Biztonsági javaslatok Az Amazon Web Services (AWS) erőforrásaihoz

Ez a cikk felsorolja azokat a javaslatokat, amelyeket Felhőhöz készült Microsoft Defender láthat, ha Amazon Web Services-fiókot (AWS-fiókot) csatlakoztat a Környezeti beállítások lap használatával. A környezetben megjelenő javaslatok a védeni kívánt erőforrásokon és a testre szabott konfiguráción alapulnak.

A javaslatokra válaszul végrehajtható műveletekről a Felhőhöz készült Defender vonatkozó javaslatok szervizelése című témakörben olvashat.

A biztonsági pontszám a végrehajtott biztonsági javaslatok számán alapul. Annak eldöntéséhez, hogy melyik javaslatokat kell először megoldani, tekintse meg az egyes javaslatok súlyosságát és a biztonságos pontszámra gyakorolt lehetséges hatását.

AWS Compute-javaslatok

A Systems Manager által felügyelt Amazon EC2-példányoknak a javítás telepítése után a MEGFELELŐ megfelelőségi állapottal kell rendelkezniük

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon EC2 Systems Manager javításmegfelelőségének megfelelőségi állapota MEGFELELŐ-e, vagy NON_COMPLIANT a példány javítástelepítése után. Csak az AWS Systems Manager Patch Manager által felügyelt példányokat ellenőrzi. Nem ellenőrzi, hogy a javítás a "6.2" PCI DSS-követelmény által előírt 30 napos korláton belül lett-e alkalmazva. Azt sem ellenőrzi, hogy az alkalmazott javítások biztonsági javításként lettek-e besorolva. Létre kell hoznia a megfelelő alapkonfigurációs beállításokkal rendelkező javítási csoportokat, és gondoskodnia kell arról, hogy a hatókörön belüli rendszereket ezek a javításcsoportok felügyeljék a Systems Managerben. A javításcsoportokról további információt az AWS Systems Manager felhasználói útmutatójában talál.

Súlyosság: Közepes

Az Amazon EFS-t úgy kell konfigurálni, hogy inaktív fájladatokat titkosítson az AWS KMS használatával

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon Elastic Fájlrendszer úgy van-e konfigurálva, hogy az AWS KMS használatával titkosítsa a fájladatokat. Az ellenőrzés a következő esetekben hiúsul meg: A *"Encrypted" értéke "false" (hamis) a DescribeFileSystems válaszában. A DescribeFileSystems válasz "KmsKeyId" kulcsa nem egyezik az efs-encrypted-check KmsKeyId paraméterével. Vegye figyelembe, hogy ez a vezérlő nem használja a "KmsKeyId" paramétert az efs-encrypted-check esetében. Csak a "Titkosított" értéket ellenőrzi. A bizalmas adatokhoz az Amazon EFS-ben hozzáadott biztonsági réteg érdekében titkosított fájlrendszereket kell létrehoznia. Az Amazon EFS támogatja a inaktív fájlrendszerek titkosítását. Amazon EFS-fájlrendszer létrehozásakor engedélyezheti az inaktív adatok titkosítását. Az Amazon EFS-titkosítással kapcsolatos további információkért tekintse meg az Amazon EFS adattitkosítását az Amazon Elastic Fájlrendszer felhasználói útmutatójában.

Súlyosság: Közepes

Az Amazon EFS-köteteknek biztonsági mentési tervekben kell lenniük

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon Elastic File System (Amazon EFS) fájlrendszerei hozzá vannak-e adva a biztonsági mentési tervekhez az AWS Backupban. A vezérlés meghiúsul, ha az Amazon EFS fájlrendszerei nem szerepelnek a biztonsági mentési tervekben. Az EFS-fájlrendszerek biztonsági mentési tervekbe való belefoglalásával megvédheti adatait a törléstől és az adatvesztéstől.

Súlyosság: Közepes

Engedélyezni kell az alkalmazás Load Balancer-törlésének védelmét

Leírás: Ez a vezérlő ellenőrzi, hogy egy alkalmazás terheléselosztó rendelkezik-e engedélyezett törlési védelemmel. A vezérlő meghiúsul, ha a törlés elleni védelem nincs konfigurálva. Engedélyezze a törlés elleni védelmet az alkalmazás Load Balancer törlés elleni védelméhez.

Súlyosság: Közepes

A terheléselosztóhoz társított automatikus méretezési csoportoknak állapot-ellenőrzéseket kell használniuk

Leírás: A terheléselosztóhoz társított automatikus méretezési csoportok rugalmas terheléselosztási állapot-ellenőrzéseket használnak. A PCI DSS nem igényel terheléselosztást vagy magas rendelkezésre állású konfigurációkat. Ezt az AWS ajánlott eljárásai javasolják.

Súlyosság: Alacsony

Az AWS-fiókoknak engedélyezniük kell az Azure Arc automatikus kiépítését

Leírás: A Microsoft Defender kiszolgálókhoz készült biztonsági tartalmának teljes körű láthatósága érdekében az EC2-példányokat az Azure Archoz kell csatlakoztatni. Annak érdekében, hogy az összes jogosult EC2-példány automatikusan megkapja az Azure Arcot, engedélyezze az automatikus leépítést Felhőhöz készült Defender az AWS-fiók szintjén. További információ az Azure Arcról és a Microsoft Defender for Serversről.

Súlyosság: Magas

A CloudFront-disztribúcióknak konfigurálva kell lennie a forrás feladatátvételi beállításával

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon CloudFront-disztribúció két vagy több forráscsoporttal van-e konfigurálva. A CloudFront-forrás feladatátvétele növelheti a rendelkezésre állást. A forrás feladatátvétele automatikusan átirányítja a forgalmat egy másodlagos forrásra, ha az elsődleges forrás nem érhető el, vagy ha adott HTTP-válaszállapot-kódokat ad vissza.

Súlyosság: Közepes

A CodeBuild GitHub vagy a Bitbucket forrásadattár URL-címeinek OAuth-ot kell használniuk

Leírás: Ez a vezérlő ellenőrzi, hogy a GitHub vagy a Bitbucket forrásadattár URL-címe személyes hozzáférési jogkivonatokat vagy felhasználónevet és jelszót tartalmaz-e. A hitelesítési hitelesítő adatokat soha nem szabad tiszta szövegben tárolni vagy továbbítani, vagy az adattár URL-címében megjeleníteni. A személyes hozzáférési jogkivonatok vagy felhasználónév és jelszó helyett az OAuth használatával engedélyezheti a GitHub- vagy Bitbucket-adattárak elérését. Személyes hozzáférési jogkivonatok vagy felhasználónév és jelszó használatával a hitelesítő adatok nem szándékos adathozzáférés és jogosulatlan hozzáférés számára tehetők elérhetővé.

Súlyosság: Magas

A CodeBuild projektkörnyezet változói nem tartalmazhatnak hitelesítő adatokat

Leírás: Ez a vezérlő ellenőrzi, hogy a projekt tartalmazza-e a környezeti változókat AWS_ACCESS_KEY_ID és AWS_SECRET_ACCESS_KEYa . A hitelesítési hitelesítő adatokat AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY soha nem szabad tiszta szövegben tárolni, mivel ez nem szándékos adatexpozícióhoz és jogosulatlan hozzáféréshez vezethet.

Súlyosság: Magas

A DynamoDB Accelerator (DAX) fürtöket inaktív állapotban kell titkosítani

Leírás: Ez a vezérlő ellenőrzi, hogy egy DAX-fürt inaktív állapotban van-e titkosítva. Az inaktív adatok titkosítása csökkenti annak a kockázatát, hogy a lemezen tárolt adatokat egy felhasználó nem hitelesíti az AWS-ben. A titkosítás újabb hozzáférési vezérlőket ad hozzá, amelyek korlátozzák a jogosulatlan felhasználók hozzáférését az adatokhoz. Például az API-engedélyek szükségesek az adatok visszafejtéséhez az olvasás előtt.

Súlyosság: Közepes

A DynamoDB-tábláknak automatikusan skálázniuk kell a kapacitást az igény szerint

Leírás: Ez a vezérlő ellenőrzi, hogy egy Amazon DynamoDB-tábla szükség szerint skálázhatja-e az olvasási és írási kapacitását. Ez a vezérlő akkor működik, ha a tábla igény szerinti kapacitási módot vagy kiépített módot használ automatikus skálázás konfigurálásával. A kapacitás igény szerinti skálázása elkerüli a kivételek szabályozását, ami segít fenntartani az alkalmazások rendelkezésre állását.

Súlyosság: Közepes

Az EC2-példányokat az Azure Archoz kell csatlakoztatni

Leírás: Csatlakozás AZ EC2-példányokat az Azure Arcba, hogy teljes mértékben látható legyen a Microsoft Defender for Servers biztonsági tartalma. További információ az Azure Arcról és a hibridfelhős környezetben futó Microsoft Defender kiszolgálóiról.

Súlyosság: Magas

Az EC2-példányokat az AWS Systems Managernek kell felügyelnie

Leírás: Az Amazon EC2 Systems Manager javításmegfelelőségének állapota "MEGFELELŐ" vagy "NON_COMPLIANT" a példányon a javítás telepítése után. A rendszer csak az AWS Systems Manager Patch Manager által felügyelt példányokat ellenőrzi. A "6" PCI DSS-követelmény által előírt 30 napos korláton belül alkalmazott javítások nincsenek ellenőrizve.

Súlyosság: Közepes

Végponti észlelés és reagálás konfigurációs problémákat meg kell oldani az EC2-n

Leírás: A virtuális gépek legújabb fenyegetésekkel és biztonsági résekkel szembeni védelméhez oldja meg a telepített végpontészlelési és válaszmegoldás (Végponti észlelés és reagálás) összes azonosított konfigurációs problémáját.
Megjegyzés: Ez a javaslat jelenleg csak azokra az erőforrásokra vonatkozik, amelyeken engedélyezve van a Végponthoz készült Microsoft Defender (MDE).

Súlyosság: Magas

Végponti észlelés és reagálás megoldást ec2-ekre kell telepíteni

Leírás: Az EC2s védelméhez telepítsen egy végpontészlelési és válaszmegoldást (Végponti észlelés és reagálás). Végponti észlelés és reagálás segítenek megelőzni, észlelni, kivizsgálni és reagálni a speciális fenyegetésekre. A Microsoft Defender for Servers használatával üzembe helyezheti Végponthoz készült Microsoft Defender. Ha az erőforrás "Nem kifogástalan" besorolású, nincs telepítve támogatott Végponti észlelés és reagálás megoldás. Ha olyan Végponti észlelés és reagálás megoldás van telepítve, amelyet ez a javaslat nem fedez fel, mentesítheti azt.

Súlyosság: Magas

A Systems Manager által felügyelt példányoknak MEGFELELŐ társításmegfelelőségi állapottal kell rendelkezniük

Leírás: Ez a vezérlő ellenőrzi, hogy az AWS Systems Manager társításmegfelelőségének állapota MEGFELELŐ-e, vagy NON_COMPLIANT a társítás példányon való futtatása után. A vezérlő akkor halad át, ha a társítás megfelelőségi állapota MEGFELELŐ. A State Manager-társítások a felügyelt példányokhoz rendelt konfigurációk. A konfiguráció határozza meg a példányokon karbantartani kívánt állapotot. Egy társítás például megadhatja, hogy a víruskereső szoftvert telepíteni kell és futtatni kell a példányokon, vagy bizonyos portokat be kell zárni. Egy vagy több State Manager-társítás létrehozása után a megfelelőségi állapotinformációk azonnal elérhetők lesznek a konzolon, vagy az AWS CLI-parancsokra vagy a megfelelő Systems Manager API-műveletekre válaszul. Társítások esetén a "Konfiguráció" megfelelőség a megfelelő vagy nem megfelelő állapotokat, valamint a társításhoz rendelt súlyossági szintet jeleníti meg, például kritikus vagy közepes. A State Manager-társítás megfelelőségéről az AWS Systems Manager felhasználói útmutatójában talál további információt a State Manager-társítás megfelelőségéről . Konfigurálnia kell a hatókörön belüli EC2-példányokat a Systems Manager-társításhoz. A javítások gyártójának biztonsági minősítéséhez konfigurálnia kell a javítás alapkonfigurációját is, és be kell állítania az automatikus javítási dátumot a PCI DSS 3.2.1 6.2-s követelményének való megfeleléshez. A társítás létrehozásával kapcsolatos további útmutatásért lásd: Társítás létrehozása az AWS Systems Manager felhasználói útmutatójában. A Javítások a Systems Managerben való használatával kapcsolatos további információkért tekintse meg az AWS Systems Manager Patch Managert az AWS Systems Manager felhasználói útmutatójában.

Súlyosság: Alacsony

A Lambda-függvénynek egy kézbesítetlen üzenetsort kell konfigurálnia

Leírás: Ez a vezérlő ellenőrzi, hogy egy Lambda-függvény holtbetűs üzenetsorsal van-e konfigurálva. A vezérlő meghiúsul, ha a Lambda függvény nincs kézbesítetlen üzenetsorsal konfigurálva. A sikertelen célhely alternatívaként a függvényt egy kézbesítetlen üzenetsorsal konfigurálhatja az elvetett események további feldolgozás céljából történő mentéséhez. A kézbesítetlen levelek üzenetsora ugyanúgy működik, mint egy sikertelen célhely. Akkor használatos, ha egy esemény feldolgozása nélkül meghiúsul az összes feldolgozási kísérlet vagy lejár. A kézbesítetlen levelek várólistája lehetővé teszi, hogy visszatekintsen a Lambda-függvényhez intézett hibákra vagy sikertelen kérelmekre a szokatlan viselkedés hibakereséséhez vagy azonosításához. Biztonsági szempontból fontos megérteni, hogy miért nem sikerült a függvény, és biztosítani kell, hogy a függvény ne vesse el az adatokat, és ne veszélyeztesse az adatbiztonságot. Ha például a függvény nem tud kommunikálni egy mögöttes erőforrással, az a szolgáltatásmegtagadási (DoS-) támadás tünete lehet a hálózat más részein.

Súlyosság: Közepes

A Lambda-függvényeknek támogatott futtatókörnyezeteket kell használniuk

Leírás: Ez a vezérlő ellenőrzi, hogy a futtatókörnyezetek Lambda-függvénybeállításai megfelelnek-e az egyes nyelvek támogatott futtatókörnyezeteihez beállított várt értékeknek. Ez a vezérlő a következő futtatókörnyezeteket ellenőrzi: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Lambda futtatókörnyezetek az operációs rendszer, a programozási nyelv és a szoftvertárak olyan kombinációjára épülnek, amelyek karbantartás és biztonsági frissítések tárgyát képezik. Ha a futásidejű összetevők már nem támogatottak a biztonsági frissítések esetében, a Lambda elavulttá tesz egy futtatókörnyezetet. Annak ellenére, hogy az elavult futtatókörnyezetet használó függvények nem hozhatók létre, a függvény továbbra is elérhető a hívási események feldolgozásához. Győződjön meg arról, hogy a Lambda-függvények aktuálisak, és nem használnak elavult futtatókörnyezeteket. Ha többet szeretne megtudni a támogatott futtatókörnyezetekről, amelyeket ez a vezérlő a támogatott nyelvekre keres, tekintse meg az AWS Lambda futtatókörnyezeteit az AWS Lambda fejlesztői útmutatójában.

Súlyosság: Közepes

Az EC2-példányok felügyeleti portjait megfelelő hálózati hozzáférés-vezérléssel kell védeni

Leírás: Felhőhöz készült Microsoft Defender a hálózat felügyeleti portjainak néhány túlságosan megengedő bejövő szabályát azonosította. Engedélyezze az igény szerinti hozzáférés-vezérlést, hogy megvédje a példányokat az internetes találgatásos támadásoktól. További információ.

Súlyosság: Magas

A nem használt EC2 biztonsági csoportokat el kell távolítani

Leírás: A biztonsági csoportokat Amazon EC2-példányokhoz vagy ENI-hez kell csatolni. Az egészséges megállapítás azt jelezheti, hogy nincsenek fel nem használt Amazon EC2 biztonsági csoportok.

Súlyosság: Alacsony

Az AWS-tárolóra vonatkozó javaslatok

[Előzetes verzió] Az AWS-beállításjegyzékben lévő tárolólemezképek biztonságirés-megállapításait meg kell oldani

Leírás: Felhőhöz készült Defender megkeresi a beállításjegyzék-rendszerképeket az ismert biztonsági rések (CVE-k) után, és részletes megállapításokat nyújt az egyes beolvasott képekhez. A tárolólemezképek biztonsági réseinek vizsgálata és elhárítása a beállításjegyzékben segít fenntartani a biztonságos és megbízható szoftverellátási láncot, csökkenti a biztonsági incidensek kockázatát, és biztosítja az iparági szabványoknak való megfelelést.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

[Előzetes verzió] Az AWS-ben futó tárolók biztonságirés-megállapításait meg kell oldani

Leírás: Felhőhöz készült Defender létrehoz egy leltárt a Kubernetes-fürtökben jelenleg futó összes tárolóterhelésről, és biztonságirés-jelentéseket biztosít ezekhez a számítási feladatokhoz a használt rendszerképek és a beállításjegyzék-rendszerképekhez létrehozott biztonságirés-jelentések egyeztetésével. A tárolók számítási feladatainak biztonsági réseinek vizsgálata és elhárítása kritikus fontosságú a hatékony és biztonságos szoftverellátási lánc biztosításához, a biztonsági incidensek kockázatának csökkentéséhez és az iparági szabványoknak való megfeleléshez.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

Az EKS-fürtöknek meg kell adniuk a szükséges AWS-engedélyeket a Felhőhöz készült Microsoft Defender

Leírás: A Microsoft Defender for Containers védelmet nyújt az EKS-fürtök számára. A fürt biztonsági réseinek és fenyegetéseinek figyeléséhez a Defender for Containers engedélyekkel rendelkezik az AWS-fiókhoz. Ezek az engedélyek lehetővé teszik a Kubernetes vezérlősík-naplózását a fürtön, és megbízható folyamatot hoznak létre a fürt és Felhőhöz készült Defender háttérrendszere között a felhőben. További információ Felhőhöz készült Microsoft Defender tárolóalapú környezetek biztonsági funkcióiról.

Súlyosság: Magas

Az EKS-fürtöknek telepítve kell lenniük a Microsoft Defender Azure Arc-bővítményével

Leírás: A Microsoft Defender fürtbővítménye biztonsági képességeket biztosít az EKS-fürtök számára. A bővítmény adatokat gyűjt egy fürtből és annak csomópontjaiból a biztonsági rések és fenyegetések azonosítása érdekében. A bővítmény az Azure Arc-kompatibilis Kubernetes szolgáltatással működik. További információ Felhőhöz készült Microsoft Defender tárolóalapú környezetek biztonsági funkcióiról.

Súlyosság: Magas

Engedélyezni kell a Microsoft Defender for Containers szolgáltatást az AWS-összekötőken

Leírás: A Microsoft Defender for Containers valós idejű fenyegetésvédelmet biztosít a tárolóalapú környezetekhez, és riasztásokat hoz létre a gyanús tevékenységekről. Ezekkel az információkkal megerősítse a Kubernetes-fürtök biztonságát, és elhárítsa a biztonsági problémákat.

Fontos: Amikor engedélyezte a Microsoft Defender for Containers szolgáltatást, és üzembe helyezte az Azure Arcot az EKS-fürtökön, megkezdődik a védelem – és a díjak . Ha nem telepíti az Azure Arcot egy fürtön, a Defender for Containers nem védi azt, és a fürthöz tartozó Microsoft Defender-csomagért nem merül fel díj.

Súlyosság: Magas

Adatsíkra vonatkozó javaslatok

Az Azure Policy kuberneteshez való engedélyezése után az AWS minden Kubernetes-adatsík biztonsági javaslatát támogatja.

AWS-adatokra vonatkozó javaslatok

Az Amazon Aurora-fürtöknek engedélyezniük kell a visszakövetést

Leírás: Ez a vezérlő ellenőrzi, hogy engedélyezve van-e az Amazon Aurora-fürtök visszakövetése. A biztonsági mentések segítenek a biztonsági incidensek gyorsabb helyreállításában. Emellett erősítik a rendszerek rugalmasságát is. Aurora visszakövetés csökkenti az adatbázis helyreállításának idejét egy adott időpontra. Ehhez nincs szükség adatbázis-visszaállításra. Az Aurora-beli visszakövetésről további információt az Amazon Aurora felhasználói útmutatójában, az Aurora DB-fürt visszakövetése című témakörben talál.

Súlyosság: Közepes

Az Amazon EBS-pillanatképek nem állíthatók vissza nyilvánosan

Leírás: Az Amazon EBS-pillanatképeket nem szabad nyilvánosan helyreállítani mindenki számára, kivéve, ha kifejezetten engedélyezve van, az adatok véletlen expozíciójának elkerülése érdekében. Emellett az Amazon EBS-konfigurációk módosítására való engedélyt csak az engedélyezett AWS-fiókokra kell korlátozni.

Súlyosság: Magas

Az Amazon ECS-feladatdefinícióknak biztonságos hálózati módokkal és felhasználói definíciókkal kell rendelkezniük

Leírás: Ez a vezérlő ellenőrzi, hogy a gazdagépek hálózatkezelési móddal rendelkező aktív Amazon ECS-feladatdefiníciója rendelkezik-e jogosultsági vagy felhasználói tárolódefiníciókkal is. A vezérlő nem működik olyan feladatdefiníciók esetében, amelyek gazdagép-hálózati móddal és tárolódefiníciókkal rendelkeznek, ahol a privileged=false vagy az üres, valamint a user=root vagy az üres. Ha egy tevékenységdefiníció emelt szintű jogosultságokkal rendelkezik, annak az az oka, hogy az ügyfél kifejezetten ezt a konfigurációt választotta. Ez a vezérlő ellenőrzi a jogosultságok váratlan eszkalálását, ha egy tevékenységdefinícióban engedélyezve van a gazdagépek hálózatkezelése, de az ügyfél nem engedélyezte a emelt szintű jogosultságokat.

Súlyosság: Magas

Az Amazon Elasticsearch service-tartományoknak titkosítanak a csomópontok között küldött adatokat

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon ES-tartományok engedélyezve vannak-e a csomópontok közötti titkosítással. A HTTPS (TLS) segítségével megakadályozhatja, hogy a potenciális támadók lehallgatják vagy manipulálják a hálózati forgalmat a középső vagy hasonló támadásokkal. Csak https (TLS) protokollon keresztül titkosított kapcsolatok engedélyezettek. Az Amazon ES-tartományok csomópontok közötti titkosításának engedélyezése biztosítja a fürtön belüli kommunikáció átvitel közbeni titkosítását. A konfigurációhoz teljesítménybírság is társulhat. A beállítás engedélyezése előtt tisztában kell lennie a teljesítménybeli kompromisszumokkal, és tesztelnie kell azt.

Súlyosság: Közepes

Az Amazon Elasticsearch service-tartományoknak engedélyezniük kell a inaktív titkosítást

Leírás: Fontos engedélyezni az Amazon ES-tartományok többi részének titkosítását a bizalmas adatok védelme érdekében

Súlyosság: Közepes

Az Amazon RDS-adatbázist ügyfél által felügyelt kulccsal kell titkosítani

Leírás: Ez az ellenőrzés az alapértelmezett KMS-kulcsokkal titkosított RDS-adatbázisokat azonosítja, nem pedig az ügyfél által felügyelt kulcsokkal. Vezető gyakorlatként az ügyfél által felügyelt kulcsokkal titkosíthatja az RDS-adatbázisok adatait, és kezelheti a kulcsokat és az adatokat a bizalmas számítási feladatokon.

Súlyosság: Közepes

Az Amazon RDS-példányt automatikus biztonsági mentési beállításokkal kell konfigurálni

Leírás: Ez az ellenőrzés azonosítja azokat az RDS-példányokat, amelyek nincsenek beállítva az automatikus biztonsági mentési beállítással. Ha az automatikus biztonsági mentés be van állítva, az RDS létrehoz egy tárkötet-pillanatképet a DB-példányról, amely a teljes ADATBÁZIS-példányról készít biztonsági másolatot, és nem csak az egyes adatbázisokról, amelyek az időponthoz kötött helyreállítást biztosítják. Az automatikus biztonsági mentés a megadott biztonsági mentési időszak alatt történik, és a biztonsági másolatokat a megőrzési időszakban meghatározott korlátozott ideig őrzi meg. Ajánlott automatikus biztonsági mentéseket beállítani a kritikus RDS-kiszolgálókhoz, amelyek segítenek az adat-visszaállítási folyamatban.

Súlyosság: Közepes

Az Amazon Redshift-fürtöknek engedélyezniük kell a naplózást

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon Redshift-fürtök naplózása engedélyezve van-e. Az Amazon Redshift naplózása további információkat nyújt a fürt kapcsolatairól és felhasználói tevékenységeiről. Ezek az adatok tárolhatók és védhetők az Amazon S3-ban, és hasznosak lehetnek a biztonsági auditokban és a vizsgálatokban. További információ: Adatbázis-naplózás az Amazon Redshift fürtkezelési útmutatójában.

Súlyosság: Közepes

Az Amazon Redshift-fürtöknek engedélyezniük kell az automatikus pillanatképeket

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon Redshift-fürtök engedélyezve vannak-e az automatikus pillanatképek. Azt is ellenőrzi, hogy a pillanatkép-megőrzési időszak nagyobb-e, mint hét. A biztonsági mentések segítenek a biztonsági incidensek gyorsabb helyreállításában. Ezek erősítik a rendszerek rugalmasságát. Az Amazon Redshift alapértelmezés szerint rendszeres pillanatképeket készít. Ez a vezérlő ellenőrzi, hogy az automatikus pillanatképek engedélyezve vannak-e, és legalább hét napig megmaradnak-e. Az Amazon Redshift automatizált pillanatképeiről az Amazon Redshift-fürtkezelési útmutató automatikus pillanatképei című témakörben talál további információt.

Súlyosság: Közepes

Az Amazon Redshift-fürtöknek be kell tiltania a nyilvános hozzáférést

Leírás: Az Amazon Redshift-fürtök használatát javasoljuk a nyilvános akadálymentesség elkerülése érdekében a fürtkonfigurációelem "publiclyAccessible" mezőjének kiértékelésével.

Súlyosság: Magas

Az Amazon Redshiftnek automatikusan frissítenie kell a főverziókat engedélyezve

Leírás: Ez a vezérlő ellenőrzi, hogy engedélyezve vannak-e az automatikus főverzió-frissítések az Amazon Redshift-fürthöz. Az automatikus főverzió-frissítések engedélyezése biztosítja, hogy az Amazon Redshift-fürtök legújabb főverzió-frissítései telepítve legyenek a karbantartási időszak alatt. Ezek a frissítések biztonsági javításokat és hibajavításokat is tartalmazhatnak. A javítások telepítésének naprakészen tartása fontos lépés a rendszerek biztonságossá tételében.

Súlyosság: Közepes

Az Amazon SQS-üzenetsorokat inaktív állapotban kell titkosítani

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon SQS-üzenetsorok titkosítva vannak-e inaktív állapotban. A kiszolgálóoldali titkosítás (S Standard kiadás) lehetővé teszi a bizalmas adatok titkosított üzenetsorokban való továbbítását. Az üzenetsorokban lévő üzenetek tartalmának védelme érdekében az S Standard kiadás az AWS KMS-ben kezelt kulcsokat használja. További információ: Inaktív titkosítás az Amazon Simple Queue Service fejlesztői útmutatójában.

Súlyosság: Közepes

RdS-eseményértesítés-előfizetést kell konfigurálni kritikus fürteseményekhez

Leírás: Ez a vezérlő ellenőrzi, hogy létezik-e olyan Amazon RDS-esemény-előfizetés, amelynek értesítései engedélyezve vannak a következő forrástípushoz, eseménykategória kulcs-érték párjaihoz. DBCluster: ["karbantartás" és "hiba"]. Az RDS-eseményértesítések az Amazon SNS használatával tudatják Önnel az RDS-erőforrások rendelkezésre állásának vagy konfigurációjának változásait. Ezek az értesítések lehetővé teszik a gyors reagálást. Az RDS-eseményértesítésekről további információt az Amazon RDS-eseményértesítés használata az Amazon RDS felhasználói útmutatójában talál.

Súlyosság: Alacsony

RdS-eseményértesítés-előfizetést kell konfigurálni kritikus adatbázispéldány-eseményekhez

Leírás: Ez a vezérlő ellenőrzi, hogy létezik-e Amazon RDS-esemény-előfizetés az alábbi forrástípushoz engedélyezett értesítésekkel. eseménykategória kulcs-érték párjai. DBInstance: ["maintenance", "configuration change" and "failure"]. Az RDS-eseményértesítések az Amazon SNS használatával tudatják Önnel az RDS-erőforrások rendelkezésre állásának vagy konfigurációjának változásait. Ezek az értesítések lehetővé teszik a gyors reagálást. Az RDS-eseményértesítésekről további információt az Amazon RDS-eseményértesítés használata az Amazon RDS felhasználói útmutatójában talál.

Súlyosság: Alacsony

RdS-eseményértesítés-előfizetést kell konfigurálni kritikus adatbázisparaméter-csoporteseményekhez

Leírás: Ez a vezérlő ellenőrzi, hogy létezik-e Amazon RDS-esemény-előfizetés az alábbi forrástípushoz engedélyezett értesítésekkel. eseménykategória kulcs-érték párjai. DBParameterGroup: ["configuration","change"]. Az RDS-eseményértesítések az Amazon SNS használatával tudatják Önnel az RDS-erőforrások rendelkezésre állásának vagy konfigurációjának változásait. Ezek az értesítések lehetővé teszik a gyors reagálást. Az RDS-eseményértesítésekről további információt az Amazon RDS-eseményértesítés használata az Amazon RDS felhasználói útmutatójában talál.

Súlyosság: Alacsony

RdS-eseményértesítés-előfizetést kell konfigurálni kritikus adatbázis-biztonsági csoporteseményekhez

Leírás: Ez a vezérlő ellenőrzi, hogy létezik-e Amazon RDS-esemény-előfizetés az alábbi forrástípushoz, eseménykategóriakulcs-érték párokhoz engedélyezett értesítésekkel. DBSecurityGroup: ["configuration","change","failure"]. Az RDS-eseményértesítések az Amazon SNS használatával tudatják Önnel az RDS-erőforrások rendelkezésre állásának vagy konfigurációjának változásait. Ezek az értesítések gyors választ adnak. Az RDS-eseményértesítésekről további információt az Amazon RDS-eseményértesítés használata az Amazon RDS felhasználói útmutatójában talál.

Súlyosság: Alacsony

Engedélyezni kell az API Gateway REST- és WebSocket API-naplózását

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon API Gateway REST vagy a WebSocket API összes fázisa engedélyezve van-e. A vezérlő meghiúsul, ha a naplózás nem engedélyezett egy szakasz összes metódusához, vagy ha a naplózási szint nem HIBA vagy INFORMÁCIÓ. Az API Gateway REST- vagy WebSocket API-fázisainak engedélyezve kell lennie a vonatkozó naplóknak. Az API Gateway REST és a WebSocket API végrehajtási naplózása részletes rekordokat biztosít az API Gateway REST- és WebSocket API-fázisaihoz küldött kérelmekről. A fázisok közé tartoznak az API integrációs háttérválaszai, a Lambda-engedélyezési válaszok és az AWS-integrációs végpontok requestId azonosítója.

Súlyosság: Közepes

Az API Gateway REST API-gyorsítótáradatait inaktív állapotban kell titkosítani

Leírás: Ez a vezérlő ellenőrzi, hogy az API Gateway REST API-fázisaiban a gyorsítótárat engedélyező összes metódus titkosítva van-e. A vezérlés meghiúsul, ha az API Gateway REST API-fázisának bármely metódusa gyorsítótárazásra van konfigurálva, és a gyorsítótár nincs titkosítva. Az inaktív adatok titkosítása csökkenti annak a kockázatát, hogy a lemezen tárolt adatokat egy felhasználó nem hitelesíti az AWS-ben. További hozzáférési vezérlőket ad hozzá az adatokhoz való jogosulatlan hozzáférés korlátozásához. Például az API-engedélyek szükségesek az adatok visszafejtéséhez az olvasás előtt. Az API Gateway REST API-gyorsítótárait inaktív állapotban kell titkosítani egy hozzáadott biztonsági réteg érdekében.

Súlyosság: Közepes

Az API Gateway REST API-fázisait úgy kell konfigurálni, hogy SSL-tanúsítványokat használjanak a háttér-hitelesítéshez

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon API Gateway REST API-fázisai rendelkeznek-e SSL-tanúsítványokkal. A háttérrendszerek ezeket a tanúsítványokat használják annak hitelesítésére, hogy a bejövő kérések az API Gatewayről érkeznek. Az API Gateway REST API-fázisait SSL-tanúsítványokkal kell konfigurálni, hogy a háttérrendszerek hitelesítsék, hogy a kérések az API Gatewayről származnak.

Súlyosság: Közepes

Az API Gateway REST API-fázisainak engedélyezniük kell az AWS X-Ray nyomkövetést

Leírás: Ez a vezérlő ellenőrzi, hogy az AWS X-Ray aktív nyomkövetés engedélyezve van-e az Amazon API Gateway REST API-fázisaiban. A röntgen aktív nyomkövetés gyorsabb választ tesz lehetővé a mögöttes infrastruktúra teljesítménybeli változásaira. A teljesítmény változása az API rendelkezésre állásának hiányát eredményezheti. A X-Ray aktív nyomkövetés valós idejű metrikákat biztosít az API Gateway REST API-műveletein és a csatlakoztatott szolgáltatásokon áthaladó felhasználói kérelmekről.

Súlyosság: Alacsony

Az API Gatewayt AWS WAF webes ACL-hez kell társítani

Leírás: Ez a vezérlő ellenőrzi, hogy egy API Gateway-szakasz AWS WAF webes hozzáférés-vezérlési listát (ACL) használ-e. Ez a vezérlő meghiúsul, ha egy AWS WAF webes ACL nincs REST API Gateway-fázishoz csatolva. Az AWS WAF egy webalkalmazási tűzfal, amely segít megvédeni a webalkalmazásokat és API-kat a támadásoktól. Lehetővé teszi az ACL konfigurálását, amely olyan szabályok készlete, amelyek lehetővé teszik, letiltják vagy megszámlálják a webkérelmeket az Ön által meghatározott testre szabható webes biztonsági szabályok és feltételek alapján. Győződjön meg arról, hogy az API Gateway-szakasz egy AWS WAF webes ACL-hez van társítva, hogy védelmet nyújtson a rosszindulatú támadások ellen.

Súlyosság: Közepes

Engedélyezni kell az alkalmazás- és klasszikus Load Balancer-naplózást

Leírás: Ez a vezérlő ellenőrzi, hogy az alkalmazás terheléselosztója és a klasszikus Terheléselosztó engedélyezve van-e a naplózásban. A vezérlő nem működik, ha access_logs.s3.enabled hamis. A rugalmas terheléselosztás hozzáférési naplókat biztosít, amelyek részletes információkat rögzítenek a terheléselosztónak küldött kérelmekről. Minden napló olyan információkat tartalmaz, mint a kérés beérkezése, az ügyfél IP-címe, a késések, a kérelem elérési útjai és a kiszolgálói válaszok. Ezekkel a hozzáférési naplókkal elemezheti a forgalmi mintákat, és elháríthatja a problémákat. További információkért tekintse meg a klasszikus Load Balancer hozzáférési naplóit a klasszikus terheléselosztók felhasználói útmutatójában.

Súlyosság: Közepes

A csatlakoztatott EBS-köteteket inaktív állapotban kell titkosítani

Leírás: Ez a vezérlő ellenőrzi, hogy a csatolt állapotban lévő EBS-kötetek titkosítva vannak-e. Az ellenőrzés elvégzéséhez az EBS-köteteknek használatban kell lenniük és titkosítva kell lenniük. Ha az EBS-kötet nincs csatlakoztatva, akkor nincs kitéve ennek az ellenőrzésnek. Az EBS-kötetekben lévő bizalmas adatok biztonsági rétegének növelése érdekében engedélyeznie kell az EBS-titkosítást inaktív állapotban. Az Amazon EBS-titkosítás egyszerű titkosítási megoldást kínál az EBS-erőforrásokhoz, amely nem igényli a saját kulcskezelési infrastruktúra kiépítését, karbantartását és védelmét. Titkosított kötetek és pillanatképek létrehozásakor AWS KMS-ügyfélkulcsokat (CMK) használ. Az Amazon EBS-titkosítással kapcsolatos további információkért tekintse meg az Amazon EBS-titkosítást a Linux-példányokhoz készült Amazon EC2 felhasználói útmutatójában.

Súlyosság: Közepes

Az AWS Database Migration Service replikációs példányai nem lehetnek nyilvánosak

Leírás: A replikált példányok fenyegetésekkel szembeni védelme. A privát replikációs példányoknak olyan privát IP-címmel kell rendelkezniük, amelyet nem lehet elérni a replikációs hálózaton kívül. A replikációs példánynak magánhálózati IP-címmel kell rendelkeznie, ha a forrás- és céladatbázisok ugyanabban a hálózaton találhatók, és a hálózat VPN, AWS Direct Csatlakozás vagy VPC-társviszony használatával csatlakozik a replikációs példány VPC-éhez. Azt is biztosítania kell, hogy az AWS DMS-példány konfigurációjához való hozzáférés csak a jogosult felhasználókra korlátozódjon. Ehhez korlátozza a felhasználók IAM-engedélyeit az AWS DMS beállításainak és erőforrásainak módosításához.

Súlyosság: Magas

A klasszikus Load Balancer-figyelőket HTTPS- vagy TLS-megszakítással kell konfigurálni

Leírás: Ez a vezérlő ellenőrzi, hogy a klasszikus Load Balancer-figyelők https vagy TLS protokollal vannak-e konfigurálva az előtérbeli (ügyfél-terheléselosztó) kapcsolatokhoz. A vezérlő akkor alkalmazható, ha a klasszikus Load Balancer rendelkezik figyelőkkel. Ha a klasszikus Load Balancer nincs konfigurálva figyelővel, akkor a vezérlő nem jelent semmilyen megállapítást. A vezérlő akkor működik, ha a klasszikus Load Balancer-figyelők TLS-sel vagy HTTPS-vel vannak konfigurálva az előtérbeli kapcsolatokhoz. A vezérlő meghiúsul, ha a figyelő nincs TLS vagy HTTPS protokollal konfigurálva az előtérbeli kapcsolatokhoz. A terheléselosztó használatának megkezdése előtt fel kell vennie egy vagy több figyelőt. A figyelő egy folyamat, amely a konfigurált protokollt és portot használja a kapcsolatkérések ellenőrzéséhez. A figyelők http- és HTTPS/TLS-protokollokat is támogatnak. Mindig HTTPS- vagy TLS-figyelőt kell használnia, hogy a terheléselosztó az átvitel közben végezhesse a titkosítást és a visszafejtést.

Súlyosság: Közepes

A klasszikus Terheléselosztóknak engedélyezve kell lennie a kapcsolat ürítésének

Leírás: Ez a vezérlő ellenőrzi, hogy a klasszikus terheléselosztók engedélyezve vannak-e a kapcsolat ürítése. A klasszikus Terheléselosztók kapcsolatelvezetésének engedélyezése biztosítja, hogy a terheléselosztó ne küldjön kéréseket a regisztrációt megszüntető vagy nem megfelelő példányoknak. Nyitva tartja a meglévő kapcsolatokat. Ez az automatikus skálázási csoportok példányai esetében hasznos annak érdekében, hogy a kapcsolatok ne szakadjanak meg hirtelen.

Súlyosság: Közepes

A CloudFront-disztribúciókban engedélyezve kell lennie az AWS WAF-nek

Leírás: Ez a vezérlő ellenőrzi, hogy a CloudFront-disztribúciók AWS WAF-hez vagy AWS WAFv2 webes ACL-ekhez vannak-e társítva. A vezérlő meghiúsul, ha a disztribúció nincs webes ACL-hez társítva. Az AWS WAF egy webalkalmazási tűzfal, amely segít megvédeni a webalkalmazásokat és API-kat a támadásoktól. Ez lehetővé teszi a webhozzáférés-vezérlési lista (webes ACL) konfigurálását, amely lehetővé teszi, letiltja vagy megszámlálja a webkérelmeket az Ön által meghatározott testreszabható webes biztonsági szabályok és feltételek alapján. Győződjön meg arról, hogy a CloudFront-disztribúció egy AWS WAF webes ACL-hez van társítva, hogy védelmet nyújtson a rosszindulatú támadások ellen.

Súlyosság: Közepes

A CloudFront-disztribúciók naplózásának engedélyezve kell lennie

Leírás: Ez a vezérlő ellenőrzi, hogy engedélyezve van-e a kiszolgálói hozzáférés naplózása a CloudFront-disztribúciókban. A vezérlő meghiúsul, ha a hozzáférés naplózása nincs engedélyezve egy disztribúcióhoz. A CloudFront hozzáférési naplói részletes információkat nyújtanak a CloudFront által kapott felhasználói kérésekről. Minden napló olyan információkat tartalmaz, mint a kérelem beérkezésének dátuma és időpontja, a kérést küldő megtekintő IP-címe, a kérés forrása és a megtekintőtől érkező kérés portszáma. Ezek a naplók olyan alkalmazásokhoz hasznosak, mint a biztonsági és hozzáférési auditok és a kriminalisztikai vizsgálatok. A hozzáférési naplók elemzésével kapcsolatos további információkért tekintse meg az Amazon CloudFront-naplók lekérdezését az Amazon Athena felhasználói útmutatójában.

Súlyosság: Közepes

A CloudFront-disztribúcióknak átmenő titkosítást kell igényelniük

Leírás: Ez a vezérlő ellenőrzi, hogy egy Amazon CloudFront-disztribúció megköveteli-e, hogy a megtekintők közvetlenül használják-e a HTTPS-t, vagy átirányítást használnak-e. A vezérlő meghiúsul, ha a ViewerProtocolPolicy az defaultCacheBehavior vagy a cacheBehavior esetében az összes engedélyezésére van beállítva. A HTTPS (TLS) segítségével megakadályozhatja, hogy a potenciális támadók középen belüli vagy hasonló támadásokat használjanak a hálózati forgalom lehallgatására vagy módosítására. Csak https (TLS) protokollon keresztül titkosított kapcsolatok engedélyezettek. Az átvitel alatt lévő adatok titkosítása hatással lehet a teljesítményre. Ezzel a funkcióval tesztelheti az alkalmazást a TLS teljesítményprofiljának és hatásának megértéséhez.

Súlyosság: Közepes

A CloudTrail-naplókat inaktív állapotban kell titkosítani KMS CMK-k használatával

Leírás: Javasoljuk, hogy konfigurálja a CloudTrailt az S Standard kiadás-KMS használatára. Ha a CloudTrailt az S Standard kiadás-KMS használatára konfigurálja, több bizalmassági vezérlőt biztosít a naplóadatokhoz, mivel egy adott felhasználónak S3 olvasási engedéllyel kell rendelkeznie a megfelelő naplógyűjtőn, és visszafejtési engedélyt kell adnia a CMK-szabályzatnak.

Súlyosság: Közepes

az Amazon Redshift-fürtökre való Csatlakozás átvitel közben titkosítva kell lenniük

Leírás: Ez a vezérlő ellenőrzi, hogy szükség van-e az Amazon Redshift-fürtökkel való kapcsolatokra az átvitel közbeni titkosítás használatához. Az ellenőrzés sikertelen, ha az Amazon Redshift-fürt paramétere require_SSL nincs 1-re állítva. A TLS segítségével megakadályozhatja, hogy a potenciális támadók középen belüli vagy hasonló támadásokat használjanak a hálózati forgalom lehallgatására vagy módosítására. Csak A TLS-en keresztüli titkosított kapcsolatok engedélyezettek. Az átvitel alatt lévő adatok titkosítása hatással lehet a teljesítményre. Ezzel a funkcióval tesztelheti az alkalmazást a TLS teljesítményprofiljának és hatásának megértéséhez.

Súlyosság: Közepes

Csatlakozás Elasticsearch-tartományokba való átirányítást tLS 1.2 használatával kell titkosítani

Leírás: Ez a vezérlő ellenőrzi, hogy szükség van-e az Elasticsearch-tartományokkal való kapcsolatokra a TLS 1.2 használatához. Az ellenőrzés sikertelen, ha az Elasticsearch tartomány TLSSecurityPolicy nem Policy-Min-TLS-1-2-2019-07. A HTTPS (TLS) segítségével megakadályozhatja, hogy a potenciális támadók középen belüli vagy hasonló támadásokat használjanak a hálózati forgalom lehallgatására vagy módosítására. Csak https (TLS) protokollon keresztül titkosított kapcsolatok engedélyezettek. Az átvitel alatt lévő adatok titkosítása hatással lehet a teljesítményre. Ezzel a funkcióval tesztelheti az alkalmazást a TLS teljesítményprofiljának és hatásának megértéséhez. A TLS 1.2 számos biztonsági fejlesztést biztosít a TLS korábbi verzióihoz képest.

Súlyosság: Közepes

A DynamoDB-tábláknak engedélyezniük kell az időponthoz kötött helyreállítást

Leírás: Ez a vezérlő ellenőrzi, hogy az időponthoz kötött helyreállítás (PITR) engedélyezve van-e egy Amazon DynamoDB-táblához. A biztonsági mentések segítenek a biztonsági incidensek gyorsabb helyreállításában. Emellett erősítik a rendszerek rugalmasságát is. A DynamoDB időponthoz kötött helyreállítás automatizálja a DynamoDB-táblák biztonsági mentéseit. Csökkenti a véletlen törlési vagy írási műveletek utáni helyreállítás idejét. A PITR-t engedélyező DynamoDB-táblák az elmúlt 35 nap bármely időpontjára visszaállíthatók.

Súlyosság: Közepes

Az EBS alapértelmezett titkosítását engedélyezni kell

Leírás: Ez a vezérlő ellenőrzi, hogy a fiókszintű titkosítás alapértelmezés szerint engedélyezve van-e az Amazon Elastic Block Store(Amazon EBS) esetében. A vezérlés meghiúsul, ha a fiókszintű titkosítás nincs engedélyezve. Ha a fiók titkosítása engedélyezve van, az Amazon EBS-kötetei és pillanatkép-másolatai inaktív állapotban lesznek titkosítva. Ez egy újabb védelmi réteget ad az adatokhoz. További információ: A Linux-példányokhoz készült Amazon EC2 felhasználói útmutatója alapértelmezés szerint tartalmazza a titkosítást. Vegye figyelembe, hogy a következő példánytípusok nem támogatják a titkosítást: R1, C1 és M1.

Súlyosság: Közepes

A rugalmas Beanstalk-környezeteknek engedélyezve kell lennie a fokozott állapotjelentésnek

Leírás: Ez a vezérlő ellenőrzi, hogy engedélyezve van-e a továbbfejlesztett állapotjelentés az AWS Elastic Beanstalk-környezetekhez. Az elastic Beanstalk továbbfejlesztett állapotjelentése gyorsabb választ tesz lehetővé a mögöttes infrastruktúra állapotának változásaira. Ezek a módosítások az alkalmazás rendelkezésre állásának hiányát okozhatják. Az Elastic Beanstalk továbbfejlesztett állapotjelentése állapotleírót biztosít az azonosított problémák súlyosságának felméréséhez és a kivizsgálás lehetséges okainak azonosításához. A támogatott Amazon Machine Imagesben (AMI-k) található Elastic Beanstalk állapotügynök kiértékeli a környezeti EC2-példányok naplóit és metrikáit.

Súlyosság: Alacsony

Engedélyezni kell a Elastic Beanstalk által felügyelt platformfrissítéseket

Leírás: Ez a vezérlő ellenőrzi, hogy engedélyezve vannak-e a felügyelt platformfrissítések az Elastic Beanstalk-környezethez. A felügyelt platformfrissítések engedélyezése biztosítja, hogy a környezet legújabb elérhető platformjavításai, frissítései és funkciói telepítve legyenek. A javítások telepítésének naprakészen tartása fontos lépés a rendszerek biztonságossá tételében.

Súlyosság: Magas

A rugalmas Load Balancer nem rendelkezhet az ACM-tanúsítvány lejártával vagy 90 nap múlva lejáróval.

Leírás: Ez az ellenőrzés azonosítja az ACM-tanúsítványokat használó rugalmas terheléselosztókat (ELB), amelyek 90 napon belül lejárt vagy lejáró ACM-tanúsítványokat használnak. Az AWS Tanúsítványkezelő (ACM) a kiszolgálótanúsítványok kiépítésének, kezelésének és üzembe helyezésének előnyben részesített eszköze. Az ACM használatával tanúsítványt kérhet, vagy üzembe helyezhet egy meglévő ACM- vagy külső tanúsítványt az AWS-erőforrásokon. Ajánlott eljárásként ajánlott újra importálni a lejárt/lejárt tanúsítványokat az eredeti tanúsítvány ELB-társításainak megőrzése mellett.

Súlyosság: Magas

Engedélyezni kell az Elasticsearch tartományhibáinak naplózását a CloudWatch-naplókba

Leírás: Ez a vezérlő ellenőrzi, hogy az Elasticsearch-tartományok úgy vannak-e konfigurálva, hogy hibanaplókat küldjenek a CloudWatch-naplóknak. Engedélyeznie kell az Elasticsearch-tartományok hibanaplóit, és el kell küldenie ezeket a naplókat a CloudWatch-naplókba megőrzés és válasz céljából. A tartományi hibanaplók segíthetnek a biztonsági és hozzáférési auditokban, és segíthetnek a rendelkezésre állási problémák diagnosztizálásában.

Súlyosság: Közepes

Az Elasticsearch-tartományokat legalább három dedikált főcsomóponttal kell konfigurálni

Leírás: Ez a vezérlő ellenőrzi, hogy az Elasticsearch-tartományok legalább három dedikált főcsomóponttal vannak-e konfigurálva. Ez a vezérlő meghiúsul, ha a tartomány nem használ dedikált főcsomópontokat. Ez a vezérlő akkor halad át, ha az Elasticsearch-tartományok öt dedikált főcsomópontot rendelkeznek. A rendelkezésre állási kockázat mérsékléséhez azonban szükségtelen lehet háromnál több főcsomópont használata, ami több költséget eredményez. Az Elasticsearch-tartományhoz legalább három dedikált főcsomópont szükséges a magas rendelkezésre állás és a hibatűrés érdekében. A dedikált főcsomópont-erőforrások az adatcsomópont kék/zöld üzemelő példányai során feszülhetnek, mert több csomópontot kell kezelni. Ha legalább három dedikált főcsomóponttal rendelkező Elasticsearch-tartományt helyez üzembe, elegendő főcsomópont-erőforrás-kapacitást és fürtműveletet biztosít, ha egy csomópont meghibásodik.

Súlyosság: Közepes

Az Elasticsearch-tartományoknak legalább három adatcsomópontot kell használniuk

Leírás: Ez a vezérlő ellenőrzi, hogy az Elasticsearch-tartományok legalább három adatcsomóponttal vannak-e konfigurálva, és a zoneAwarenessEnabled igaz. Az Elasticsearch tartományhoz legalább három adatcsomópont szükséges a magas rendelkezésre állás és a hibatűrés érdekében. Ha legalább három adatcsomóponttal rendelkező Elasticsearch-tartományt helyez üzembe, a fürtműveleteket akkor biztosítja, ha egy csomópont meghibásodik.

Súlyosság: Közepes

Az Elasticsearch-tartományok naplózásának engedélyezve kell lennie

Leírás: Ez a vezérlő ellenőrzi, hogy az Elasticsearch-tartományok naplózása engedélyezve van-e. Ez a vezérlő meghiúsul, ha egy Elasticsearch-tartomány nem engedélyezi a naplózást. A naplózási naplók nagymértékben testreszabhatók. Lehetővé teszik a felhasználói tevékenységek nyomon követését az Elasticsearch-fürtökön, beleértve a hitelesítési sikereket és a hibákat, az OpenSearch-kérelmeket, az indexmódosításokat és a bejövő keresési lekérdezéseket.

Súlyosság: Közepes

A továbbfejlesztett monitorozást RDS DB-példányokhoz és fürtökhöz kell konfigurálni

Leírás: Ez a vezérlő ellenőrzi, hogy engedélyezve van-e a fokozott figyelés az RDS DB-példányokhoz. Az Amazon RDS-ben a továbbfejlesztett monitorozás gyorsabb választ tesz lehetővé a mögöttes infrastruktúra teljesítményváltozására. Ezek a teljesítményváltozások az adatok rendelkezésre állásának hiányát eredményezhetik. A továbbfejlesztett figyelés valós idejű metrikákat biztosít az RDS DB-példány által futtatott operációs rendszerről. A példányon egy ügynök van telepítve. Az ügynök a hipervizor rétegből a lehetségesnél pontosabban tud metrikákat beszerezni. A továbbfejlesztett monitorozási metrikák akkor hasznosak, ha látni szeretné, hogy egy DB-példány különböző folyamatai vagy szálai hogyan használják a processzort. További információ: Fokozott figyelés az Amazon RDS felhasználói útmutatójában.

Súlyosság: Alacsony

Győződjön meg arról, hogy az ügyfél által létrehozott CMK-k rotációja engedélyezve van

Leírás: Az AWS kulcskezelő szolgáltatás (KMS) lehetővé teszi az ügyfelek számára a háttérkulcs elforgatását, amely a KMS-ben tárolt kulcsanyag, amely az ügyfél által létrehozott ügyfél főkulcsának (CMK) kulcsazonosítójával van kötve. Ez az a háttérkulcs, amely olyan titkosítási műveletek végrehajtására szolgál, mint a titkosítás és a visszafejtés. Az automatizált kulcsváltás jelenleg megőrzi az összes korábbi háttérkulcsot, hogy a titkosított adatok visszafejtése transzparens módon valósuljon meg. Javasoljuk, hogy engedélyezze a CMK kulcsforgatását. A titkosítási kulcsok elforgatásával csökkenthető a feltört kulcsok potenciális hatása, mivel az új kulccsal titkosított adatok nem érhetők el egy korábbi kulccsal, amely esetleg ki lett téve.

Súlyosság: Közepes

Győződjön meg arról, hogy az S3-gyűjtő hozzáférésének naplózása engedélyezve van a CloudTrail S3 gyűjtőn

Leírás: Az S3 gyűjtőhozzáférés naplózása létrehoz egy naplót, amely hozzáférési rekordokat tartalmaz. Győződjön meg arról, hogy az S3 gyűjtőhozzáférési naplózás engedélyezve van a CloudTrail S3-gyűjtőn az S3-gyűjtőnek küldött összes kéréshez. A hozzáférési naplórekord a kérelem részleteit tartalmazza, például a kérelem típusát, a kérelemben megadott erőforrásokat, valamint a kérelem feldolgozásának időpontját és dátumát. Javasoljuk, hogy engedélyezze a gyűjtőhozzáférés naplózását a CloudTrail S3 gyűjtőn. Ha engedélyezi az S3-gyűjtők naplózását a cél S3-gyűjtőkön, minden olyan esemény rögzíthető, amely hatással lehet a célgyűjtőkben lévő objektumokra. Ha úgy konfigurálja a naplókat, hogy külön gyűjtőbe kerüljenek, hozzáférést biztosít a naplóadatokhoz, ami hasznos lehet a biztonsági és incidenskezelési munkafolyamatokban.

Súlyosság: Alacsony

Győződjön meg arról, hogy a CloudTrail-naplók tárolására használt S3-gyűjtő nem érhető el nyilvánosan

Leírás: A CloudTrail naplózza az AWS-fiókban végrehajtott összes API-hívás rekordját. Ezek a naplófájlok egy S3-gyűjtőben vannak tárolva. Javasoljuk, hogy a gyűjtőszabályzatot vagy a hozzáférés-vezérlési listát (ACL) alkalmazza a CloudTrail által naplózott S3-gyűjtőre, hogy megakadályozza a CloudTrail-naplókhoz való nyilvános hozzáférést. A CloudTrail-napló tartalmának nyilvános hozzáférésének engedélyezése segíthet a támadónak az érintett fiók használatának vagy konfigurációjának gyengeségeinek azonosításában.

Súlyosság: Magas

Az IAM-nek nem kellett volna lejárt SSL/TLS-tanúsítványokkal rendelkeznie

Leírás: Ez az ellenőrzés a lejárt SSL-/TLS-tanúsítványokat azonosítja. Ahhoz, hogy HTTPS-kapcsolatokat engedélyezhessen a webhelyéhez vagy alkalmazásához az AWS-ben, SSL-/TLS-kiszolgálótanúsítványra van szükség. Az ACM vagy az IAM használatával kiszolgálótanúsítványokat tárolhat és helyezhet üzembe. A lejárt SSL-/TLS-tanúsítványok eltávolítása kiküszöböli annak kockázatát, hogy egy érvénytelen tanúsítványt véletlenül üzembe helyez egy erőforráson, például az AWS Elastic Load Balancert (ELB), ami ronthatja az alkalmazás/webhely hitelességét az ELB mögött. Ez az ellenőrzés riasztásokat hoz létre, ha lejárt SSL/TLS-tanúsítványok vannak tárolva az AWS IAM-ben. Ajánlott eljárásként ajánlott törölni a lejárt tanúsítványokat.

Súlyosság: Magas

Az importált ACM-tanúsítványokat egy megadott időszak után meg kell újítani

Leírás: Ez a vezérlő ellenőrzi, hogy a fiók ACM-tanúsítványai 30 napon belül lejáratra vannak-e megjelölve. Ellenőrzi az AWS Tanúsítványkezelő által biztosított importált tanúsítványokat és tanúsítványokat is. Az ACM automatikusan megújíthatja a DNS-ellenőrzést használó tanúsítványokat. Az e-mail-ellenőrzést használó tanúsítványok esetében tartományérvényesítési e-mailre kell válaszolnia. Az ACM emellett nem újítja meg automatikusan az importált tanúsítványokat. Az importált tanúsítványokat manuálisan kell megújítania. Az ACM-tanúsítványok felügyelt megújításával kapcsolatos további információkért tekintse meg az ACM-tanúsítványok felügyelt megújítását az AWS Tanúsítványkezelő felhasználói útmutatójában.

Súlyosság: Közepes

A fiókokban a túlzottan kiépített identitásokat meg kell vizsgálni az engedélykúszási index (PCI) csökkentése érdekében

Leírás: A fiókok túlzottan kiosztott identitásait meg kell vizsgálni a jogosultsági kúszóindex (PCI) csökkentése és az infrastruktúra védelme érdekében. Csökkentse a PCI-t a nem használt magas kockázatú engedélyhozzárendelések eltávolításával. A magas PCI a normál vagy a szükséges használatot meghaladó engedélyekkel rendelkező identitásokhoz kapcsolódó kockázatokat tükrözi.

Súlyosság: Közepes

Az RDS automatikus alverziófrissítéseit engedélyezni kell

Leírás: Ez a vezérlő ellenőrzi, hogy engedélyezve vannak-e az rds-adatbázispéldány automatikus alverziófrissítései. Az automatikus alverziófrissítések engedélyezése biztosítja, hogy a relációs adatbázis-kezelő rendszer (RDBMS) legújabb alverziófrissítései telepítve legyenek. Ezek a frissítések biztonsági javításokat és hibajavításokat is tartalmazhatnak. A javítások telepítésének naprakészen tartása fontos lépés a rendszerek biztonságossá tételében.

Súlyosság: Magas

Az RDS-fürt pillanatképeit és az adatbázis-pillanatképeket inaktív állapotban kell titkosítani

Leírás: Ez a vezérlő ellenőrzi, hogy az RDS DB-pillanatképek titkosítva vannak-e. Ez a vezérlő RDS DB-példányokhoz készült. Ugyanakkor az Aurora DB-példányok, a Neptune DB-példányok és az Amazon DocumentDB-fürtök pillanatképeihez is létrehozhat eredményeket. Ha ezek az eredmények nem hasznosak, letilthatja őket. Az inaktív adatok titkosítása csökkenti annak kockázatát, hogy egy hitelesítés nélküli felhasználó hozzáfér a lemezen tárolt adatokhoz. Az RDS-pillanatképekben lévő adatokat inaktív állapotban kell titkosítani egy hozzáadott biztonsági réteg érdekében.

Súlyosság: Közepes

Az RDS-fürtöknek engedélyezniük kell a törlés elleni védelmet

Leírás: Ez a vezérlő ellenőrzi, hogy az RDS-fürtöken engedélyezve van-e a törlés elleni védelem. Ez a vezérlő RDS DB-példányokhoz készült. Ugyanakkor az Aurora DB-példányok, a Neptune DB-példányok és az Amazon DocumentDB-fürtök eredményeit is létrehozhatja. Ha ezek az eredmények nem hasznosak, letilthatja őket. A fürttörlési védelem engedélyezése a jogosulatlan entitások véletlen adatbázis-törlésével vagy törlésével szembeni védelmi réteg. Ha a törlés elleni védelem engedélyezve van, az RDS-fürtök nem törölhetők. A törlési kérelem sikeres végrehajtása előtt le kell tiltani a törlési védelmet.

Súlyosság: Alacsony

Az RDS DB-fürtöket több rendelkezésre állási zónához kell konfigurálni

Leírás: Az RDS DB-fürtöket több tárolt adathoz kell konfigurálni. A több rendelkezésre állási zónába történő üzembe helyezés lehetővé teszi a rendelkezésre állási zónák automatizálását, hogy a rendelkezésre állási zónák rendelkezésre állási problémái esetén és a rendszeres RDS-karbantartási események során biztosítsa a feladatátvétel rendelkezésre állását.

Súlyosság: Közepes

Az RDS DB-fürtöket úgy kell konfigurálni, hogy címkéket másoljanak a pillanatképekbe

Leírás: Az informatikai eszközök azonosítása és leltározása az irányítás és a biztonság kulcsfontosságú eleme. Az RDS DB-fürtök láthatóságával kell rendelkeznie, hogy felmérhesse a biztonsági helyzetüket, és a lehetséges gyengeségi területekre reagáljon. A pillanatképeket ugyanúgy kell címkézni, mint a szülő RDS-adatbázisfürtöket. A beállítás engedélyezése biztosítja, hogy a pillanatképek örököljék a szülőadatbázis-fürtök címkéit.

Súlyosság: Alacsony

Az RDS DB-példányokat úgy kell konfigurálni, hogy címkéket másoljanak a pillanatképekbe

Leírás: Ez a vezérlő ellenőrzi, hogy az RDS DB-példányok úgy vannak-e konfigurálva, hogy az összes címkét pillanatképekbe másolja a pillanatképek létrehozásakor. Az informatikai eszközök azonosítása és leltározása az irányítás és a biztonság kulcsfontosságú eleme. Az RDS DB-példányok láthatóságával kell rendelkeznie, hogy felmérhesse a biztonsági helyzetüket, és műveletet hajthass végre a lehetséges gyengeségi területeken. A pillanatképeket ugyanúgy kell címkézni, mint a szülő RDS-adatbázispéldányokat. A beállítás engedélyezése biztosítja, hogy a pillanatképek örököljék a szülőadatbázis-példányaik címkéit.

Súlyosság: Alacsony

Az RDS DB-példányokat több rendelkezésre állási zónával kell konfigurálni

Leírás: Ez a vezérlő ellenőrzi, hogy engedélyezve van-e a magas rendelkezésre állás az RDS DB-példányokhoz. Az RDS DB-példányokat több rendelkezésre állási zónához (AZ-hez) kell konfigurálni. Ez biztosítja a tárolt adatok rendelkezésre állását. A multi-AZ üzemelő példányok lehetővé teszik az automatikus feladatátvételt, ha probléma merül fel a rendelkezésre állási zóna rendelkezésre állásával és a rendszeres RDS-karbantartás során.

Súlyosság: Közepes

Az RDS DB-példányoknak engedélyezniük kell a törlés elleni védelmet

Leírás: Ez a vezérlő ellenőrzi, hogy a felsorolt adatbázismotorokat használó RDS DB-példányok rendelkeznek-e engedélyezett törlési védelemmel. A példánytörlési védelem engedélyezése egy másik védelmi réteg az adatbázis jogosulatlan entitás általi véletlen törlésével vagy törlésével szemben. Amíg a törlés elleni védelem engedélyezve van, az RDS DB-példányok nem törölhetők. A törlési kérelem sikeres végrehajtása előtt le kell tiltani a törlési védelmet.

Súlyosság: Alacsony

Az RDS DB-példányoknak engedélyezniük kell a inaktív titkosítást

Leírás: Ez a vezérlő ellenőrzi, hogy engedélyezve van-e a tárolótitkosítás az Amazon RDS DB-példányokhoz. Ez a vezérlő RDS DB-példányokhoz készült. Ugyanakkor az Aurora DB-példányok, a Neptune DB-példányok és az Amazon DocumentDB-fürtök eredményeit is létrehozhatja. Ha ezek az eredmények nem hasznosak, letilthatja őket. Az RDS DB-példányokban lévő bizalmas adatokhoz hozzáadott biztonsági réteget úgy kell konfigurálnia, hogy az RDS DB-példányok inaktív állapotban legyenek titkosítva. Az RDS DB-példányok és a pillanatképek inaktív titkosításához engedélyezze az RDS DB-példányok titkosítási beállítását. A inaktív állapotban titkosított adatok közé tartoznak a db-példányok mögöttes tárolói, az automatizált biztonsági mentések, az olvasási replikák és a pillanatképek. Az RDS által titkosított ADATBÁZIS-példányok a nyílt standard AES-256 titkosítási algoritmussal titkosítják az adatokat az RDS DB-példányokat üzemeltető kiszolgálón. Az adatok titkosítása után az Amazon RDS transzparens módon kezeli az adatok elérésének és visszafejtésének hitelesítését, minimális hatással a teljesítményre. Nem kell módosítania az adatbázis-ügyfélalkalmazásokat a titkosítás használatához. Az Amazon RDS-titkosítás jelenleg minden adatbázismotorhoz és tárolótípushoz elérhető. Az Amazon RDS-titkosítás a legtöbb DB-példányosztályhoz elérhető. Az Amazon RDS-titkosítást nem támogató DB-példányosztályokról az Amazon RDS-erőforrások titkosításáról az Amazon RDS felhasználói útmutatójában olvashat.

Súlyosság: Közepes

Az RDS DB-példányoknak meg kell tiltanak a nyilvános hozzáférést

Leírás: Azt is javasoljuk, hogy győződjön meg arról, hogy az RDS-példány konfigurációjához való hozzáférés csak a jogosult felhasználókra korlátozódik, mivel korlátozza a felhasználók IAM-engedélyeit az RDS-példányok beállításainak és erőforrásainak módosításához.

Súlyosság: Magas

Az RDS-pillanatképek nyilvános hozzáférést tiltanak

Leírás: Azt javasoljuk, hogy csak a jogosult tagok férhessenek hozzá a pillanatképhez, és módosítják az Amazon RDS konfigurációját.

Súlyosság: Magas

A nem használt Titkos kulcskezelő titkos kulcsok eltávolítása

Leírás: Ez a vezérlő ellenőrzi, hogy a titkos kulcsok megadott számú napon belül hozzáfértek-e. Az alapértelmezett érték 90 nap. Ha a megadott számú napon belül nem fér hozzá egy titkos kódhoz, ez a vezérlő meghiúsul. A fel nem használt titkos kódok törlése ugyanolyan fontos, mint a titkos kulcsok rotálása. A nem használt titkos kulcsokat visszaélhetik korábbi felhasználóikkal, akiknek már nincs szükségük ezekhez a titkos kódokhoz való hozzáférésre. Emellett, ahogy egyre több felhasználó fér hozzá egy titkos kódhoz, előfordulhat, hogy valaki helytelenül kezelte és kiszivárogtatta azt egy jogosulatlan entitásnak, ami növeli a visszaélések kockázatát. A fel nem használt titkos kódok törlése segít visszavonni a titkos kódok hozzáférését azoktól a felhasználóktól, akiknek már nincs rá szükségük. Emellett segít csökkenteni a Secrets Manager használatának költségeit is. Ezért elengedhetetlen a nem használt titkos kódok rutinszerű törlése.

Súlyosság: Közepes

Az S3-gyűjtőkben engedélyezve kell lennie a régiók közötti replikációnak

Leírás: Az S3 régiók közötti replikációjának engedélyezése biztosítja, hogy az adatok több verziója is elérhető különböző régiókban. Ez lehetővé teszi az S3-gyűjtő védelmét a DDoS-támadások és az adatsérülési események ellen.

Súlyosság: Alacsony

Az S3-gyűjtőkben engedélyezve kell lennie a kiszolgálóoldali titkosításnak

Leírás: Engedélyezze a kiszolgálóoldali titkosítást az S3-gyűjtőkben lévő adatok védelméhez. Az adatok titkosítása megakadályozhatja a bizalmas adatokhoz való hozzáférést adatszivárgás esetén.

Súlyosság: Közepes

Az automatikus forgatással konfigurált Titkos kulcsok kezelőjének sikeresen el kell forgatnia

Leírás: Ez a vezérlő ellenőrzi, hogy az AWS Titkos kulcskezelő titkos kulcsai a forgatás ütemezése alapján sikeresen forogtak-e. A vezérlő meghiúsul, ha a RotationOccurringAsScheduled értéke hamis. A vezérlő nem értékeli ki azokat a titkos kulcsokat, amelyekhez nincs konfigurálva rotáció. A Titkos kulcsok kezelője segít a szervezet biztonsági helyzetének javításában. A titkos kódok közé tartoznak az adatbázis hitelesítő adatai, a jelszavak és a külső API-kulcsok. A Titkos kulcsok kezelőjével központilag tárolhatja a titkos kulcsokat, automatikusan titkosíthatja a titkos kulcsokat, szabályozhatja a titkos kódokhoz való hozzáférést, és biztonságosan és automatikusan elforgathatja a titkos kulcsokat. A Titkos kulcsok kezelője el tudja forgatni a titkos kulcsokat. A rotációval a hosszú távú titkos kulcsokat rövid távúra cserélheti. A titkos kódok elforgatása korlátozza, hogy egy jogosulatlan felhasználó mennyi ideig használhat feltört titkos kódot. Ezért érdemes gyakran elforgatni a titkos kulcsokat. A titkos kulcsok automatikus elforgatásának konfigurálása mellett gondoskodnia kell arról, hogy ezek a titkos kulcsok a forgatás ütemezése alapján sikeresen forogjanak. A rotálásról további információt az AWS Titkos kulcskezelő titkos kulcsainak elforgatása című témakörben talál az AWS Titkos kulcskezelő felhasználói útmutatójában.

Súlyosság: Közepes

A Titkos kulcsok kezelőjének titkos kulcsait meghatározott számú napon belül kell elforgatni

Leírás: Ez a vezérlő ellenőrzi, hogy a titkos kulcsokat 90 napon belül legalább egyszer elforgatták-e. A titkos kulcsok elforgatásával csökkentheti a titkos kulcsok jogosulatlan használatának kockázatát az AWS-fiókban. Ilyenek például az adatbázis hitelesítő adatai, a jelszavak, a külső API-kulcsok és akár tetszőleges szöveg is. Ha hosszú ideig nem változtatja meg a titkos kulcsokat, a titkos kulcsok nagyobb valószínűséggel sérülnek. Ahogy egyre több felhasználó fér hozzá egy titkos kódhoz, valószínűbbé válik, hogy valaki helytelenül kezelte és kiszivárogtatta azt egy jogosulatlan entitásnak. A titkos kulcsok kiszivároghatnak a naplókon és a gyorsítótáradatokon keresztül. Hibakeresés céljából megoszthatók, és a hibakeresés befejezése után nem módosíthatók vagy vonhatók vissza. Mindezek miatt a titkos kulcsokat gyakran kell elforgatni. A titkos kulcsokat az AWS Titkos kulcskezelőben konfigurálhatja az automatikus rotáláshoz. Az automatikus rotációval a hosszú távú titkos kulcsokat rövid távúra cserélheti, jelentősen csökkentve a kompromisszum kockázatát. A Security Hub azt javasolja, hogy engedélyezze a Titkos kulcsok kezelőjének titkos kulcsainak forgatását. A rotálásról további információt az AWS Titkos kulcskezelő titkos kulcsainak elforgatása című témakörben talál az AWS Titkos kulcskezelő felhasználói útmutatójában.

Súlyosság: Közepes

Az SNS-témaköröket inaktív állapotban kell titkosítani az AWS KMS használatával

Leírás: Ez a vezérlő ellenőrzi, hogy egy SNS-témakör titkosítva van-e inaktív állapotban az AWS KMS használatával. Az inaktív adatok titkosítása csökkenti annak a kockázatát, hogy a lemezen tárolt adatokat egy felhasználó nem hitelesíti az AWS-ben. Emellett további hozzáférési vezérlőket is hozzáad, amelyek korlátozzák a jogosulatlan felhasználók hozzáférését az adatokhoz. Például az API-engedélyek szükségesek az adatok visszafejtéséhez az olvasás előtt. Az SNS-témaköröket inaktív állapotban kell titkosítani egy hozzáadott biztonsági réteghez. További információ: Inaktív titkosítás az Amazon Simple Notification Service fejlesztői útmutatójában.

Súlyosság: Közepes

A VPC-folyamatok naplózását minden VPN-ben engedélyezni kell

Leírás: A VPC-folyamatnaplók a VPC-n áthaladó hálózati forgalom láthatóságát biztosítják, és a biztonsági események során rendellenes forgalom vagy megállapítások észlelésére használhatók.

Súlyosság: Közepes

AWS IdentityAndAccess-javaslatok

Az Amazon Elasticsearch service-tartományoknak VPC-ben kell lenniük

Leírás: A VPC nem tartalmazhat nyilvános végponttal rendelkező tartományokat. Megjegyzés: ez nem értékeli ki a VPC-alhálózat útválasztási konfigurációját a nyilvános elérhetőség meghatározásához.

Súlyosság: Magas

A gyűjtőszabályzatokban más AWS-fiókoknak adott Amazon S3-engedélyeket korlátozni kell

Leírás: A minimális jogosultsági hozzáférés megvalósítása alapvető fontosságú a biztonsági kockázat és a hibák vagy rosszindulatú szándékok hatásának csökkentése szempontjából. Ha egy S3 gyűjtőszabályzat engedélyezi a hozzáférést külső fiókokból, az adatkiszivárgást okozhat egy belső fenyegetés vagy egy támadó által. A "blacklistedactionpatterns" paraméter lehetővé teszi az S3-gyűjtők szabályának sikeres kiértékelését. A paraméter hozzáférést biztosít a külső fiókokhoz a "blacklistedactionpatterns" listában nem szereplő műveleti mintákhoz.

Súlyosság: Magas

Kerülje a "gyökér" fiók használatát

Leírás: A "gyökér" fiók korlátlan hozzáféréssel rendelkezik az AWS-fiók összes erőforrásához. Javasoljuk, hogy kerülje a fiók használatát. A "gyökér" fiók a legjogosabb AWS-fiók. A fiók használatának minimalizálása és a hozzáférés-kezeléshez szükséges minimális jogosultság elve alkalmazása csökkenti a véletlen változások és a magas jogosultságú hitelesítő adatok nem szándékos közzétételének kockázatát.

Súlyosság: Magas

Az AWS KMS-kulcsokat nem szabad véletlenül törölni

Leírás: Ez a vezérlő ellenőrzi, hogy a KMS-kulcsok törlésre vannak-e ütemezve. A vezérlő meghiúsul, ha a KMS-kulcs törlésre van ütemezve. A KMS-kulcsok nem állíthatók helyre a törlés után. A KMS-kulcs alatt titkosított adatok szintén véglegesen helyreállíthatatlanok a KMS-kulcs törlésekor. Ha a rendszer a törlésre ütemezett KMS-kulcs alatt titkosította a fontos adatokat, fontolja meg az adatok visszafejtését vagy az adatok újratitkosítását egy új KMS-kulcs alatt, kivéve, ha szándékosan végez titkosítási törlést. Ha a KMS-kulcs törlésre van ütemezve, a rendszer kötelező várakozási időt kényszerít ki, amely lehetővé teszi a törlés visszavonását, ha az ütemezett hiba történt. Az alapértelmezett várakozási idő 30 nap, de akár hét napra is csökkenthető, amikor a KMS-kulcs törlésre van ütemezve. A várakozási időszak alatt az ütemezett törlés megszakítható, és a KMS-kulcs nem törölhető. A KMS-kulcsok törlésével kapcsolatos további információkért lásd a KMS-kulcsok törlését az AWS kulcskezelő szolgáltatás fejlesztői útmutatójában.

Súlyosság: Magas

Engedélyezni kell az AWS WAF klasszikus globális webes ACL-naplózását

Leírás: Ez a vezérlő ellenőrzi, hogy engedélyezve van-e a naplózás az AWS WAF globális webes ACL-hez. Ez a vezérlő meghiúsul, ha a naplózás nincs engedélyezve a webes ACL-ben. A naplózás fontos része az AWS WAF globális megbízhatóságának, rendelkezésre állásának és teljesítményének fenntartásának. Ez számos szervezet üzleti és megfelelőségi követelménye, és lehetővé teszi az alkalmazások viselkedésének hibaelhárítását. Részletes információkat nyújt az AWS WAF-hez csatolt webes ACL által elemzett forgalomról is.

Súlyosság: Közepes

A CloudFront-disztribúcióknak konfigurálva kell lennie egy alapértelmezett gyökérobjektumnak

Leírás: Ez a vezérlő ellenőrzi, hogy egy Amazon CloudFront-disztribúció úgy van-e konfigurálva, hogy egy adott objektumot adjon vissza, amely az alapértelmezett gyökérobjektum. A vezérlő meghiúsul, ha a CloudFront-disztribúció nem rendelkezik alapértelmezett gyökérobjektum konfigurálva. Előfordulhat, hogy a felhasználó a terjesztési objektum helyett a terjesztési gyökér URL-címét kéri. Ha ez történik, az alapértelmezett gyökérobjektum megadása segíthet elkerülni a webes disztribúció tartalmának felfedését.

Súlyosság: Magas

A CloudFront-disztribúcióknak engedélyezve kell lennie a forráselérési identitással

Leírás: Ez a vezérlő ellenőrzi, hogy egy Amazon CloudFront-disztribúció az Amazon S3 Origin típussal rendelkezik-e az Origin Access Identity (OAI) konfigurálva. A vezérlő meghiúsul, ha az OAI nincs konfigurálva. A CloudFront OAI megakadályozza, hogy a felhasználók közvetlenül hozzáférjenek az S3-gyűjtő tartalmához. Amikor a felhasználók közvetlenül érnek el egy S3-gyűjtőt, hatékonyan megkerülik a CloudFront-disztribúciót és a mögöttes S3-gyűjtő tartalmára alkalmazott engedélyeket.

Súlyosság: Közepes

Engedélyezni kell a CloudTrail-naplófájlok érvényesítését

Leírás: A CloudTrail-naplók integritásának további ellenőrzése érdekében javasoljuk, hogy engedélyezze a fájlérvényesítést az összes CloudTrailen.

Súlyosság: Alacsony

A CloudTrailt engedélyezni kell

Leírás: Az AWS CloudTrail egy webszolgáltatás, amely rögzíti a fiókhoz tartozó AWS API-hívásokat, és naplófájlokat kézbesít Önnek. Nem minden szolgáltatás engedélyezi alapértelmezés szerint a naplózást az összes API-hoz és eseményhez. A CloudTrailen kívül minden további auditnaplót is végre kell hajtania, és tekintse át a CloudTrail által támogatott szolgáltatások és integrációk minden egyes szolgáltatásának dokumentációját.

Súlyosság: Magas

A CloudTrail-útvonalakat integrálnia kell a CloudWatch-naplókkal

Leírás: A CloudTrail-naplók egy adott S3-gyűjtőn belüli hosszú távú elemzéshez való rögzítésén kívül valós idejű elemzést is végezhet a CloudTrail konfigurálásával, hogy naplókat küldjön a CloudWatch-naplóknak. Ha egy fiók összes régiójában engedélyezve van, a CloudTrail naplófájlokat küld az összes régióból egy CloudWatch-naplók naplócsoportjának. Javasoljuk, hogy a CloudTrail-naplókat a Rendszer küldje el a CloudWatch-naplóknak, hogy biztosítsa az AWS-fióktevékenységek rögzítését, monitorozását és megfelelő riasztását. A CloudTrail-naplók CloudWatch-naplókba való küldése megkönnyíti a valós idejű és korábbi tevékenységek naplózását a felhasználó, AZ API, az erőforrás és az IP-cím alapján, és lehetővé teszi a rendellenes vagy bizalmas fióktevékenységekkel kapcsolatos riasztások és értesítések létrehozását.

Súlyosság: Alacsony

Engedélyezni kell az adatbázis-naplózást

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon RDS alábbi naplói engedélyezve vannak-e, és el vannak-e küldve a CloudWatch-naplókba:

• Oracle: (riasztás, naplózás, nyomkövetés, figyelő)
• PostgreSQL: (Postgresql, Frissítés)
• MySQL: (Audit, Error, General, SlowQuery)
• MariaDB: (Audit, Error, General, SlowQuery)
• SQL Server: (Hiba, ügynök)
• Aurora: (Audit, Error, General, SlowQuery)
• Aurora-MySQL: (Audit, Error, General, SlowQuery)
• Aurora-PostgreSQL: (Postgresql, Frissítés). Az RDS-adatbázisoknak engedélyezniük kell a releváns naplókat. Az adatbázis-naplózás részletes rekordokat biztosít az RDS-nek küldött kérelmekről. Az adatbázisnaplók segíthetnek a biztonsági és hozzáférési auditokban, és segíthetnek a rendelkezésre állási problémák diagnosztizálásában.

Súlyosság: Közepes

Az Amazon SageMaker-jegyzetfüzetpéldányok közvetlen internetkapcsolatának letiltása

Leírás: A közvetlen internetkapcsolatot le kell tiltani egy SageMaker-jegyzetfüzetpéldány esetében. Ez ellenőrzi, hogy a "DirectInternetAccess" mező le van-e tiltva a jegyzetfüzetpéldány esetében. A példányt VPC-vel kell konfigurálni, az alapértelmezett beállítás pedig a Letiltás – Az internet elérése VPC-n keresztül. Annak érdekében, hogy az internet-hozzáférés lehetővé tegye a modellek betanítását vagy üzemeltetését egy jegyzetfüzetből, győződjön meg arról, hogy a VPC rendelkezik NAT-átjáróval, és a biztonsági csoport engedélyezi a kimenő kapcsolatokat. Győződjön meg arról, hogy a SageMaker-konfigurációhoz való hozzáférés csak a jogosult felhasználókra korlátozódik, és korlátozza a felhasználók IAM-engedélyeit a SageMaker beállításainak és erőforrásainak módosításához.

Súlyosság: Magas

Ne állíts be hozzáférési kulcsokat a kezdeti felhasználói beállítás során minden olyan IAM-felhasználónál, aki rendelkezik konzoljelszóval

Leírás: Az AWS-konzol alapértelmezés szerint bejelöli a hozzáférési kulcsok engedélyezéséhez szükséges jelölőnégyzetet. Ez azt eredményezi, hogy számos hozzáférési kulcs szükségtelenül jön létre. A szükségtelen hitelesítő adatok mellett szükségtelen felügyeleti munkát is generál a kulcsok naplózása és elforgatása során. Ha a felhasználónak további lépéseket kell tennie a profil létrehozása után, erősebb szándékot fog jelezni, hogy a hozzáférési kulcsok [a] szükségesek a munkájukhoz, és [b] ha a hozzáférési kulcs egy olyan fiókon van létrehozva, amely szerint a kulcsok valahol a szervezetben használhatók.

Súlyosság: Közepes

Győződjön meg arról, hogy létrejött egy támogatási szerepkör az incidensek AWS-támogatással történő kezeléséhez

Leírás: Az AWS egy támogatási központot biztosít, amely az incidensek bejelentéséhez és elhárításához, valamint a technikai támogatáshoz és az ügyfélszolgálathoz használható. Hozzon létre egy IAM-szerepkört, amellyel a jogosult felhasználók kezelhetik az incidenseket az AWS-támogatással. A hozzáférés-vezérlés minimális jogosultságának implementálásával az IAM-szerepkörök megfelelő IAM-szabályzatot igényelnek a támogatási központ hozzáférésének engedélyezéséhez az incidensek AWS-támogatással való kezelése érdekében.

Súlyosság: Alacsony

Győződjön meg arról, hogy a hozzáférési kulcsok 90 naponta vagy annál rövidebben vannak elforgatva

Leírás: A hozzáférési kulcsok egy hozzáférési kulcs azonosítóból és titkos hozzáférési kulcsból állnak, amelyek az AWS-be irányuló programozott kérések aláírására szolgálnak. Az AWS-felhasználóknak saját hozzáférési kulcsokra van szükségük ahhoz, hogy programozott hívásokat kezdeményezhessenek az AWS-be az AWS parancssori felületéről (AWS CLI), a Windows PowerShell eszközeiből, az AWS SDK-kból vagy az egyes AWS-szolgáltatások API-jaival történő közvetlen HTTP-hívásokhoz. Javasoljuk, hogy minden hozzáférési kulcsot rendszeresen forgassa el. A hozzáférési kulcsok elforgatása csökkenti a kihasználandó, feltört vagy leállított fiókhoz társított hozzáférési kulcsok lehetőségét. A hozzáférési kulcsokat úgy kell elforgatni, hogy az adatok ne férhessenek hozzá régi kulccsal, amelyek elveszhettek, feltörtek vagy ellopták őket.

Súlyosság: Közepes

Győződjön meg arról, hogy az AWS-konfiguráció minden régióban engedélyezve van

Leírás: Az AWS Config egy webszolgáltatás, amely a fiókon belüli támogatott AWS-erőforrások konfigurációkezelését végzi, és naplófájlokat kézbesít Önnek. A rögzített információk közé tartozik a konfigurációelem (AWS-erőforrás), a konfigurációelemek (AWS-erőforrások) közötti kapcsolatok, az erőforrások közötti konfigurációváltozások. Javasoljuk, hogy minden régióban engedélyezze az AWS-konfigurációt.

Az AWS Config által rögzített AWS konfigurációelem-előzmények lehetővé teszik a biztonsági elemzést, az erőforrás-változáskövetést és a megfelelőségi naplózást.

Súlyosság: Közepes

Győződjön meg arról, hogy a CloudTrail minden régióban engedélyezve van

Leírás: Az AWS CloudTrail egy webszolgáltatás, amely rögzíti a fiókhoz tartozó AWS API-hívásokat, és naplófájlokat kézbesít Önnek. A rögzített információk közé tartozik az API-hívó identitása, az API-hívás időpontja, az API-hívó forrás IP-címe, a kérelem paraméterei és az AWS szolgáltatás által visszaadott válaszelemek. A CloudTrail egy fiók AWS API-hívásainak előzményeit tartalmazza, beleértve a felügyeleti konzolon, az SDK-kkal, a parancssori eszközökkel és a magasabb szintű AWS-szolgáltatásokkal (például CloudFormation) indított API-hívásokat. A CloudTrail által létrehozott AWS API híváselőzményei lehetővé teszik a biztonsági elemzést, az erőforrás-változáskövetést és a megfelelőségi naplózást. Egyéb rendelkezések:

• többrégiós nyomvonal meglétének biztosítása biztosítja, hogy a rendszer váratlan tevékenységet észlel az egyébként nem használt régiókban
• A többrégiós nyomvonal meglétének biztosítása biztosítja, hogy a "globális szolgáltatásnaplózás" alapértelmezés szerint engedélyezve legyen egy nyomvonalhoz az AWS globális szolgáltatásaiban létrehozott események rögzítéséhez
• többrégiós nyomvonal esetén, biztosítva, hogy az írási/olvasási műveletek minden típusához konfigurált felügyeleti események rögzítve legyenek az AWS-fiók összes erőforrásán végrehajtott felügyeleti műveletek.

Súlyosság: Magas

Győződjön meg arról, hogy a hitelesítő adatok 90 napig vagy annál hosszabb ideig nincsenek letiltva

Leírás: Az AWS IAM felhasználói különböző típusú hitelesítő adatokkal, például jelszavakkal vagy hozzáférési kulcsokkal férhetnek hozzá az AWS-erőforrásokhoz. Javasoljuk, hogy a 90 vagy több nap alatt fel nem használt összes hitelesítő adatot távolítsa el vagy inaktiválja. A szükségtelen hitelesítő adatok letiltása vagy eltávolítása csökkenti a feltört vagy elhagyott fiókhoz társított hitelesítő adatok használatát.

Súlyosság: Közepes

Győződjön meg arról, hogy az IAM jelszóházirendje legalább 90 napon belül lejár

Leírás: Az IAM jelszószabályzatai megkövetelik a jelszavak elforgatását vagy lejártát egy adott számú nap után. Javasoljuk, hogy a jelszóházirend 90 nap vagy annál rövidebb idő elteltével lejárja a jelszavakat. A jelszó élettartamának csökkentése növeli a fiók rugalmasságát a találgatásos bejelentkezési kísérletek ellen. Emellett a jelszó rendszeres módosításának megkövetelése az alábbi esetekben is segítséget nyújt:

• A jelszavak ellophatók vagy feltörhetők olykor az Ön tudta nélkül. Ez rendszermegromlottság, szoftveres biztonsági rés vagy belső fenyegetés útján történhet.
• Bizonyos vállalati és kormányzati webes szűrők vagy proxykiszolgálók akkor is képesek elfogni és rögzíteni a forgalmat, ha titkosítottak.
• Sokan ugyanazt a jelszót használják számos rendszerhez, például a munkahelyi, az e-mailes és a személyes rendszerekhez.
• A feltört végfelhasználói munkaállomások kulcsleütés-naplózóval rendelkezhetnek.

Súlyosság: Alacsony

Győződjön meg arról, hogy az IAM jelszóházirendje megakadályozza a jelszó újrafelhasználását

Leírás: Az IAM jelszószabályzatai megakadályozhatják, hogy ugyanaz a felhasználó újra felhasználja az adott jelszót. Javasoljuk, hogy a jelszóházirend megakadályozza a jelszavak újbóli használatát. A jelszó újrafelhasználásának megakadályozása növeli a fiók rugalmasságát a találgatásos bejelentkezési kísérletek ellen.

Súlyosság: Alacsony

Győződjön meg arról, hogy az IAM jelszóházirendje legalább egy kisbetűt igényel

Leírás: A jelszószabályzatok részben a jelszó összetettségi követelményeinek érvényesítésére szolgálnak. Az IAM jelszószabályzatai segítségével biztosíthatja, hogy a jelszó különböző karakterkészletekből áll. Javasoljuk, hogy a jelszóházirendhez legalább egy kisbetű szükséges. A jelszó összetettségi szabályzatának beállítása növeli a fiók rugalmasságát a találgatásos bejelentkezési kísérletek ellen.

Súlyosság: Közepes

Győződjön meg arról, hogy az IAM jelszóházirendje legalább egy számot igényel

Leírás: A jelszószabályzatok részben a jelszó összetettségi követelményeinek érvényesítésére szolgálnak. Az IAM jelszószabályzatai segítségével biztosíthatja, hogy a jelszó különböző karakterkészletekből áll. Javasoljuk, hogy a jelszóházirendhez legalább egy szám szükséges. A jelszó összetettségi szabályzatának beállítása növeli a fiók rugalmasságát a találgatásos bejelentkezési kísérletek ellen.

Súlyosság: Közepes

Győződjön meg arról, hogy az IAM jelszóházirendje legalább egy szimbólumot igényel

Leírás: A jelszószabályzatok részben a jelszó összetettségi követelményeinek érvényesítésére szolgálnak. Az IAM jelszószabályzatai segítségével biztosíthatja, hogy a jelszó különböző karakterkészletekből áll. Javasoljuk, hogy a jelszóházirendhez legalább egy szimbólum szükséges. A jelszó összetettségi szabályzatának beállítása növeli a fiók rugalmasságát a találgatásos bejelentkezési kísérletek ellen.

Súlyosság: Közepes

Győződjön meg arról, hogy az IAM jelszóházirendje legalább egy nagybetűt igényel

Leírás: A jelszószabályzatok részben a jelszó összetettségi követelményeinek érvényesítésére szolgálnak. Az IAM jelszószabályzatai segítségével biztosíthatja, hogy a jelszó különböző karakterkészletekből áll. Javasoljuk, hogy a jelszóházirendhez legalább egy nagybetű szükséges. A jelszó összetettségi szabályzatának beállítása növeli a fiók rugalmasságát a találgatásos bejelentkezési kísérletek ellen.

Súlyosság: Közepes

Győződjön meg arról, hogy az IAM jelszóházirendjének legalább 14 hosszúnak kell lennie

Leírás: A jelszószabályzatok részben a jelszó összetettségi követelményeinek érvényesítésére szolgálnak. Az IAM jelszószabályzatai segítségével biztosítható, hogy a jelszó legalább egy adott hosszúságú legyen. Javasoljuk, hogy a jelszóházirend minimális jelszóhosszt (14) követelje meg. A jelszó összetettségi szabályzatának beállítása növeli a fiók rugalmasságát a találgatásos bejelentkezési kísérletek ellen.

Súlyosság: Közepes

Győződjön meg arról, hogy a többtényezős hitelesítés (MFA) engedélyezve van minden olyan IAM-felhasználó számára, aki rendelkezik konzoljelszóval

Leírás: A többtényezős hitelesítés (MFA) egy további védelmi réteget ad hozzá a felhasználónév és a jelszó fölé. Ha az MFA engedélyezve van, amikor egy felhasználó bejelentkezik egy AWS-webhelyre, a rendszer kérni fogja a felhasználó nevét és jelszavát, valamint egy hitelesítési kódot az AWS MFA-eszközéről. Javasoljuk, hogy az MFA engedélyezve legyen minden olyan fiókhoz, amely rendelkezik konzoljelszóval. Az MFA engedélyezése nagyobb biztonságot nyújt a konzolhoz való hozzáféréshez, mivel a hitelesítéshez a hitelesítő tagnak rendelkeznie kell egy olyan eszközzel, amely időérzékeny kulcsot bocsát ki, és rendelkezik hitelesítő adatokkal.

Súlyosság: Közepes

A GuardDuty-t engedélyezni kell

Leírás: A behatolások elleni további védelem biztosításához engedélyezni kell a GuardDuty szolgáltatást az AWS-fiókban és -régióban. Megjegyzés: Előfordulhat, hogy a GuardDuty nem minden környezet teljes megoldása.

Súlyosság: Közepes

A hardveres MFA-t engedélyezni kell a "root" fiókhoz

Leírás: A legfelső szintű fiók a fiók legjogosabb felhasználója. Az MFA egy további védelmi réteget ad hozzá a felhasználónév és a jelszó fölé. Ha az MFA engedélyezve van, amikor egy felhasználó bejelentkezik egy AWS-webhelyre, a rendszer kérni fogja a felhasználónevet és a jelszót, valamint egy hitelesítési kódot az AWS MFA-eszközéről. A 2. szint esetében ajánlott a gyökérfiókot hardveres MFA-val védeni. A hardveres MFA kisebb támadási felülettel rendelkezik, mint egy virtuális MFA. Egy hardveres MFA például nem szenvedi el a mobil okostelefon által bevezetett támadási felületet, amelyen egy virtuális MFA található. Ha sok, sok fiókhoz használ hardveres MFA-t, az logisztikai eszközfelügyeleti problémát eredményezhet. Ha ez történik, fontolja meg ezt a 2. szintű javaslat szelektív implementálását a legmagasabb szintű biztonsági fiókokra. Ezután alkalmazhatja az 1. szintű javaslatot a fennmaradó fiókokra.

Súlyosság: Alacsony

Az IAM-hitelesítést RDS-fürtökhöz kell konfigurálni

Leírás: Ez a vezérlő ellenőrzi, hogy egy RDS DB-fürt engedélyezve van-e az IAM-adatbázis-hitelesítéssel. Az IAM-adatbázis-hitelesítés lehetővé teszi az adatbázispéldányok jelszó nélküli hitelesítését. A hitelesítés hitelesítési jogkivonatot használ. Az adatbázisba és az adatbázisból érkező hálózati forgalom SSL használatával van titkosítva. További információ: IAM-adatbázis-hitelesítés az Amazon Aurora felhasználói útmutatójában.

Súlyosság: Közepes

Az IAM-hitelesítést RDS-példányokhoz kell konfigurálni

Leírás: Ez a vezérlő ellenőrzi, hogy egy RDS DB-példányon engedélyezve van-e az IAM-adatbázis-hitelesítés. Az IAM-adatbázis-hitelesítés lehetővé teszi az adatbázispéldányok hitelesítését jelszó helyett hitelesítési jogkivonattal. Az adatbázisba és az adatbázisból érkező hálózati forgalom SSL használatával van titkosítva. További információ: IAM-adatbázis-hitelesítés az Amazon Aurora felhasználói útmutatójában.

Súlyosság: Közepes

Az IAM ügyfél által felügyelt szabályzatai nem engedélyezhetik az összes KMS-kulcs visszafejtési műveleteit

Leírás: Ellenőrzi, hogy az IAM ügyfél által felügyelt szabályzatainak alapértelmezett verziója engedélyezi-e a tagok számára az AWS KMS visszafejtési műveleteinek használatát az összes erőforráson. Ez a vezérlő a Zelkova, egy automatizált érvelési motor használatával ellenőrzi és figyelmezteti azokra a szabályzatokra, amelyek széles körű hozzáférést biztosíthatnak a titkos kódokhoz az AWS-fiókokban. Ez a vezérlő meghiúsul, ha az összes KMS-kulcson engedélyezve van a "kms:Visszafejtés" vagy a "kms:ReEncryptFrom" művelet. A vezérlő kiértékeli a csatolt és a nem csatlakoztatott ügyfél által felügyelt szabályzatokat is. Nem ellenőrzi a beágyazott szabályzatokat vagy az AWS által felügyelt szabályzatokat. Az AWS KMS-sel szabályozhatja, hogy ki használhatja a KMS-kulcsokat, és férhet hozzá a titkosított adatokhoz. Az IAM-szabályzatok meghatározzák, hogy az identitások (felhasználó, csoport vagy szerepkör) mely erőforrásokon hajthatnak végre műveleteket. A biztonsági ajánlott eljárásokat követve az AWS azt javasolja, hogy engedélyezze a minimális jogosultságot. Más szóval csak a "kms:Decrypt" vagy a "kms:ReEncryptFrom" engedélyeket kell megadnia az identitásoknak, és csak a feladatok elvégzéséhez szükséges kulcsoknak. Ellenkező esetben előfordulhat, hogy a felhasználó olyan kulcsokat használ, amelyek nem megfelelőek az ön adataihoz. Ahelyett, hogy engedélyeket ad az összes kulcshoz, határozza meg a titkosított adatokhoz való hozzáféréshez szükséges kulcsok minimális készletét. Ezután tervezzen olyan szabályzatokat, amelyek lehetővé teszik, hogy a felhasználók csak ezeket a kulcsokat használják. Például ne engedélyezze a "kms:Visszafejtés" engedélyt az összes KMS-kulcson. Ehelyett csak egy adott régió kulcsaiban engedélyezze a "kms:Visszafejtés" lehetőséget a fiókjához. A minimális jogosultság elvének alkalmazásával csökkentheti az adatok nem szándékos közzétételének kockázatát.

Súlyosság: Közepes

A létrehozott IAM-ügyfél által felügyelt szabályzatok nem engedélyeznek helyettesítő karaktereket a szolgáltatásokhoz

Leírás: Ez a vezérlő ellenőrzi, hogy a létrehozott IAM-identitásalapú szabályzatok rendelkeznek-e olyan Engedélyezési utasításokkal, amelyek a * helyettesítő karaktert használják az összes művelet engedélyeinek megadásához bármely szolgáltatáson. A vezérlő meghiúsul, ha bármely szabályzatutasítás tartalmazza az "Effektus": "Engedélyezés" lehetőséget a "Művelet" mellett: "Szolgáltatás:*". A szabályzat következő utasítása például sikertelen találatot eredményez.

'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:*',
  'Resource': '*'
}

A vezérlő akkor is meghiúsul, ha az "Effektus" parancsot használja: "Engedélyezés" a NotAction használatával: "szolgáltatás:". Ebben az esetben a NotAction elem hozzáférést biztosít az AWS-szolgáltatás összes műveletéhez, kivéve a NotActionben megadott műveleteket. Ez a vezérlő csak az ügyfél által felügyelt IAM-szabályzatokra vonatkozik. Nem vonatkozik az AWS által felügyelt IAM-szabályzatokra. Amikor engedélyeket rendel az AWS-szolgáltatásokhoz, fontos, hogy az IAM-szabályzatokban hatókörbe helyezze az engedélyezett IAM-műveleteket. Az IAM-műveleteket csak a szükséges műveletekre kell korlátoznia. Ez segít a minimális jogosultsági engedélyek kiépítésében. A túlzottan megengedő házirendek jogosultság-eszkalációhoz vezethetnek, ha a szabályzatok olyan IAM-taghoz vannak csatolva, amely nem igényel engedélyt. Bizonyos esetekben célszerű engedélyezni a hasonló előtaggal rendelkező IAM-műveleteket, például a DescribeFlowLogs és a DescribeAvailabilityZones műveletet. Ezekben az engedélyezett esetekben hozzáadhat egy utótagos helyettesítő karaktert a közös előtaghoz. Például: ec2:Describe.

Ez a vezérlő akkor lép át, ha utótagos helyettesítő karakterrel használ előtagú IAM-műveletet. A szabályzat következő utasítása például egy sikeres találatot eredményez.

 'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:Describe*',
  'Resource': '*'
}

Ha így csoportosítja a kapcsolódó IAM-műveleteket, elkerülheti az IAM-szabályzat méretkorlátjának túllépését is.

Súlyosság: Alacsony

Az IAM-szabályzatok csak csoportokhoz vagy szerepkörökhöz csatolhatók

Leírás: Alapértelmezés szerint az IAM-felhasználók, csoportok és szerepkörök nem férnek hozzá az AWS-erőforrásokhoz. Az IAM-szabályzatok az eszközök, amelyekkel jogosultságokat kapnak a felhasználók, csoportok vagy szerepkörök számára. Javasoljuk, hogy az IAM-szabályzatokat közvetlenül a csoportokra és szerepkörökre alkalmazza, a felhasználókra nem. A jogosultságok csoport- vagy szerepkörszinten való hozzárendelése csökkenti a hozzáférés-kezelés összetettségét a felhasználók számának növekedésével. A hozzáférés-kezelés összetettségének csökkentése viszont csökkentheti annak lehetőségét, hogy a rendszerbiztonsági tagok véletlenül túlzott jogosultságokat kapjanak vagy tartsanak meg.

Súlyosság: Alacsony

A teljes ":" rendszergazdai jogosultságokat engedélyező IAM-szabályzatok nem hozhatók létre

Leírás: Az IAM-szabályzatok az eszközök, amelyekkel jogosultságokat kapnak a felhasználók, csoportok vagy szerepkörök számára. Ajánlott és szabványos biztonsági tanácsnak tekinteni, hogy a lehető legkevesebb jogosultságot adja meg, vagyis csak a feladat elvégzéséhez szükséges engedélyeket adja meg. Határozza meg, hogy mit kell tenniük a felhasználóknak, majd hozzon létre szabályzatokat számukra, amelyek lehetővé teszik, hogy a felhasználók csak ezeket a feladatokat hajtsák végre ahelyett, hogy teljes körű rendszergazdai jogosultságokat engedélyeznének. Biztonságosabb egy minimális engedélykészlettel kezdeni, és szükség szerint további engedélyeket adni, ahelyett, hogy túl engedékeny engedélyekkel kezdene, majd később megpróbálná meghúzni őket. Teljes rendszergazdai jogosultságok biztosítása ahelyett, hogy a felhasználó által megkövetelt minimális engedélykészletre korlátozná, az erőforrásokat potenciálisan nemkívánatos műveleteknek teszi elérhetővé. El kell távolítani azokat az IAM-szabályzatokat, amelyek "Effect": "Allow" with "Action": "" over "Resource": "" (Erőforrás) "" utasítással rendelkeznek.

Súlyosság: Magas

Az IAM-tagoknak nem szabad olyan beágyazott IAM-szabályzatokkal rendelkezniük, amelyek lehetővé teszik a visszafejtési műveleteket az összes KMS-kulcson

Leírás: Ellenőrzi, hogy az IAM-identitásokba (szerepkör, felhasználó vagy csoport) beágyazott szabályzatok engedélyezik-e az AWS KMS-visszafejtési műveleteket az összes KMS-kulcson. Ez a vezérlő a Zelkova, egy automatizált érvelési motor használatával ellenőrzi és figyelmezteti azokra a szabályzatokra, amelyek széles körű hozzáférést biztosíthatnak a titkos kódokhoz az AWS-fiókokban. Ez a vezérlő meghiúsul, ha a "kms:Visszafejtés" vagy a "kms:ReEncryptFrom" műveletek engedélyezettek a beágyazott szabályzat összes KMS-kulcsán. Az AWS KMS-sel szabályozhatja, hogy ki használhatja a KMS-kulcsokat, és férhet hozzá a titkosított adatokhoz. Az IAM-szabályzatok meghatározzák, hogy az identitások (felhasználó, csoport vagy szerepkör) mely erőforrásokon hajthatnak végre műveleteket. A biztonsági ajánlott eljárásokat követve az AWS azt javasolja, hogy engedélyezze a minimális jogosultságot. Más szóval az identitásoknak csak a szükséges engedélyeket kell megadnia, és csak a feladat elvégzéséhez szükséges kulcsokat. Ellenkező esetben előfordulhat, hogy a felhasználó olyan kulcsokat használ, amelyek nem megfelelőek az ön adataihoz. Ahelyett, hogy minden kulcsra engedélyt ad, határozza meg a titkosított adatokhoz való hozzáféréshez szükséges kulcsok minimális készletét. Ezután tervezzen olyan szabályzatokat, amelyek lehetővé teszik, hogy a felhasználók csak ezeket a kulcsokat használják. Például ne engedélyezze a "kms:Visszafejtés" engedélyt az összes KMS-kulcson. Ehelyett csak egy adott régióban lévő kulcsokon engedélyezze őket a fiókjához. A minimális jogosultság elvének alkalmazásával csökkentheti az adatok nem szándékos közzétételének kockázatát.

Súlyosság: Közepes

A Lambda-függvénynek korlátoznia kell a nyilvános hozzáférést

Leírás: A Lambda függvény erőforrás-alapú szabályzatának korlátoznia kell a nyilvános hozzáférést. Ez a javaslat nem ellenőrzi a belső tagok hozzáférését. Győződjön meg arról, hogy a függvényhez való hozzáférés csak a legkevésbé jogosultsági erőforrás-alapú szabályzatok használatával korlátozódik a jogosult tagokra.

Súlyosság: Magas

Az MFA-t minden IAM-felhasználó számára engedélyezni kell

Leírás: Minden IAM-felhasználónak engedélyeznie kell a többtényezős hitelesítést (MFA).

Súlyosság: Közepes

Az MFA-t engedélyezni kell a "gyökér" fiókhoz

Leírás: A legfelső szintű fiók a fiók legjogosabb felhasználója. Az MFA egy további védelmi réteget ad hozzá a felhasználónév és a jelszó fölé. Ha az MFA engedélyezve van, amikor egy felhasználó bejelentkezik egy AWS-webhelyre, a rendszer kérni fogja a felhasználónevet és a jelszót, valamint egy hitelesítési kódot az AWS MFA-eszközéről. Ha virtuális MFA-t használ a gyökérfiókokhoz, javasoljuk, hogy a használt eszköz ne legyen személyes eszköz. Ehelyett használjon egy dedikált mobileszközt (táblagépet vagy telefont), amelyet úgy kezel, hogy a díjakat és a biztonságot minden egyes személyes eszközétől függetlenül tartsa. Ez csökkenti az MFA-hoz való hozzáférés elvesztésének kockázatát az eszköz elvesztése, az eszközök közötti kereskedelem, vagy ha az eszközt tulajdonoló magánszemély már nem dolgozik a vállalatnál.

Súlyosság: Alacsony

Az IAM-felhasználók jelszószabályzatainak erős konfigurációval kell rendelkezniük

Leírás: Ellenőrzi, hogy az IAM-felhasználók fiókjelszó-szabályzata a következő minimális konfigurációkat használja-e.

• RequireUppercaseCharacters – Legalább egy nagybetűt igényel a jelszóban. (Alapértelmezett = igaz)
• RequireLowercaseCharacters – Legalább egy kisbetűs karaktert igényel a jelszóban. (Alapértelmezett = igaz)
• RequireNumbers – Legalább egy számot igényel a jelszóban. (Alapértelmezett = igaz)
• MinimumPasswordLength - Jelszó minimális hossza. (Alapértelmezett = 7 vagy hosszabb)
• PasswordReusePrevention – Jelszavak száma az újbóli felhasználás engedélyezése előtt. (Alapértelmezett = 4)
• MaxPasswordAge – A jelszó lejárata előtti napok száma. (Alapértelmezett = 90)

Súlyosság: Közepes

A legfelső szintű fiók hozzáférési kulcsának nem szabad léteznie

Leírás: A legfelső szintű fiók az AWS-fiók legjogosabb felhasználója. Az AWS hozzáférési kulcsok programozott hozzáférést biztosítanak egy adott AWS-fiókhoz. Javasoljuk, hogy távolítsa el a gyökérfiókhoz társított összes hozzáférési kulcsot. A legfelső szintű fiók korlátaihoz társított hozzáférési kulcsok eltávolítása olyan vektorok eltávolításával, amelyekkel a fiók feltörhető. Emellett a legfelső szintű hozzáférési kulcsok eltávolítása a legkevésbé kiemelt szerepköralapú fiókok létrehozását és használatát is ösztönzi.

Súlyosság: Magas

Az S3 Nyilvános hozzáférés letiltása beállítást engedélyezni kell

Leírás: Ha engedélyezi a Nyilvános hozzáférés letiltása beállítást az S3-gyűjtőhöz, megakadályozhatja a bizalmas adatszivárgásokat, és megvédheti a gyűjtőt a rosszindulatú műveletektől.

Súlyosság: Közepes

Az S3 Nyilvános hozzáférés letiltása beállítást engedélyezni kell a gyűjtő szintjén

Leírás: Ez a vezérlő ellenőrzi, hogy az S3-gyűjtőkben alkalmazva vannak-e gyűjtőszintű nyilvános hozzáférési blokkok. Ez a vezérlő meghiúsul, ha az alábbi beállítások bármelyike hamisra van állítva:

• ignorePublicAcls
• blockPublicPolicy
• blockPublicAcls
• A restrictPublicBuckets A nyilvános hozzáférés letiltása az S3 gyűjtő szintjén vezérlőket biztosít annak biztosítására, hogy az objektumok soha ne rendelkezzenek nyilvános hozzáféréssel. A nyilvános hozzáférést hozzáférés-vezérlési listák (ACL-ek), gyűjtőszabályzatok vagy mindkettő révén biztosítják a gyűjtők és objektumok számára. Ha nem szeretné, hogy az S3-gyűjtők nyilvánosan elérhetők legyenek, konfigurálnia kell az Amazon S3 Nyilvános hozzáférés letiltása funkciót.

Súlyosság: Magas

Az S3-gyűjtők nyilvános olvasási hozzáférését el kell távolítani

Leírás: Az S3-gyűjtő nyilvános olvasási hozzáférésének eltávolítása segíthet az adatok védelmében és az adatszivárgás megelőzésében.

Súlyosság: Magas

Az S3-gyűjtők nyilvános írási hozzáférését el kell távolítani

Leírás: Ha engedélyezi a nyilvános írási hozzáférést az S3-gyűjtőhöz, sebezhetővé teheti az olyan rosszindulatú műveletek ellen, mint például az adatok tárolása a költségén, a fájlok titkosítása váltságdíjért, vagy a gyűjtő használata kártevők üzemeltetésére.

Súlyosság: Magas

A Titkos kulcsokkezelő titkos kulcsok automatikus forgatásának engedélyezve kell lennie

Leírás: Ez a vezérlő ellenőrzi, hogy az AWS Titkos kulcskezelőben tárolt titkos kulcsok automatikus rotációval vannak-e konfigurálva. A Titkos kulcsok kezelője segít a szervezet biztonsági helyzetének javításában. A titkos kódok közé tartoznak az adatbázis hitelesítő adatai, a jelszavak és a külső API-kulcsok. A Titkos kulcsok kezelőjével központilag tárolhatja a titkos kulcsokat, automatikusan titkosíthatja a titkos kulcsokat, szabályozhatja a titkos kódokhoz való hozzáférést, és biztonságosan és automatikusan elforgathatja a titkos kulcsokat. A Titkos kulcsok kezelője el tudja forgatni a titkos kulcsokat. A rotációval a hosszú távú titkos kulcsokat rövid távúra cserélheti. A titkos kódok elforgatása korlátozza, hogy egy jogosulatlan felhasználó mennyi ideig használhat feltört titkos kódot. Ezért érdemes gyakran elforgatni a titkos kulcsokat. A rotálásról további információt az AWS Titkos kulcskezelő titkos kulcsainak elforgatása című témakörben talál az AWS Titkos kulcskezelő felhasználói útmutatójában.

Súlyosság: Közepes

A leállított EC2-példányokat egy megadott idő elteltével el kell távolítani

Leírás: Ez a vezérlő ellenőrzi, hogy az EC2-példányok leálltak-e a megengedettnél több napig. Az EC2-példányok nem ellenőrzik, hogy a maximálisan engedélyezett időtartamnál hosszabb ideig leállt-e, ami alapértelmezés szerint 30 nap. A sikertelen megállapítás azt jelzi, hogy egy EC2-példány jelentős ideig nem futott. Ez biztonsági kockázatot jelent, mert az EC2-példány nincs aktívan karbantartva (elemezve, javítva, frissítve). Ha később elindul, a megfelelő karbantartás hiánya váratlan problémákat okozhat az AWS-környezetben. Ha egy EC2-példányt nem futtatott állapotban szeretne biztonságosan fenntartani, indítsa el rendszeresen karbantartás céljából, majd állítsa le a karbantartás után. Ideális esetben ez egy automatizált folyamat.

Súlyosság: Közepes

Az AWS túlterjedt identitásainak csak a szükséges engedélyekkel kell rendelkezniük (előzetes verzió)

Leírás: A túlkiosztott aktív identitás olyan identitás, amely hozzáfér a nem használt jogosultságokhoz. A túlkiosztott aktív identitások, különösen az olyan nem emberi fiókok esetében, amelyek meghatározott műveleteket és felelősségeket is meghatároztak, növelhetik a robbanás sugarát egy felhasználó, kulcs vagy erőforrás sérülése esetén. Távolítsa el a szükségtelen engedélyeket, és hozzon létre felülvizsgálati folyamatokat a legkevésbé kiemelt engedélyek eléréséhez.

Súlyosság: Közepes

El kell távolítani a nem használt identitásokat az AWS-környezetben (előzetes verzió)

Leírás: Az inaktív identitások olyan emberi és nem emberi entitások, amelyek nem hajtottak végre semmilyen műveletet egyetlen erőforráson sem az elmúlt 90 napban. Az AWS-fiókban magas kockázatú engedélyekkel rendelkező inaktív IAM-identitások támadásra hajlamosak lehetnek, ha maradnak, és nyitva hagyják a szervezeteket a hitelesítő adatokkal való visszaélés vagy a kizsákmányolás előtt. A nem használt identitások proaktív észlelése és megválaszolása segít megakadályozni, hogy jogosulatlan entitások hozzáférjenek az AWS-erőforrásokhoz.

Súlyosság: Közepes

Az AWS hálózatkezelési javaslatai

Az Amazon EC2-t VPC-végpontok használatára kell konfigurálni

Leírás: Ez a vezérlő ellenőrzi, hogy létrejön-e szolgáltatásvégpont az Amazon EC2-hez minden egyes VPC-hez. A vezérlő meghiúsul, ha egy VPC nem rendelkezik az Amazon EC2 szolgáltatáshoz létrehozott VPC-végponttal. A VPC biztonsági helyzetének javítása érdekében konfigurálhatja az Amazon EC2-t egy felületi VPC-végpont használatára. Az interfészvégpontokat az AWS PrivateLink biztosítja, amely lehetővé teszi az Amazon EC2 API-műveletek privát elérését. A VPC és az Amazon EC2 közötti összes hálózati forgalmat az Amazon-hálózatra korlátozza. Mivel a végpontok csak ugyanabban a régióban támogatottak, nem hozhat létre végpontot egy VPC és egy másik régióban található szolgáltatás között. Ez megakadályozza a nem szándékos Amazon EC2 API-hívásokat más régiókba. Az Amazon EC2-hez készült VPC-végpontok létrehozásáról az Amazon EC2 és az interfész VPC-végpontjai az Amazon EC2 Linux-példányokra vonatkozó felhasználói útmutatójában talál további információt.

Súlyosság: Közepes

Az Amazon ECS-szolgáltatásokhoz nem rendelhetők automatikusan nyilvános IP-címek

Leírás: A nyilvános IP-cím az internetről elérhető IP-cím. Ha nyilvános IP-címmel indítja el az Amazon ECS-példányokat, akkor az Amazon ECS-példányok az internetről érhetők el. Az Amazon ECS-szolgáltatásoknak nem szabad nyilvánosan elérhetőnek lenniük, mivel ez lehetővé teheti a tárolóalkalmazás-kiszolgálókhoz való nem szándékos hozzáférést.

Súlyosság: Magas

Az Amazon EMR-fürt főcsomópontjainak nem szabad nyilvános IP-címekkel rendelkezniük

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon EMR-fürtök fő csomópontjai rendelkeznek-e nyilvános IP-címekkel. A vezérlő meghiúsul, ha a fő csomópont nyilvános IP-címekkel rendelkezik, amelyek a példányaihoz vannak társítva. A nyilvános IP-címek a példány NetworkInterfaces konfigurációjának PublicIp mezőjében vannak kijelölve. Ez a vezérlő csak a FUTÓ vagy VÁRAKOZÁS állapotú Amazon EMR-fürtöket ellenőrzi.

Súlyosság: Magas

Az Amazon Redshift-fürtöknek továbbfejlesztett VPC-útválasztást kell használniuk

Leírás: Ez a vezérlő ellenőrzi, hogy egy Amazon Redshift-fürt engedélyezve van-e az EnhancedVpcRouting szolgáltatással. A továbbfejlesztett VPC-útválasztás kényszeríti a fürt és az adattárak közötti összes COPY és UNLOAD forgalmat a VPC-n való áthaladásra. Ezután vPC-funkciókat, például biztonsági csoportokat és hálózati hozzáférés-vezérlési listákat használhat a hálózati forgalom védelméhez. A hálózati forgalom figyeléséhez VPC-folyamatnaplókat is használhat.

Súlyosság: Magas

Az Application Load Balancert úgy kell konfigurálni, hogy az összes HTTP-kérést HTTPS-nek irányítsa át

Leírás: Az átvitel közbeni titkosítás kényszerítéséhez az Application Load Balancerekkel végzett átirányítási műveletekkel átirányíthatja az ügyfél HTTP-kéréseit egy HTTPS-kérésre a 443-as porton.

Súlyosság: Közepes

Az alkalmazás terheléselosztóit HTTP-fejlécek elvetésére kell konfigurálni

Leírás: Ez a vezérlő kiértékeli az AWS-alkalmazás terheléselosztóit (ALB), hogy meggyőződjön arról, hogy érvénytelen HTTP-fejlécek elvetésére vannak konfigurálva. A vezérlő meghiúsul, ha a routing.http.drop_invalid_header_fields.enabled értéke hamis. Alapértelmezés szerint az ALB-k nincsenek úgy konfigurálva, hogy érvénytelen HTTP-fejlécértékeket dobjanak el. A fejlécértékek eltávolítása megakadályozza a HTTP-deszinkron támadásokat.

Súlyosság: Közepes

Lambda-függvények konfigurálása VPC-hez

Leírás: Ez a vezérlő ellenőrzi, hogy egy Lambda-függvény egy VPC-ben van-e. Nem értékeli ki a VPC-alhálózat útválasztási konfigurációját a nyilvános elérhetőség meghatározásához. Vegye figyelembe, hogy ha Lambda@Edge található a fiókban, akkor ez a vezérlő sikertelen eredményeket hoz létre. A találatok elkerülése érdekében letilthatja ezt a vezérlőt.

Súlyosság: Alacsony

Az EC2-példányoknak nem szabad nyilvános IP-címmel rendelkezniük

Leírás: Ez a vezérlő ellenőrzi, hogy az EC2-példányok nyilvános IP-címmel rendelkeznek-e. A vezérlő meghiúsul, ha a "publicIp" mező megtalálható az EC2-példány konfigurációs elemében. Ez a vezérlő csak az IPv4-címekre vonatkozik. A nyilvános IPv4-címek az internetről elérhető IP-címek. Ha nyilvános IP-címmel indítja el a példányt, akkor az EC2-példány elérhető az internetről. A privát IPv4-címek olyan IP-címek, amelyek nem érhetőek el az internetről. Privát IPv4-címeket használhat az EC2-példányok közötti kommunikációhoz ugyanabban a VPC-ben vagy a csatlakoztatott magánhálózaton. Az IPv6-címek globálisan egyediek, ezért elérhetők az internetről. Alapértelmezés szerint azonban minden alhálózaton az IPv6-címzési attribútum értéke hamis. Az IPv6-ról az Amazon VPC felhasználói útmutatójában talál további információt a VPC IP-címzéséről. Ha jogos használati esete van az EC2-példányok nyilvános IP-címekkel való fenntartásához, akkor letilthatja a vezérlő eredményeit. Az előtérbeli architektúra beállításairól további információt az AWS Architektúra blogján vagy a This Is My Architecture sorozatban talál.

Súlyosság: Magas

Az EC2-példányok nem használhatnak több ENI-t

Leírás: Ez a vezérlő ellenőrzi, hogy egy EC2-példány több rugalmas hálózati adaptert (ENI-t) vagy Elastic Fabric Adaptert (EFA-kat) használ-e. Ez a vezérlő egyetlen hálózati adapter használata esetén halad át. A vezérlő tartalmaz egy opcionális paraméterlistát az engedélyezett ENI-k azonosításához. Több ENI okozhat kettős otthonú példányokat, vagyis több alhálózattal rendelkező példányokat. Ez összetettebbé teheti a hálózat biztonságát, és nem kívánt hálózati útvonalakat és hozzáférést vezethet be.

Súlyosság: Alacsony

Az EC2-példányoknak az IMDSv2-t kell használniuk

Leírás: Ez a vezérlő ellenőrzi, hogy az EC2-példány metaadat-verziója konfigurálva van-e a Instance Metadata Service 2-es verziójával (IMDSv2). A vezérlő átmegy, ha a "HttpTokens" értéke "kötelező" az IMDSv2-hez. A vezérlő meghiúsul, ha a "HttpTokens" értéke "nem kötelező". A példány metaadataival konfigurálhatja vagy kezelheti a futó példányt. Az IMDS hozzáférést biztosít az ideiglenes, gyakran elforgatott hitelesítő adatokhoz. Ezek a hitelesítő adatok nem igényelnek szigorú kódot, vagy bizalmas hitelesítő adatokat terjesztenek a példányokra manuálisan vagy programozott módon. Az IMDS helyileg van csatolva minden EC2-példányhoz. A 169.254.169.254-es speciális "link local" IP-címen fut. Ezt az IP-címet csak a példányon futó szoftverek érhetik el. Az IMDS 2. verziója új védelmet biztosít a következő típusú biztonsági résekhez. Ezek a biztonsági rések az IMDS elérésének megkísérlésére használhatók.

• Webhelyalkalmazási tűzfalak megnyitása
• Fordított proxyk megnyitása
• Kiszolgálóoldali kérelemhamisítás (SSRF) biztonsági rései
• A 3. rétegbeli tűzfalak és a hálózati címfordítás (NAT) Security Hub azt javasolja, hogy konfigurálja az EC2-példányokat az IMDSv2-vel.

Súlyosság: Magas

Az EC2 alhálózatok nem rendelhetők automatikusan nyilvános IP-címekhez

Leírás: Ez a vezérlő ellenőrzi, hogy az Amazon Virtual Private Cloud (Amazon VPC) alhálózataiban lévő nyilvános IP-címek hozzárendelése "MapPublicIpOnLaunch" értékre van-e állítva "FAL Standard kiadás" értékre. A vezérlő akkor halad át, ha a jelző "FAL Standard kiadás" értékre van állítva. Minden alhálózat rendelkezik egy attribútummal, amely meghatározza, hogy az alhálózatban létrehozott hálózati adapter automatikusan kap-e nyilvános IPv4-címet. Azok az alhálózatokba indított példányok, amelyeknél engedélyezve van ez az attribútum, nyilvános IP-cím van hozzárendelve az elsődleges hálózati adapterhez.

Súlyosság: Közepes

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás az AWS konfigurációs módosításaihoz

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást a CloudTrail konfigurációinak változásainak észleléséhez. Az AWS konfigurációjának változásainak monitorozása segít biztosítani a konfigurációelemek folyamatos láthatóságát az AWS-fiókban.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás az AWS felügyeleti konzol hitelesítési hibáihoz

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást a sikertelen konzolhitelesítési kísérletekhez. A sikertelen konzolbeléptetések monitorozása csökkentheti az átfutási időt a hitelesítő adatok találgatására tett kísérlet észleléséhez, ami olyan mutatót biztosíthat, például a forrás IP-címét, amely más eseménykorrelációkban is használható.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás a hálózati hozzáférés-vezérlési listák (NACL) módosításaihoz

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Az NACL-ek állapot nélküli csomagszűrőként használhatók a VPC-n belüli alhálózatok bejövő és kimenő forgalmának szabályozására. Ajánlott metrikaszűrőt és riasztást létrehozni az NACL-ekben végzett módosításokhoz. Az NACL-ek változásainak monitorozása segít biztosítani, hogy az AWS-erőforrások és -szolgáltatások ne legyenek véletlenül közzétéve.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás a hálózati átjárók módosításaihoz

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. A hálózati átjáróknak vPC-n kívüli célhelyre kell küldeni/fogadniuk a forgalmat. Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást a hálózati átjárók változásaihoz. A hálózati átjárók változásainak monitorozása segít biztosítani, hogy minden bejövő/kimenő forgalom ellenőrzött útvonalon haladjon át a VPC-szegélyen.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás a CloudTrail-konfiguráció változásaihoz

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást a CloudTrail konfigurációinak változásainak észleléséhez.

A CloudTrail konfigurációjának változásainak monitorozásával biztosítható az AWS-fiókban végzett tevékenységek folyamatos láthatósága.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás az ügyfél által létrehozott CMK-k letiltására vagy ütemezett törlésére

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást az ügyfél által létrehozott CMK-khoz, amelyek állapota le van tiltva vagy ütemezett törlésre változott. A letiltott vagy törölt kulcsokkal titkosított adatok többé nem lesznek elérhetők.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás az IAM-szabályzat módosításaihoz

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást az Identitás- és Hozzáférés-kezelési (IAM-) szabályzatok módosításaiban. Az IAM-házirendek változásainak monitorozása segít biztosítani, hogy a hitelesítési és engedélyezési vezérlők érintetlenek maradjanak.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás a felügyeleti konzol MFA nélküli bejelentkezéséhez

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást a többtényezős hitelesítéssel (MFA) nem védett konzolbeléptetésekhez. Az egytényezős konzolos bejelentkezések monitorozása növeli az MFA által nem védett fiókok láthatóságát.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás az útvonaltábla változásaihoz

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Az útválasztási táblák az alhálózatok és a hálózati átjárók közötti hálózati forgalom irányítására szolgálnak. Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást az útvonaltáblák módosításához. Az útvonaltáblák változásainak monitorozása segít biztosítani, hogy a VPC-forgalom egy várt útvonalon haladjon keresztül.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás az S3 gyűjtőszabályzat módosításaihoz

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást az S3 gyűjtőszabályzatok módosításához. Az S3 gyűjtőszabályzatok változásainak figyelése csökkentheti a bizalmas S3-gyűjtők megengedő szabályzatainak észlelésére és javítására vonatkozó időt.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás a biztonsági csoportok módosításaihoz

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. A biztonsági csoportok állapotalapú csomagszűrők, amelyek a VPC-n belüli bejövő és kimenő forgalmat szabályzják. Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást a biztonsági csoportokban. A biztonsági csoport módosításainak monitorozása segít biztosítani, hogy az erőforrások és szolgáltatások ne legyenek véletlenül elérhetővé téve.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás jogosulatlan API-hívásokhoz

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Javasoljuk, hogy hozzon létre metrikaszűrőt és riasztást jogosulatlan API-hívásokhoz. A jogosulatlan API-hívások monitorozása segít felfedni az alkalmazáshibákat, és csökkentheti a rosszindulatú tevékenységek észlelésének idejét.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás a gyökérfiók használatához

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Javasoljuk, hogy hozzon létre egy metrikaszűrőt és -riasztást a fő bejelentkezési kísérletekhez.

A legfelső szintű fiókok bejelentkezéseinek monitorozása betekintést nyújt a teljes jogosultságú fiókok használatába, és lehetőséget biztosít annak használatának csökkentésére.

Súlyosság: Alacsony

Ellenőrizze, hogy létezik-e naplómetrikaszűrő és -riasztás a VPC-módosításokhoz

Leírás: Az API-hívások valós idejű monitorozása úgy érhető el, hogy a CloudTrail-naplókat a CloudWatch-naplókhoz irányítja, és létrehoz megfelelő metrikaszűrőket és riasztásokat. Egy fiókon belül több VPC is lehetséges, emellett 2 VPN között is létrehozhat társkapcsolatot, amely lehetővé teszi a hálózati forgalom irányítását a VPN-ek között. Javasoljuk, hogy a VPN-ek módosításaihoz hozzon létre metrikaszűrőt és -riasztást. Az IAM-házirendek változásainak monitorozása segít biztosítani, hogy a hitelesítési és engedélyezési vezérlők érintetlenek maradjanak.

Súlyosság: Alacsony

Győződjön meg arról, hogy a biztonsági csoportok nem engedélyezik a 0.0.0.0/0-s bejövő forgalmat a 3389-s portra

Leírás: A biztonsági csoportok állapotalapú szűrést biztosítanak az AWS-erőforrások bejövő/kimenő hálózati forgalmára. Javasoljuk, hogy egyetlen biztonsági csoport sem engedélyezi a 3389-s porthoz való korlátlan bejövő hozzáférést. A távoli konzolszolgáltatásokhoz, például az RDP-hez való nem felügyelt kapcsolat eltávolítása csökkenti a kiszolgáló kockázatnak való kitettségét.

Súlyosság: Magas

Az RDS-adatbázisok és -fürtök nem használhatnak alapértelmezett adatbázismotor-portot

Leírás: Ez a vezérlő ellenőrzi, hogy az RDS-fürt vagy -példány az adatbázismotor alapértelmezett portjától eltérő portot használ-e. Ha egy ismert portot használ egy RDS-fürt vagy -példány üzembe helyezéséhez, a támadók találgathatnak a fürtről vagy a példányról. A támadó ezeket az információkat más információkkal együtt használhatja egy RDS-fürthöz vagy -példányhoz való csatlakozáshoz, vagy további információkat szerezhet az alkalmazásról. A port módosításakor frissítenie kell a régi porthoz való csatlakozáshoz használt meglévő kapcsolati sztring is. Ellenőrizze a DB-példány biztonsági csoportját is, hogy tartalmaz-e olyan bejövő szabályt, amely engedélyezi a kapcsolatot az új porton.

Súlyosság: Alacsony

Az RDS-példányokat VPC-ben kell üzembe helyezni

Leírás: A VPN-ek számos hálózati vezérlőt biztosítanak az RDS-erőforrásokhoz való hozzáférés biztonságossá tételéhez. Ezek a vezérlők közé tartoznak a VPC-végpontok, a hálózati ACL-ek és a biztonsági csoportok. A vezérlők előnyeinek kihasználásához javasoljuk, hogy helyezze át az EC2-Klasszikus RDS-példányokat az EC2-VPC-be.

Súlyosság: Alacsony

Az S3-gyűjtőknek a Secure Socket Layer használatára vonatkozó kéréseket kell igényelniük

Leírás: Javasoljuk, hogy az összes Amazon S3-gyűjtőn kérje a Secure Socket Layer (SSL) használatát. Az S3-gyűjtőknek olyan szabályzatokkal kell rendelkezniük, amelyek megkövetelik az összes kérést ('Action: S3:*') az adatok HTTPS-en keresztüli átvitelének elfogadásához az S3 erőforrásházirendben, amelyet az "aws:SecureTransport" feltételkulcs jelez.

Súlyosság: Közepes

A biztonsági csoportok nem engedélyezhetik a 0.0.0.0/0-ról a 22-s portra való bejövő forgalmat

Leírás: A kiszolgáló expozíciójának csökkentése érdekében javasoljuk, hogy ne engedélyezze a "22" porthoz való korlátlan bejövő hozzáférést.

Súlyosság: Magas

A biztonsági csoportok nem engedélyezhetik a magas kockázatú portokhoz való korlátlan hozzáférést

Leírás: Ez a vezérlő ellenőrzi, hogy a biztonsági csoportok korlátlan bejövő forgalma elérhető-e a legmagasabb kockázattal rendelkező portokhoz. Ez a vezérlő akkor halad át, ha egy biztonsági csoport egyik szabálya sem engedélyezi a bejövő forgalmat a 0.0.0.0/0-ról ezeken a portokon. A korlátlan hozzáférés (0.0.0.0/0) növeli a rosszindulatú tevékenységek, például a hackelés, a szolgáltatásmegtagadásos támadások és az adatok elvesztésének lehetőségét. A biztonsági csoportok az AWS-erőforrások bejövő és kimenő hálózati forgalmának állapotalapú szűrését biztosítják. Egyetlen biztonsági csoport sem engedélyezheti a korlátlan bejövő hozzáférést a következő portokhoz:

• 3389 (RDP)
• 20, 21 (FTP)
• 22 (SSH)
• 23 (Telnet)
• 110 (POP3)
• 143 (IMAP)
• 3306 (MySQL)
• 8080 (proxy)
• 1433, 1434 (MSSQL)
• 9200 vagy 9300 (Elasticsearch)
• 5601 (Kibana)
• 25 (SMTP)
• 445 (CIFS)
• 135 (RPC)
• 4333 (ahsp)
• 5432 (postgresql)
• 5500 (fcp-addr-srvr1)

Súlyosság: Közepes

A biztonsági csoportok csak az engedélyezett portok számára engedélyezik a korlátlan bejövő forgalmat

Leírás: Ez a vezérlő ellenőrzi, hogy a használt biztonsági csoportok engedélyezik-e a korlátlan bejövő forgalmat. A szabály opcionálisan ellenőrzi, hogy a portszámok szerepelnek-e a "authorizedTcpPorts" paraméterben.

• Ha a biztonságicsoport-szabály portszáma korlátlan bejövő forgalmat tesz lehetővé, de a portszám az "authorizedTcpPorts" paraméterben van megadva, akkor a vezérlő áthalad. A "authorizedTcpPorts" alapértelmezett értéke 80, 443.
• Ha a biztonságicsoport-szabály portszáma engedélyezi a korlátlan bejövő forgalmat, de a portszám nincs megadva az engedélyezettTcpPorts bemeneti paraméterben, akkor a vezérlő meghiúsul.
• Ha a paraméter nincs használatban, akkor a vezérlő nem működik minden olyan biztonsági csoport esetében, amely korlátlan bejövő szabályt használ. A biztonsági csoportok állapotalapú szűrést biztosítanak az AWS-be bejövő és kimenő hálózati forgalomra. A biztonsági csoport szabályainak a legkevésbé kiemelt hozzáférés elvét kell követnie. A korlátlan hozzáférés (az IP-cím /0 utótaggal) növeli a rosszindulatú tevékenységek, például a hackelés, a szolgáltatásmegtagadásos támadások és az adatvesztés lehetőségét. Hacsak nincs kifejezetten engedélyezett port, a portnak meg kell tagadnia a korlátlan hozzáférést.

Súlyosság: Magas

A nem használt EC2 EIP-ket el kell távolítani

Leírás: A VPC-hez lefoglalt rugalmas IP-címeket Amazon EC2-példányokhoz vagy használaton kívüli rugalmas hálózati adapterekhez (ENI-k) kell csatolni.

Súlyosság: Alacsony

A nem használt hálózati hozzáférés-vezérlési listákat el kell távolítani

Leírás: Ez a vezérlő ellenőrzi, hogy vannak-e nem használt hálózati hozzáférés-vezérlési listák (ACL-ek). A vezérlő ellenőrzi az "AWS:EC2::NetworkAcl" erőforrás elemkonfigurációját, és meghatározza a hálózati ACL kapcsolatait. Ha az egyetlen kapcsolat a hálózati ACL VPC-je, akkor a vezérlő meghiúsul. Ha más kapcsolatok is szerepelnek a listában, akkor a vezérlő átmegy.

Súlyosság: Alacsony

A VPC alapértelmezett biztonsági csoportjának korlátoznia kell az összes forgalmat

Leírás: A biztonsági csoportnak korlátoznia kell az összes forgalmat az erőforrás-expozíció csökkentése érdekében.

Súlyosság: Alacsony

Kapcsolódó tartalom

• AWS-fiókok csatlakoztatása a Felhőhöz készült Microsoft Defenderhez
• Mik azok a biztonsági szabályzatok, kezdeményezések és javaslatok?
• A biztonsági javaslatok áttekintése