数据可以存在并有助于保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.2(e) e) 网络服务的范围可以从简单的非托管带宽到复杂的服务,如 VPN、基于 IP 的语音、VSAT 等。网络服务的安全功能应为: - 为网络服务安全而应用的技术,例如身份验证、加密和网络连接控制 - 根据安全连接网络服务所需的技术参数,以及网络服务使用的过程,以限制对网络服务或应用程序的访问(如有必要)

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.3(e) e) 使用加密来保护远程访问设备和机构之间的通信通道,以限制与网络欺骗相关的风险。

通过确保 AWS ACM 颁发 X509 证书,确保网络完整性。这些证书必须是有效证书,并且不会过期。此规则需要 daysToExpiration 的值(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
3.1.3(e) e) 使用加密来保护远程访问设备和机构之间的通信通道,以限制与网络欺骗相关的风险。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.3(e) e) 使用加密来保护远程访问设备和机构之间的通信通道,以限制与网络欺骗相关的风险。

由于敏感数据可以存在并有助于保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
3.1.3(e) e) 使用加密来保护远程访问设备和机构之间的通信通道,以限制与网络欺骗相关的风险。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.3(e) e) 使用加密来保护远程访问设备和机构之间的通信通道,以限制与网络欺骗相关的风险。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.3(e) e) 使用加密来保护远程访问设备和机构之间的通信通道,以限制与网络欺骗相关的风险。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.3(e) e) 使用加密来保护远程访问设备和机构之间的通信通道,以限制与网络欺骗相关的风险。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.3(e) e) 使用加密来保护远程访问设备和机构之间的通信通道,以限制与网络欺骗相关的风险。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问该机构内的网络区域和应用程序。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的弹性网络区域和应用程序。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的弹性网络区域和应用程序。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的弹性网络区域和应用程序。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制对专门的网络区域和机构内的应用程序的远程访问。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的弹性网络区域和应用程序。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的弹性网络区域和应用程序。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问该机构内的弹性网络区域和应用程序。

internet-gateway-authorized-vpc-only

通过确保 Internet 网关仅附加到授权 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的弹性网络区域和应用程序。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制对专门的网络区域和机构内的应用程序的远程访问。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。使用此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的弹性网络区域和应用程序。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,并且这些账户需要原则和访问控制。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的弹性网络区域和应用程序。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的异常网络区域和应用程序。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的异常网络区域和应用程序。

restricted-common-ports

通过确保通用端口在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上受限,在 AWS 云中管理对资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您的组织的策略。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制对专门的网络区域和机构内的应用程序的远程访问。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据对未经授权的远程用户安全。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您的组织的策略。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的网络区域和应用程序。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的弹性网络区域和应用程序。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制远程访问机构内的弹性网络区域和应用程序。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制对专门的网络区域和机构内的应用程序的远程访问。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
3.1.3(f) f) 使用基于 TCP/IP Internet 的远程访问时,组织需要通过 Internet 建立虚拟专用网络,以通过此公有基础设施安全地传输数据包。此外,VLANs 的网络分段,用于限制对专门的网络区域和机构内的应用程序的远程访问。

vpc-sg-open-only-to-authorized-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将日志文件从所有 AWS 区域传输到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

cw-loggroup-retention-period-check

确保为您的日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。缺少可用的过去事件日志数据使得难以重建和识别潜在的恶意事件。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
3.1.3(g) g) 维护用于远程访问通信的日志。日志应包括所有远程访问的日期、时间、用户、用户位置、持续时间和用途,包括通过远程访问执行的所有活动

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您的组织的策略。
3.1.3(i) i) 实施用于远程访问的双重身份验证流程(例如,带有一次性随机密码生成器的基于 PIN 的令牌,或基于令牌的 PKI)

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
3.1.3(i) i) 实施用于远程访问的双重身份验证流程(例如,带有一次性随机密码生成器的基于 PIN 的令牌,或基于令牌的 PKI)

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止未经授权的用户访问敏感数据。
3.1.3(i) i) 实施用于远程访问的双重身份验证流程(例如,带有一次性随机密码生成器的基于 PIN 的令牌,或基于令牌的 PKI)

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了额外的保护层。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
3.1.3(i) i) 实施用于远程访问的双重身份验证流程(例如,带有一次性随机密码生成器的基于 PIN 的令牌,或基于令牌的 PKI)

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了额外的保护层。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
3.1.4(c) (e) c) 补丁管理过程应包括以下方面: - 确定获取和验证补丁的方法以确保补丁来自机制源 - 确定适用于组织所用应用程序和系统的漏洞 - 评估实施补丁对业务的影响(或不实施特定的补丁) - 确保测试补丁 - 描述部署补丁的方法。 例如,自动 - 报告整个组织的补丁部署的状态并包括用于处理失败的补丁部署的方法 (例如 重新部署补丁)。 环) BFIs 应为提供此类工具并为其安全的所有系统部署自动化补丁管理工具和软件更新工具

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
3.1.4(c) (e) c) 补丁管理过程应包括以下方面: - 确定获取和验证补丁的方法以确保补丁来自机制源 - 确定适用于组织所用应用程序和系统的漏洞 - 评估实施补丁对业务的影响(或不实施特定的补丁) - 确保测试补丁 - 描述部署补丁的方法。 例如,自动 - 报告整个组织的补丁部署的状态并包括用于处理失败的补丁部署的方法 (例如 重新部署补丁)。 环) BFIs 应为提供此类工具并为其安全的所有系统部署自动化补丁管理工具和软件更新工具

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
3.1.4(c) (e) c) 补丁管理过程应包括以下方面: - 确定获取和验证补丁的方法以确保补丁来自机制源 - 确定适用于组织所用应用程序和系统的漏洞 - 评估实施补丁对业务的影响(或不实施特定的补丁) - 确保测试补丁 - 描述部署补丁的方法。 例如,自动 - 报告整个组织的补丁部署的状态并包括用于处理失败的补丁部署的方法 (例如 重新部署补丁)。 环) BFIs 应为提供此类工具并为其安全的所有系统部署自动化补丁管理工具和软件更新工具

ec2-managedinstance-patch-compliance-status-check

启用此规则可帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则根据组织的策略和过程的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规性。
3.1.5(d) d) 适当的密钥管理需要用于生成、存储、存档、检索、分发、停用和销毁加密密钥的安全过程 e) 保护所有加密密钥,以防修改和丢失。此外,私有密钥和私有密钥需要防止未经授权的使用和泄露。用于生成、存储和存档密钥的设备应受到物理保护

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保未计划在 AWS Key Management Service (AWS KMS) 中删除必要的客户主密钥 (CMK)。由于密钥删除有时是必需的,此规则可以帮助检查计划删除的所有密钥,以防意外计划了密钥。
3.1.5(d) d) 适当的密钥管理需要用于生成、存储、存档、检索、分发、停用和销毁加密密钥的安全过程 e) 保护所有加密密钥,以防修改和丢失。此外,私有密钥和私有密钥需要防止未经授权的使用和泄露。用于生成、存储和存档密钥的设备应受到物理保护

启用密钥轮换,以确保在到达加密期限时轮换密钥。
3.1.5(f) f) 密钥管理系统应基于一组商定的标准, 过程和安全方法: 为不同的加密系统和不同的应用程序生成密钥 - 颁发和获取公有密钥证书 - 将密钥分配给目标实体。 包括在收到密钥时应如何激活 - 存储密钥, 包括使用户如何获取对密钥的访问权限 - 更改或更新密钥,包括有关何时应更改密钥以及如何执行此操作的规则 - 处理遭盗用的密钥 - 撤消密钥,包括应如何提取或停用密钥。 例如,当密钥已遭盗用或用户离开组织(在此情况下,密钥也应存档)时 - 恢复丢失或损坏的密钥 - 备份或存档密钥 - 销毁密钥。 和 - 密钥管理相关活动的日志记录和审核。

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保未计划在 AWS Key Management Service (AWS KMS) 中删除必要的客户主密钥 (CMK)。由于密钥删除有时是必需的,此规则可以帮助检查计划删除的所有密钥,以防意外计划了密钥。
3.1.5(f) f) 密钥管理系统应基于一组商定的标准, 过程和安全方法: 为不同的加密系统和不同的应用程序生成密钥 - 颁发和获取公有密钥证书 - 将密钥分配给目标实体。 包括在收到密钥时应如何激活 - 存储密钥, 包括使用户如何获取对密钥的访问权限 - 更改或更新密钥,包括有关何时应更改密钥以及如何执行此操作的规则 - 处理遭盗用的密钥 - 撤消密钥,包括应如何提取或停用密钥。 例如,当密钥已遭盗用或用户离开组织(在此情况下,密钥也应存档)时 - 恢复丢失或损坏的密钥 - 备份或存档密钥 - 销毁密钥。 和 - 密钥管理相关活动的日志记录和审核。

启用密钥轮换,以确保在到达加密期限时轮换密钥。
3.1.5(f) f) 密钥管理系统应基于一组商定的标准, 过程和安全方法: 为不同的加密系统和不同的应用程序生成密钥 - 颁发和获取公有密钥证书 - 将密钥分配给目标实体。 包括在收到密钥时应如何激活 - 存储密钥, 包括使用户如何获取对密钥的访问权限 - 更改或更新密钥,包括有关何时应更改密钥以及如何执行此操作的规则 - 处理遭盗用的密钥 - 撤消密钥,包括应如何提取或停用密钥。 例如,当密钥已遭盗用或用户离开组织(在此情况下,密钥也应存档)时 - 恢复丢失或损坏的密钥 - 备份或存档密钥 - 销毁密钥。 和 - 密钥管理相关活动的日志记录和审核。

通过确保 AWS ACM 颁发 X509 证书,确保网络完整性。这些证书必须是有效证书,并且不会过期。此规则需要 daysToExpiration 的值(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
3.1.5(f) f) 密钥管理系统应基于一组商定的标准, 过程和安全方法: 为不同的加密系统和不同的应用程序生成密钥 - 颁发和获取公有密钥证书 - 将密钥分配给目标实体。 包括在收到密钥时应如何激活 - 存储密钥, 包括使用户如何获取对密钥的访问权限 - 更改或更新密钥,包括有关何时应更改密钥以及如何执行此操作的规则 - 处理遭盗用的密钥 - 撤消密钥,包括应如何提取或停用密钥。 例如,当密钥已遭盗用或用户离开组织(在此情况下,密钥也应存档)时 - 恢复丢失或损坏的密钥 - 备份或存档密钥 - 销毁密钥。 和 - 密钥管理相关活动的日志记录和审核。

由于敏感数据可以存在并有助于保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
3.1.5(f) f) 密钥管理系统应基于一组商定的标准, 过程和安全方法: 为不同的加密系统和不同的应用程序生成密钥 - 颁发和获取公有密钥证书 - 将密钥分配给目标实体。 包括在收到密钥时应如何激活 - 存储密钥, 包括使用户如何获取对密钥的访问权限 - 更改或更新密钥,包括有关何时应更改密钥以及如何执行此操作的规则 - 处理遭盗用的密钥 - 撤消密钥,包括应如何提取或停用密钥。 例如,当密钥已遭盗用或用户离开组织(在此情况下,密钥也应存档)时 - 恢复丢失或损坏的密钥 - 备份或存档密钥 - 销毁密钥。 和 - 密钥管理相关活动的日志记录和审核。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
3.1.5(f) f) 密钥管理系统应基于一组商定的标准, 过程和安全方法: 为不同的加密系统和不同的应用程序生成密钥 - 颁发和获取公有密钥证书 - 将密钥分配给目标实体。 包括在收到密钥时应如何激活 - 存储密钥, 包括使用户如何获取对密钥的访问权限 - 更改或更新密钥,包括有关何时应更改密钥以及如何执行此操作的规则 - 处理遭盗用的密钥 - 撤消密钥,包括应如何提取或停用密钥。 例如,当密钥已遭盗用或用户离开组织(在此情况下,密钥也应存档)时 - 恢复丢失或损坏的密钥 - 备份或存档密钥 - 销毁密钥。 和 - 密钥管理相关活动的日志记录和审核。

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则 CloudTrail 会将日志文件从所有 AWS 区域传输到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
3.1.6(a) a) BFI 应部署自动化工具和手动技术的组合,以定期执行全面的 VA。对于基于 Web 的外部系统,VA 的范围应包含常见的 Web 漏洞,例如 SQL 注入和跨站点脚本。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
3.1.6(a) a) BFI 应部署自动化工具和手动技术的组合,以定期执行全面的 VA。对于基于 Web 的外部系统,VA 的范围应包含常见的 Web 漏洞,例如 SQL 注入和跨站点脚本。

确保在 Elastic Load Balancer (ELB) 上启用 AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 APIs 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或在您环境中消耗过多的资源。
3.1.6(f) f) 安全函数应为每个部门/部门提供有关未发出的关键漏洞的数量的状态更新,并计划定期向高级管理提供缓解措施

guardduty-non-archived-findings

Amazon GuardDuty 通过按严重性对结果进行分类(低、中和高)来帮助您了解事件的影响。您可以使用这些分类来确定修复策略和优先级。此规则允许您根据组织的策略,选择性地为非存档调查结果设置 daysLowSev(配置默认值:30)、daysMediumSev(配置默认值:7)和 daysHighSev(配置默认值:1)。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

由于敏感数据可能存在并有助于保护静态数据,因此请确保为您的 AWS CloudTrail 跟踪启用加密。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

为了帮助保护静态敏感数据,请确保已为您的 Amazon CloudWatch 日志组启用加密。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

由于敏感数据可以存在并有助于保护静态数据,因此请确保已为您的 Amazon Elastic File System (EFS) 启用加密。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

由于敏感数据可以存在并有助于保护静态数据,请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

由于敏感型数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

为了帮助保护静态数据,请确保已为您的 Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您的组织的策略。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

为了帮助保护静态数据,请确保为您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可存在于 Amazon S3 存储桶中,因此,请启用加密以帮助保护该数据。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

sagemaker-endpoint-configuration-kms-key-configured

为了帮助保护静态数据,请确保为您的 SageMaker 终端节点启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可存在于 SageMaker 终端节点中,因此启用静态加密以帮助保护该数据。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

为了帮助保护静态数据,请确保为您的 SageMaker 笔记本启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可存在于 SageMaker 笔记本中,请启用静态加密以帮助保护该数据。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

sns-encrypted-kms

为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于敏感数据可存在于发布的消息中,因此启用静态加密以帮助保护该数据。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。由于敏感数据可存在于这些卷中,因此启用静态加密以帮助保护这些数据。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

rds-snapshot-encrypted

确保为您的 Amazon Relational Database Service (Amazon RDS) 快照启用了加密。由于敏感数据可以存在,请启用静态加密以帮助保护该数据。
3.1.10(b) b) 敏感信息(例如系统文档、应用程序源代码和生产事务数据)应具有更广泛的控制以防止更改(例如,完整性检查程序、加密哈希)。此外,策略应最大程度地减少敏感信息的分布,包括包含信息的打印输出。

s3-default-encryption-kms

为了帮助保护静态数据,请确保已为您的 S3 存储桶启用加密。由于敏感数据可存在于 Amazon S3 存储桶中,请启用静态加密以帮助保护这些数据。有关加密过程和管理的更多信息,请使用 AWS Key Management Service (AWS KMS) 客户管理的 CMKs。
3.2.1(h) h) 为了最大限度降低与更改关联的风险,BFIs 应在更改前执行受影响的系统或应用程序的备份。BFIs 应制定回滚计划,以便在部署期间或之后遇到问题时恢复到以前版本的系统或应用程序。

db-instance-backup-enabled

Amazon RDS 的备份功能创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,备份整个数据库实例。系统允许您设置特定的保留期以满足您的弹性要求。
3.2.1(h) h) 为了最大限度降低与更改关联的风险,BFIs 应在更改前执行受影响的系统或应用程序的备份。BFIs 应制定回滚计划,以便在部署期间或之后遇到问题时恢复到以前版本的系统或应用程序。

dynamodb-pitr-enabled

启用此规则可检查是否已备份信息。它还通过确保在 Amazon DynamoDB 中启用时间点恢复来维护备份。 该恢复将保留过去 35 天的表连续备份。
3.2.1(h) h) 为了最大限度降低与更改关联的风险,BFIs 应在更改前执行受影响的系统或应用程序的备份。BFIs 应制定回滚计划,以便在部署期间或之后遇到问题时恢复到以前版本的系统或应用程序。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) 中的优化实例为 Amazon EBS I/O 操作提供额外的专用容量。这种优化通过最大限度减少 Amazon EBS I/O 操作与来自实例的其他流量之间的争用,为您的 EBS 卷提供最有效的性能。
3.2.1(h) h) 为了最大限度降低与更改关联的风险,BFIs 应在更改前执行受影响的系统或应用程序的备份。BFIs 应制定回滚计划,以便在部署期间或之后遇到问题时恢复到以前版本的系统或应用程序。

elasticache-redis-cluster-automatic-backup-check

在启用自动备份时,Amazon ElastiCache 每天为集群创建备份。该备份可以保留您组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,以从最新的备份还原数据。
3.2.1(h) h) 为了最大限度降低与更改关联的风险,BFIs 应在更改前执行受影响的系统或应用程序的备份。BFIs 应制定回滚计划,以便在部署期间或之后遇到问题时恢复到以前版本的系统或应用程序。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保维护数据可用性。
3.2.1(h) h) 为了最大限度降低与更改关联的风险,BFIs 应在更改前执行受影响的系统或应用程序的备份。BFIs 应制定回滚计划,以便在部署期间或之后遇到问题时恢复到以前版本的系统或应用程序。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制可帮助在相同的 Amazon S3 存储桶中保留对象的多个变体。使用版本控制可保留、检索和还原 Amazon S3 存储桶中存储的每个对象的每个版本。版本控制可帮助您轻松从意外用户操作和应用程序故障中恢复。
3.2.1(h) h) 为了最大限度降低与更改关联的风险,BFIs 应在更改前执行受影响的系统或应用程序的备份。BFIs 应制定回滚计划,以便在部署期间或之后遇到问题时恢复到以前版本的系统或应用程序。

dynamodb-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon DynamoDB 表是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.2.1(h) h) 为了最大限度降低与更改关联的风险,BFIs 应在更改前执行受影响的系统或应用程序的备份。BFIs 应制定回滚计划,以便在部署期间或之后遇到问题时恢复到以前版本的系统或应用程序。

ebs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.2.1(h) h) 为了最大限度降低与更改关联的风险,BFIs 应在更改前执行受影响的系统或应用程序的备份。BFIs 应制定回滚计划,以便在部署期间或之后遇到问题时恢复到以前版本的系统或应用程序。

efs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic File System (Amazon EFS) 文件系统是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.2.1(h) h) 为了最大限度降低与更改关联的风险,BFIs 应在更改前执行受影响的系统或应用程序的备份。BFIs 应制定回滚计划,以便在部署期间或之后遇到问题时恢复到以前版本的系统或应用程序。

rds-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中 API 调用活动的详细信息。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将所有 AWS 区域中的日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

cw-loggroup-retention-period-check

确保为您的日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。缺少可用的过去事件日志数据使得难以重建和识别潜在的恶意事件。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
3.2.1(k) k) 审计和安全日志是有助于调查和故障排除的有用信息。BFI 应确保启用日志记录工具来记录迁移过程中执行的活动。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您的组织的策略。
3.3.2(a) a) 需要考虑的主要方面包括: - 完成性 – 确保将源数据库中的记录总数传输到新数据库 (假设字段数相同)。- 数据备份的可用性 - 确保数据在迁移前已备份以供未来参考或数据迁移过程中可能出现的任何状况。- 数据的完整性 – 确保数据在迁移过程中不会手动或电子更改。如果存在此类需求,则应具有已记录计划,以验证更改的数据集的前值和后值。- 数据的一致性 – 从新应用程序调用的字段/记录应与原始应用程序和“连续性”的一致,新应用程序应能够继续处理较新的记录(或附加)并有助于确保无缝的业务连续性

db-instance-backup-enabled

Amazon RDS 的备份功能创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,备份整个数据库实例。系统允许您设置特定的保留期以满足您的弹性要求。
3.2.2(a) a) 需要考虑的主要方面包括: - 完成性 – 确保将源数据库中的记录总数传输到新数据库 (假设字段数相同)。- 数据备份的可用性 - 确保数据在迁移前已备份以供未来参考或数据迁移过程中可能出现的任何状况。- 数据的完整性 – 确保数据在迁移过程中不会手动或电子更改。如果存在此类需求,则应具有已记录计划,以验证更改的数据集的前值和后值。- 数据的一致性 – 从新应用程序调用的字段/记录应与原始应用程序和“连续性”的一致,新应用程序应能够继续处理较新的记录(或附加)并有助于确保无缝的业务连续性

dynamodb-pitr-enabled

启用此规则可检查是否已备份信息。它还通过确保在 Amazon DynamoDB 中启用时间点恢复来维护备份。 该恢复将保留过去 35 天的表连续备份。
3.2.2(a) a) 需要考虑的主要方面包括: - 完成性 – 确保将源数据库中的记录总数传输到新数据库 (假设字段数相同)。- 数据备份的可用性 - 确保数据在迁移前已备份以供未来参考或数据迁移过程中可能出现的任何状况。- 数据的完整性 – 确保数据在迁移过程中不会手动或电子更改。如果存在此类需求,则应具有已记录计划,以验证更改的数据集的前值和后值。- 数据的一致性 – 从新应用程序调用的字段/记录应与原始应用程序和“连续性”的一致,新应用程序应能够继续处理较新的记录(或附加)并有助于确保无缝的业务连续性

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) 中的优化实例为 Amazon EBS I/O 操作提供额外的专用容量。这种优化通过最大限度减少 Amazon EBS I/O 操作与来自实例的其他流量之间的争用,为您的 EBS 卷提供最有效的性能。
3.2.2(a) a) 需要考虑的主要方面包括: - 完成性 – 确保将源数据库中的记录总数传输到新数据库 (假设字段数相同)。- 数据备份的可用性 - 确保数据在迁移前已备份以供未来参考或数据迁移过程中可能出现的任何状况。- 数据的完整性 – 确保数据在迁移过程中不会手动或电子更改。如果存在此类需求,则应具有已记录计划,以验证更改的数据集的前值和后值。- 数据的一致性 – 从新应用程序调用的字段/记录应与原始应用程序和“连续性”的一致,新应用程序应能够继续处理较新的记录(或附加)并有助于确保无缝的业务连续性

elasticache-redis-cluster-automatic-backup-check

在启用自动备份时,Amazon ElastiCache 每天为集群创建备份。该备份可以保留您组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,以从最新的备份还原数据。
3.2.2(a) a) 需要考虑的主要方面包括: - 完成性 – 确保将源数据库中的记录总数传输到新数据库 (假设字段数相同)。- 数据备份的可用性 - 确保数据在迁移前已备份以供未来参考或数据迁移过程中可能出现的任何状况。- 数据的完整性 – 确保数据在迁移过程中不会手动或电子更改。如果存在此类需求,则应具有已记录计划,以验证更改的数据集的前值和后值。- 数据的一致性 – 从新应用程序调用的字段/记录应与原始应用程序和“连续性”的一致,新应用程序应能够继续处理较新的记录(或附加)并有助于确保无缝的业务连续性

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保维护数据可用性。
3.2.2(a) a) 需要考虑的主要方面包括: - 完成性 – 确保将源数据库中的记录总数传输到新数据库 (假设字段数相同)。- 数据备份的可用性 - 确保数据在迁移前已备份以供未来参考或数据迁移过程中可能出现的任何状况。- 数据的完整性 – 确保数据在迁移过程中不会手动或电子更改。如果存在此类需求,则应具有已记录计划,以验证更改的数据集的前值和后值。- 数据的一致性 – 从新应用程序调用的字段/记录应与原始应用程序和“连续性”的一致,新应用程序应能够继续处理较新的记录(或附加)并有助于确保无缝的业务连续性

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制可帮助在相同的 Amazon S3 存储桶中保留对象的多个变体。使用版本控制可保留、检索和还原 Amazon S3 存储桶中存储的每个对象的每个版本。版本控制可帮助您轻松从意外用户操作和应用程序故障中恢复。
3.2.2(a) a) 需要考虑的主要方面包括: - 完成性 – 确保将源数据库中的记录总数传输到新数据库 (假设字段数相同)。- 数据备份的可用性 - 确保数据在迁移前已备份以供未来参考或数据迁移过程中可能出现的任何状况。- 数据的完整性 – 确保数据在迁移过程中不会手动或电子更改。如果存在此类需求,则应具有已记录计划,以验证更改的数据集的前值和后值。- 数据的一致性 – 从新应用程序调用的字段/记录应与原始应用程序和“连续性”的一致,新应用程序应能够继续处理较新的记录(或附加)并有助于确保无缝的业务连续性

dynamodb-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon DynamoDB 表是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.2.2(a) a) 需要考虑的主要方面包括: - 完成性 – 确保将源数据库中的记录总数传输到新数据库 (假设字段数相同)。- 数据备份的可用性 - 确保数据在迁移前已备份以供未来参考或数据迁移过程中可能出现的任何状况。- 数据的完整性 – 确保数据在迁移过程中不会手动或电子更改。如果存在此类需求,则应具有已记录计划,以验证更改的数据集的前值和后值。- 数据的一致性 – 从新应用程序调用的字段/记录应与原始应用程序和“连续性”的一致,新应用程序应能够继续处理较新的记录(或附加)并有助于确保无缝的业务连续性

ebs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.2.2(a) a) 需要考虑的主要方面包括: - 完成性 – 确保将源数据库中的记录总数传输到新数据库 (假设字段数相同)。- 数据备份的可用性 - 确保数据在迁移前已备份以供未来参考或数据迁移过程中可能出现的任何状况。- 数据的完整性 – 确保数据在迁移过程中不会手动或电子更改。如果存在此类需求,则应具有已记录计划,以验证更改的数据集的前值和后值。- 数据的一致性 – 从新应用程序调用的字段/记录应与原始应用程序和“连续性”的一致,新应用程序应能够继续处理较新的记录(或附加)并有助于确保无缝的业务连续性

efs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic File System (Amazon EFS) 文件系统是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.2.2(a) a) 需要考虑的主要方面包括: - 完成性 – 确保将源数据库中的记录总数传输到新数据库 (假设字段数相同)。- 数据备份的可用性 - 确保数据在迁移前已备份以供未来参考或数据迁移过程中可能出现的任何状况。- 数据的完整性 – 确保数据在迁移过程中不会手动或电子更改。如果存在此类需求,则应具有已记录计划,以验证更改的数据集的前值和后值。- 数据的一致性 – 从新应用程序调用的字段/记录应与原始应用程序和“连续性”的一致,新应用程序应能够继续处理较新的记录(或附加)并有助于确保无缝的业务连续性

rds-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.2.2(a) a) 开发和实施防止、检测、分析和响应信息安全事件的过程。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
3.2.2(a) a) 开发和实施防止、检测、分析和响应信息安全事件的过程。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
3.3.1 (a) a) 在系统设计中,请考虑与保持较高的系统可用性、足够的容量、可靠的性能、快速响应时间、可扩展性相关的重要因素。

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling 使用 AWS Application Auto Scaling 服务调整预置的吞吐容量,以自动响应实际的流量模式。这使表或全局二级索引能够增加其预置读/写容量以处理突增流量,而不进行限制。
3.3.1 (a) a) 在系统设计中,请考虑与保持较高的系统可用性、足够的容量、可靠的性能、快速响应时间、可扩展性相关的重要因素。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) 中的优化实例为 Amazon EBS I/O 操作提供额外的专用容量。这种优化通过最大限度减少 Amazon EBS I/O 操作与来自实例的其他流量之间的争用,为您的 EBS 卷提供最有效的性能。
3.3.1 (a) a) 在系统设计中,请考虑与保持较高的系统可用性、足够的容量、可靠的性能、快速响应时间、可扩展性相关的重要因素。

elb-deletion-protection-enabled

此规则确保 Elastic Load Balancing 已启用删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致您的应用程序的可用性降低。
3.3.1 (a) a) 在系统设计中,请考虑与保持较高的系统可用性、足够的容量、可靠的性能、快速响应时间、可扩展性相关的重要因素。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) 中的多可用区支持为数据库实例提供了更高的可用性和持久性。当您预配置多可用区数据库实例时,Amazon RDS 会自动创建一个主数据库实例,并将数据同步复制到其他可用区中的备用实例。每个可用区都在其自身独立的物理上不同的基础设施上运行,并且被设计为高度可靠。如果基础设施出现故障,Amazon RDS 会执行到备用实例的自动故障转移,以便您可以在故障转移完成后立即恢复数据库操作。
3.3.1 (a) a) 在系统设计中,请考虑与保持较高的系统可用性、足够的容量、可靠的性能、快速响应时间、可扩展性相关的重要因素。

s3-bucket-default-lock-enabled

默认情况下,确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶已启用锁定。由于敏感数据可存在于 S3 存储桶中,因此请实施静态对象锁定以帮助保护该数据。
3.3.1 (a) a) 在系统设计中,请考虑与保持较高的系统可用性、足够的容量、可靠的性能、快速响应时间、可扩展性相关的重要因素。

可以实施冗余站点到站点 VPN 隧道以实现恢复能力要求。它使用两条隧道来帮助确保连接性,以防其中一个站点到站点 VPN 连接变得不可用。为了防止连接丢失,在您的客户网关变得不可用时,您可以使用第二个客户网关设置到 Amazon Virtual Private Cloud (Amazon VPC) 和虚拟专用网关的第二个站点到站点 VPN 连接。
3.3.1 (a) a) 在系统设计中,请考虑与保持较高的系统可用性、足够的容量、可靠的性能、快速响应时间、可扩展性相关的重要因素。

elb-cross-zone-load-balancing-enabled

为您的 Elastic Load Balancer (ELB) 启用跨区域负载均衡,以帮助保持充足的容量和可用性。跨区域负载均衡可降低在每个已启用的可用区中保持相同数量的实例的需求。它还可以提高应用程序处理一个或多个实例丢失情况的能力。
3.3.1 (a) a) 在系统设计中,请考虑与保持较高的系统可用性、足够的容量、可靠的性能、快速响应时间、可扩展性相关的重要因素。

rds-instance-deletion-protection-enabled

确保 Amazon Relational Database Service (Amazon RDS) 实例已启用删除保护。使用删除保护可防止您的 Amazon RDS 实例被意外或恶意删除,这可能会导致您的应用程序的可用性降低。
3.3.1 (a) a) 在系统设计中,请考虑与保持较高的系统可用性、足够的容量、可靠的性能、快速响应时间、可扩展性相关的重要因素。

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling 组的 Elastic Load Balancer (ELB) 运行状况检查支持保持足够的容量和可用性。负载均衡器会定期发送 ping、尝试连接或发送请求以测试 Auto Scaling 组中的 Amazon EC2 实例运行状况。如果实例没有报告回,则流量将发送到新的 Amazon EC2 实例。
3.3.1 (a) a) 在系统设计中,请考虑与保持较高的系统可用性、足够的容量、可靠的性能、快速响应时间、可扩展性相关的重要因素。

dynamodb-throughput-limit-check

启用此规则可确保在 Amazon DynamoDB 表上检查预置的吞吐容量。这是每个表可支持的读/写活动量。DynamoDB 使用此信息来预留足够的系统资源,以满足吞吐量要求。此规则在吞吐量接近客户账户的最大限制时生成警报。此规则允许您选择性地设置 accountRCUThresholdPercentage(配置默认值:80)和 accountWCUThresholdPercentage(配置默认值:80)参数。实际值应反映您的组织的策略。
3.3.1 (a) a) 在系统设计中,请考虑与保持较高的系统可用性、足够的容量、可靠的性能、快速响应时间、可扩展性相关的重要因素。

lambda-concurrency-check

此规则确保 Lambda 函数的并发数量上限和下限已建立。这有助于设定您的函数在任何给定时间所服务的请求数。
3.3.1 (f) f) 安装适当的机制来备份数据,以满足通过风险评估过程确定的 RTO 恢复时间目标和 RPO 恢复点目标要求。

dynamodb-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon DynamoDB 表是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.3.1 (f) f) 安装适当的机制来备份数据,以满足通过风险评估过程确定的 RTO 恢复时间目标和 RPO 恢复点目标要求。

elasticache-redis-cluster-automatic-backup-check

在启用自动备份时,Amazon ElastiCache 每天为集群创建备份。该备份可以保留您组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,以从最新的备份还原数据。
3.3.1 (f) f) 安装适当的机制来备份数据,以满足通过风险评估过程确定的 RTO 恢复时间目标和 RPO 恢复点目标要求。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动以异步方式复制对象,以帮助确保维护数据可用性。
3.3.1 (f) f) 安装适当的机制来备份数据,以满足通过风险评估过程确定的 RTO 恢复时间目标和 RPO 恢复点目标要求。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制可帮助在相同的 Amazon S3 存储桶中保留对象的多个变体。使用版本控制可保留、检索和还原 Amazon S3 存储桶中存储的每个对象的每个版本。版本控制可帮助您轻松从意外用户操作和应用程序故障中恢复。
3.3.1 (f) f) 安装适当的机制来备份数据,以满足通过风险评估过程确定的 RTO 恢复时间目标和 RPO 恢复点目标要求。

ebs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic Block Store (Amazon EBS) 卷是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.3.1 (f) f) 安装适当的机制来备份数据,以满足通过风险评估过程确定的 RTO 恢复时间目标和 RPO 恢复点目标要求。

efs-in-backup-plan

为了帮助处理数据备份过程,请确保您的 Amazon Elastic File System (Amazon EFS) 文件系统是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.3.1 (f) f) 安装适当的机制来备份数据,以满足通过风险评估过程确定的 RTO 恢复时间目标和 RPO 恢复点目标要求。

dynamodb-pitr-enabled

启用此规则可检查是否已备份信息。它还通过确保在 Amazon DynamoDB 中启用时间点恢复来维护备份。 该恢复将保留过去 35 天的表连续备份。
3.3.1 (f) f) 安装适当的机制来备份数据,以满足通过风险评估过程确定的 RTO 恢复时间目标和 RPO 恢复点目标要求。

db-instance-backup-enabled

Amazon RDS 的备份功能创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,备份整个数据库实例。系统允许您设置特定的保留期以满足您的弹性要求。
3.3.1 (f) f) 安装适当的机制来备份数据,以满足通过风险评估过程确定的 RTO 恢复时间目标和 RPO 恢复点目标要求。

rds-in-backup-plan

为了帮助备份数据过程,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例是 AWS Backup 计划的一部分。AWS Backup 是一种具有基于策略的备份解决方案的完全托管的备份服务。此解决方案简化了备份管理,并使您能够满足业务和监管备份合规性要求。
3.4(a)(b)(c)(f)(j) a) 确保对用户访问记录进行唯一标识和记录以用于审计和审查目的。 b) 记录了非允许访问的问责和标识。 c) 对特权用户执行的系统活动启用审计日志记录。 f) 确保应用适当的日志记录和监控,以便对可能影响 的操作进行记录和检测。 或者 与 相关, 信息安全。 j) 确保事件日志记录为能够针对系统安全性生成整合报告和警报的自动监控系统奠定了基础。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
3.4(a)(b)(c)(f)(j) a) 确保对用户访问记录进行唯一标识和记录以用于审计和审查目的。 b) 记录了非允许访问的问责和标识。 c) 对特权用户执行的系统活动启用审计日志记录。 f) 确保应用适当的日志记录和监控,以便对可能影响 的操作进行记录和检测。 或者 与 相关, 信息安全。 j) 确保事件日志记录为能够针对系统安全性生成整合报告和警报的自动监控系统奠定了基础。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
3.4(a)(b)(c)(f)(j) a) 确保对用户访问记录进行唯一标识和记录以用于审计和审查目的。 b) 记录了非允许访问的问责和标识。 c) 对特权用户执行的系统活动启用审计日志记录。 f) 确保应用适当的日志记录和监控,以便对可能影响 的操作进行记录和检测。 或者 与 相关, 信息安全。 j) 确保事件日志记录为能够针对系统安全性生成整合报告和警报的自动监控系统奠定了基础。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
3.4(a)(b)(c)(f)(j) a) 确保对用户访问记录进行唯一标识和记录以用于审计和审查目的。 b) 记录了非允许访问的问责和标识。 c) 对特权用户执行的系统活动启用审计日志记录。 f) 确保应用适当的日志记录和监控,以便对可能影响 的操作进行记录和检测。 或者 与 相关, 信息安全。 j) 确保事件日志记录为能够针对系统安全性生成整合报告和警报的自动监控系统奠定了基础。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
3.4(a)(b)(c)(f)(j) a) 确保对用户访问记录进行唯一标识和记录以用于审计和审查目的。 b) 记录了非允许访问的问责和标识。 c) 对特权用户执行的系统活动启用审计日志记录。 f) 确保应用适当的日志记录和监控,以便对可能影响 的操作进行记录和检测。 或者 与 相关, 信息安全。 j) 确保事件日志记录为能够针对系统安全性生成整合报告和警报的自动监控系统奠定了基础。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
3.4(a)(b)(c)(f)(j) a) 确保对用户访问记录进行唯一标识和记录以用于审计和审查目的。 b) 记录了非允许访问的问责和标识。 c) 对特权用户执行的系统活动启用审计日志记录。 f) 确保应用适当的日志记录和监控,以便对可能影响 的操作进行记录和检测。 或者 与 相关, 信息安全。 j) 确保事件日志记录为能够针对系统安全性生成整合报告和警报的自动监控系统奠定了基础。

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将所有 AWS 区域中的日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
3.4(a)(b)(c)(f)(j) a) 确保对用户访问记录进行唯一标识和记录以用于审计和审查目的。 b) 记录了非允许访问的问责和标识。 c) 对特权用户执行的系统活动启用审计日志记录。 f) 确保应用适当的日志记录和监控,以便对可能影响 的操作进行记录和检测。 或者 与 相关, 信息安全。 j) 确保事件日志记录为能够针对系统安全性生成整合报告和警报的自动监控系统奠定了基础。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
3.4(a)(b)(c)(f)(j) a) 确保对用户访问记录进行唯一标识和记录以用于审计和审查目的。 b) 记录了非允许访问的问责和标识。 c) 对特权用户执行的系统活动启用审计日志记录。 f) 确保应用适当的日志记录和监控,以便对可能影响 的操作进行记录和检测。 或者 与 相关, 信息安全。 j) 确保事件日志记录为能够针对系统安全性生成整合报告和警报的自动监控系统奠定了基础。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
3.4(a)(b)(c)(f)(j) a) 确保对用户访问记录进行唯一标识和记录以用于审计和审查目的。 b) 记录了非允许访问的问责和标识。 c) 对特权用户执行的系统活动启用审计日志记录。 f) 确保应用适当的日志记录和监控,以便对可能影响 的操作进行记录和检测。 或者 与 相关, 信息安全。 j) 确保事件日志记录为能够针对系统安全性生成整合报告和警报的自动监控系统奠定了基础。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
3.4(a)(b)(c)(f)(j) a) 确保对用户访问记录进行唯一标识和记录以用于审计和审查目的。 b) 记录了非允许访问的问责和标识。 c) 对特权用户执行的系统活动启用审计日志记录。 f) 确保应用适当的日志记录和监控,以便对可能影响 的操作进行记录和检测。 或者 与 相关, 信息安全。 j) 确保事件日志记录为能够针对系统安全性生成整合报告和警报的自动监控系统奠定了基础。

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
3.4(a)(b)(c)(f)(j) a) 确保对用户访问记录进行唯一标识和记录以用于审计和审查目的。 b) 记录了非允许访问的问责和标识。 c) 对特权用户执行的系统活动启用审计日志记录。 f) 确保应用适当的日志记录和监控,以便对可能影响 的操作进行记录和检测。 或者 与 相关, 信息安全。 j) 确保事件日志记录为能够针对系统安全性生成整合报告和警报的自动监控系统奠定了基础。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您的组织的策略。
3.4(g) g) 确保事件日志在相关时包括: - 用户 IDs - 系统活动 - 日期、 关键事件的时间和详细信息 例如,登录和注销 - 设备身份或位置 (如果可能) 和系统标识符 - 成功和拒绝的系统访问尝试的记录 - 对成功和拒绝的数据和其他资源访问尝试的记录 - 对系统配置的更改 - 使用权限 - 使用系统实用工具和应用程序 - 访问的文件以及由访问控制系统和 用户的事务记录引发的网络地址和协议的警报类型 应用程序和在线客户交易

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息将显示在 AWS CloudTrail 记录内容中。
3.4(g) g) 确保事件日志在相关时包括: - 用户 IDs - 系统活动 - 日期、 关键事件的时间和详细信息 例如,登录和注销 - 设备身份或位置 (如果可能) 和系统标识符 - 成功和拒绝的系统访问尝试的记录 - 对成功和拒绝的数据和其他资源访问尝试的记录 - 对系统配置的更改 - 使用权限 - 使用系统实用工具和应用程序 - 访问的文件以及由访问控制系统和 用户的事务记录引发的网络地址和协议的警报类型 应用程序和在线客户交易

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
3.4(g) g) 确保事件日志在相关时包括: - 用户 IDs - 系统活动 - 日期、 关键事件的时间和详细信息 例如,登录和注销 - 设备身份或位置 (如果可能) 和系统标识符 - 成功和拒绝的系统访问尝试的记录 - 对成功和拒绝的数据和其他资源访问尝试的记录 - 对系统配置的更改 - 使用权限 - 使用系统实用工具和应用程序 - 访问的文件以及由访问控制系统和 用户的事务记录引发的网络地址和协议的警报类型 应用程序和在线客户交易

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
3.4(g) g) 确保事件日志在相关时包括: - 用户 IDs - 系统活动 - 日期、 关键事件的时间和详细信息 例如,登录和注销 - 设备身份或位置 (如果可能) 和系统标识符 - 成功和拒绝的系统访问尝试的记录 - 对成功和拒绝的数据和其他资源访问尝试的记录 - 对系统配置的更改 - 使用权限 - 使用系统实用工具和应用程序 - 访问的文件以及由访问控制系统和 用户的事务记录引发的网络地址和协议的警报类型 应用程序和在线客户交易

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中 API 调用活动的详细信息。
3.4(g) g) 确保事件日志在相关时包括: - 用户 IDs - 系统活动 - 日期、 关键事件的时间和详细信息 例如,登录和注销 - 设备身份或位置 (如果可能) 和系统标识符 - 成功和拒绝的系统访问尝试的记录 - 对成功和拒绝的数据和其他资源访问尝试的记录 - 对系统配置的更改 - 使用权限 - 使用系统实用工具和应用程序 - 访问的文件以及由访问控制系统和 用户的事务记录引发的网络地址和协议的警报类型 应用程序和在线客户交易

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
3.4(g) g) 确保事件日志在相关时包括: - 用户 IDs - 系统活动 - 日期、 关键事件的时间和详细信息 例如,登录和注销 - 设备身份或位置 (如果可能) 和系统标识符 - 成功和拒绝的系统访问尝试的记录 - 对成功和拒绝的数据和其他资源访问尝试的记录 - 对系统配置的更改 - 使用权限 - 使用系统实用工具和应用程序 - 访问的文件以及由访问控制系统和 用户的事务记录引发的网络地址和协议的警报类型 应用程序和在线客户交易

已启用多区域 CloudTrail

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将所有 AWS 区域中的日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
3.4(g) g) 确保事件日志在相关时包括: - 用户 IDs - 系统活动 - 日期、 关键事件的时间和详细信息 例如,登录和注销 - 设备身份或位置 (如果可能) 和系统标识符 - 成功和拒绝的系统访问尝试的记录 - 对成功和拒绝的数据和其他资源访问尝试的记录 - 对系统配置的更改 - 使用权限 - 使用系统实用工具和应用程序 - 访问的文件以及由访问控制系统和 用户的事务记录引发的网络地址和协议的警报类型 应用程序和在线客户交易

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
3.4(g) g) 确保事件日志在相关时包括: - 用户 IDs - 系统活动 - 日期、 关键事件的时间和详细信息 例如,登录和注销 - 设备身份或位置 (如果可能) 和系统标识符 - 成功和拒绝的系统访问尝试的记录 - 对成功和拒绝的数据和其他资源访问尝试的记录 - 对系统配置的更改 - 使用权限 - 使用系统实用工具和应用程序 - 访问的文件以及由访问控制系统和 用户的事务记录引发的网络地址和协议的警报类型 应用程序和在线客户交易

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
3.4(g) g) 确保事件日志在相关时包括: - 用户 IDs - 系统活动 - 日期、 关键事件的时间和详细信息 例如,登录和注销 - 设备身份或位置 (如果可能) 和系统标识符 - 成功和拒绝的系统访问尝试的记录 - 对成功和拒绝的数据和其他资源访问尝试的记录 - 对系统配置的更改 - 使用权限 - 使用系统实用工具和应用程序 - 访问的文件以及由访问控制系统和 用户的事务记录引发的网络地址和协议的警报类型 应用程序和在线客户交易

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
3.4(g) g) 确保事件日志在相关时包括: - 用户 IDs - 系统活动 - 日期、 关键事件的时间和详细信息 例如,登录和注销 - 设备身份或位置 (如果可能) 和系统标识符 - 成功和拒绝的系统访问尝试的记录 - 对成功和拒绝的数据和其他资源访问尝试的记录 - 对系统配置的更改 - 使用权限 - 使用系统实用工具和应用程序 - 访问的文件以及由访问控制系统和 用户的事务记录引发的网络地址和协议的警报类型 应用程序和在线客户交易

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置一个值。实际值应反映您的组织的策略。
3.4(g) g) 确保事件日志在相关时包括: - 用户 IDs - 系统活动 - 日期、 关键事件的时间和详细信息 例如,登录和注销 - 设备身份或位置 (如果可能) 和系统标识符 - 成功和拒绝的系统访问尝试的记录 - 对成功和拒绝的数据和其他资源访问尝试的记录 - 对系统配置的更改 - 使用权限 - 使用系统实用工具和应用程序 - 访问的文件以及由访问控制系统和 用户的事务记录引发的网络地址和协议的警报类型 应用程序和在线客户交易

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
3.6.1(a)(h) a) BFIs 需要确保针对其 Web 应用程序采取适当的安全措施,并针对各种 Web 安全风险采取合理的合理措施。h) BFIs 需要确保针对其 Web 应用程序采取适当的安全措施,并针对各种 Web 安全风险采取合理的合理措施。

确保在 Elastic Load Balancer (ELB) 上启用 AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 APIs 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或在您环境中消耗过多的资源。
3.6.1(b) b) BFIs 需要评估与其 Internet 银行系统和其他相关系统关联的安全要求,并采用了加密解决方案来考虑所需的机密性和完整性程度。

通过确保 AWS ACM 颁发 X509 证书,确保网络完整性。这些证书必须是有效证书,并且不会过期。此规则需要 daysToExpiration 的值(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
3.6.1(b) b) BFIs 需要评估与其 Internet 银行系统和其他相关系统关联的安全要求,并采取加密解决方案来考虑所需的机密性和完整性程度。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.6.1(b) b) BFIs 需要评估与其 Internet 银行系统和其他相关系统关联的安全要求,并采取加密解决方案来考虑所需的机密性和完整性程度。

由于敏感数据可以存在并有助于保护传输中的数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
3.6.1(b) b) BFIs 需要评估与其 Internet 银行系统和其他相关系统关联的安全要求,并采取加密解决方案来考虑所需的机密性和完整性程度。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.6.1(b) b) BFIs 需要评估与其 Internet 银行系统和其他相关系统关联的安全要求,并采用了加密解决方案来考虑所需的机密性和完整性程度。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.6.1(b) b) BFIs 需要评估与其 Internet 银行系统和其他相关系统关联的安全要求,并采用了加密解决方案来考虑所需的机密性和完整性程度。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.6.1(b) b) BFIs 需要评估与其 Internet 银行系统和其他相关系统关联的安全要求,并采取加密解决方案来考虑所需的机密性和完整性程度。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.6.1(b) b) BFIs 需要评估与其 Internet 银行系统和其他相关系统关联的安全要求,并采用加密解决方案来考虑所需的机密性和完整性程度。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
3.6.1(d) d) BFIs 提供 Internet 银行应对异常的网络流量状况/系统性能以及系统资源利用突然高峰,这可能是 DDoS 攻击的迹象。因此,任何抢先和反应式操作的成功取决于适当工具的部署,以有效地检测、监控和分析网络和系统中的异常。

确保在 Elastic Load Balancer (ELB) 上启用 AWS WAF 以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 APIs 免遭常见 Web 漏洞的攻击。这些 Web 漏洞可能会影响可用性、损害安全性或在您环境中消耗过多的资源。
3.6.1(d) d) BFIs 提供 Internet 银行应对异常的网络流量状况/系统性能以及系统资源利用突然激增,这可能表明发生 DDoS 攻击。因此,任何抢先和反应式操作的成功取决于适当工具的部署,以有效地检测、监控和分析网络和系统中的异常。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权和恶意活动。
3.6.1(d) d) BFIs 提供 Internet 银行应对异常的网络流量状况/系统性能以及系统资源利用突然激增的情况(可能表明发生 DDoS 攻击)。因此,任何抢先和反应式操作的成功取决于适当工具的部署,以有效地检测、监控和分析网络和系统中的异常。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
3.6.1(d) d) BFIs 提供 Internet 银行应对异常的网络流量状况/系统性能以及系统资源利用突然激增的情况(可能表明发生 DDoS 攻击)。因此,任何抢先和反应式操作的成功取决于适当工具的部署,以有效地检测、监控和分析网络和系统中的异常。

为了帮助在您的环境中进行日志记录和监控,请在区域和全球 Web ACLs 上启用 AWS WAF (V2) 日志记录。 AWS WAF 日志记录提供了有关 Web ACL 分析的流量的详细信息。这些日志记录 AWS WAF 收到来自 AWS 资源的请求的时间、有关请求的信息以及每个请求匹配的规则的操作。
3.6.1(环) e) BFIs 需要定期评估信息安全漏洞并评估现有 IT 安全风险管理框架的有效性,进行任何必要的调整,以确保及时解决出现的漏洞。此评估还应作为任何材料更改的一部分执行。

guardduty-non-archived-findings

Amazon GuardDuty 通过按严重性对结果进行分类来帮助您了解事件的影响:低、中和高。您可以使用这些分类来确定修复策略和优先级。此规则允许您根据组织的策略,选择性地为非存档调查结果设置 daysLowSev(配置默认值:30)、daysMediumSev(配置默认值:7)和 daysHighSev(配置默认值:1)。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

internet-gateway-authorized-vpc-only

通过确保 Internet 网关仅附加到授权 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。使用此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,并且这些账户需要原则和访问控制。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

restricted-common-ports

通过确保通用端口在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上受限,在 AWS 云中管理对资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您的组织的策略。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据对未经授权的远程用户安全。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您的组织的策略。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
3.6.4(a)(b) a) 限制 Internet 访问并从一般 IT 环境中隔离关键系统。b) 减少攻击面和漏洞。

vpc-sg-open-only-to-authorized-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。

Template

该模板在 GitHub 上可用: NBC TRMG 的 操作最佳实践。