Rekomendasi keamanan untuk sumber daya Amazon Web Services (AWS)
Artikel ini mencantumkan semua rekomendasi yang mungkin Anda lihat di Microsoft Defender untuk Cloud jika Anda menyambungkan akun Amazon Web Services (AWS) dengan menggunakan halaman Pengaturan lingkungan. Rekomendasi yang muncul di lingkungan Anda didasarkan pada sumber daya yang Anda lindungi dan pada konfigurasi yang disesuaikan.
Untuk mempelajari tentang tindakan yang dapat Anda ambil sebagai respons terhadap rekomendasi ini, lihat Memulihkan rekomendasi di Defender untuk Cloud.
Skor aman Anda didasarkan pada jumlah rekomendasi keamanan yang Anda selesaikan. Untuk memutuskan rekomendasi mana yang harus diselesaikan terlebih dahulu, lihat tingkat keparahan setiap rekomendasi dan efek potensialnya pada skor aman Anda.
Rekomendasi KOMPutasi AWS
Instans Amazon EC2 yang dikelola oleh Manajer Sistem harus memiliki status kepatuhan patch COMPLIANT setelah pemasangan patch
Deskripsi: Kontrol ini memeriksa apakah status kepatuhan kepatuhan patch Manajer Sistem Amazon EC2 PATLIANT atau NON_COMPLIANT setelah penginstalan patch pada instans. Ini hanya memeriksa instans yang dikelola oleh AWS Systems Manager Patch Manager. Ini tidak memeriksa apakah patch diterapkan dalam batas 30 hari yang ditentukan oleh persyaratan PCI DSS '6.2'. Ini juga tidak memvalidasi apakah patch yang diterapkan diklasifikasikan sebagai patch keamanan. Anda harus membuat grup patch dengan pengaturan dasar yang sesuai dan memastikan sistem dalam cakupan dikelola oleh grup patch tersebut di Manajer Sistem. Untuk informasi selengkapnya tentang grup patch, lihat Panduan Pengguna AWS Systems Manager.
Tingkat keparahan: Sedang
Amazon EFS harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS
Deskripsi: Kontrol ini memeriksa apakah Amazon Elastic File System dikonfigurasi untuk mengenkripsi data file menggunakan AWS KMS. Pemeriksaan gagal dalam kasus berikut: *"Terenkripsi" diatur ke "false" dalam respons DescribeFileSystems. Kunci "KmsKeyId" dalam respons DescribeFileSystems tidak cocok dengan parameter KmsKeyId untuk pemeriksaan terenkripsi efs. Perhatikan bahwa kontrol ini tidak menggunakan parameter "KmsKeyId" untuk pemeriksaan terenkripsi efs. Itu hanya memeriksa nilai "Terenkripsi". Untuk lapisan keamanan tambahan bagi data sensitif Anda di Amazon EFS, Anda harus membuat sistem file terenkripsi. Amazon EFS mendukung enkripsi untuk sistem file yang tidak aktif. Anda dapat mengaktifkan enkripsi data saat istirahat saat Anda membuat sistem file Amazon EFS. Untuk mempelajari lebih lanjut tentang enkripsi Amazon EFS, lihat Enkripsi data di Amazon EFS di Panduan Pengguna Amazon Elastic File System.
Tingkat keparahan: Sedang
Volume EFS Amazon harus ada dalam paket cadangan
Deskripsi: Kontrol ini memeriksa apakah sistem file Amazon Elastic File System (Amazon EFS) ditambahkan ke paket cadangan di AWS Backup. Kontrol gagal jika sistem file Amazon EFS tidak disertakan dalam rencana pencadangan. Menyertakan sistem file EFS dalam rencana pencadangan membantu Anda melindungi data dari penghapusan dan kehilangan data.
Tingkat keparahan: Sedang
Perlindungan penghapusan Application Load Balancer harus diaktifkan
Deskripsi: Kontrol ini memeriksa apakah Application Load Balancer mengaktifkan perlindungan penghapusan. Kontrol gagal jika perlindungan penghapusan tidak dikonfigurasi. Aktifkan perlindungan penghapusan untuk melindungi Application Load Balancer Anda dari penghapusan.
Tingkat keparahan: Sedang
Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan health check
Deskripsi: Grup Penskalaan Otomatis yang terkait dengan load balancer menggunakan pemeriksaan kesehatan Elastic Load Balancing. PCI DSS tidak memerlukan penyeimbangan beban atau konfigurasi yang sangat tersedia. Ini direkomendasikan oleh praktik terbaik AWS.
Tingkat keparahan: Rendah
Akun AWS harus mengaktifkan penyediaan otomatis Azure Arc
Deskripsi: Untuk visibilitas penuh konten keamanan dari Pertahanan Microsoft untuk server, instans EC2 harus terhubung ke Azure Arc. Untuk memastikan bahwa semua instans EC2 yang memenuhi syarat secara otomatis menerima Azure Arc, aktifkan provisi otomatis dari Defender untuk Cloud di tingkat akun AWS. Pelajari lebih lanjut tentang Azure Arc, dan Microsoft Defender untuk Server.
Tingkat keparahan: Tinggi
Distribusi CloudFront harus memiliki failover asal yang dikonfigurasi
Deskripsi: Kontrol ini memeriksa apakah distribusi Amazon CloudFront dikonfigurasi dengan grup asal yang memiliki dua asal atau lebih. Kegagalan asal CloudFront dapat meningkatkan ketersediaan. Kegagalan asal secara otomatis mengalihkan lalu lintas ke asal sekunder jika asal utama tidak tersedia atau jika mengembalikan kode status respons HTTP tertentu.
Tingkat keparahan: Sedang
CodeBuild GitHub atau URL repositori sumber Bitbucket harus menggunakan OAuth
Deskripsi: Kontrol ini memeriksa apakah URL repositori sumber GitHub atau Bitbucket berisi token akses pribadi atau nama pengguna dan kata sandi. Kredensial otentikasi tidak boleh disimpan atau dikirimkan dalam teks yang jelas atau muncul di URL repositori. Alih-alih token akses pribadi atau nama pengguna dan sandi, Anda harus menggunakan OAuth untuk memberikan otorisasi untuk mengakses repositori GitHub atau Bitbucket. Menggunakan token akses pribadi atau nama pengguna dan kata sandi dapat mengekspos kredensial Anda ke paparan data yang tidak diinginkan dan akses tidak sah.
Tingkat keparahan: Tinggi
Variabel lingkungan proyek CodeBuild tidak boleh berisi kredensial
Deskripsi: Kontrol ini memeriksa apakah proyek berisi variabel AWS_ACCESS_KEY_ID lingkungan dan AWS_SECRET_ACCESS_KEY.
Kredensial autentikasi AWS_ACCESS_KEY_ID dan AWS_SECRET_ACCESS_KEY tidak boleh disimpan dalam teks yang jelas, karena hal ini dapat menyebabkan paparan data yang tidak diinginkan dan akses yang tidak sah.
Tingkat keparahan: Tinggi
Kluster DynamoDB Accelerator (DAX) harus dienkripsi saat diam
Deskripsi: Kontrol ini memeriksa apakah kluster DAX dienkripsi saat tidak aktif. Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Enkripsi menambahkan satu set kontrol akses untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca.
Tingkat keparahan: Sedang
Tabel DynamoDB harus secara otomatis menskalakan kapasitas dengan permintaan
Deskripsi: Kontrol ini memeriksa apakah tabel Amazon DynamoDB dapat menskalakan kapasitas baca dan tulis sesuai kebutuhan. Kontrol ini lolos jika tabel menggunakan mode kapasitas sesuai permintaan atau mode yang disediakan dengan penskalaan otomatis yang dikonfigurasi. Penskalaan kapasitas dengan permintaan menghindari pengecualian pelambatan, yang membantu menjaga ketersediaan aplikasi Anda.
Tingkat keparahan: Sedang
Instans EC2 harus terhubung ke Azure Arc
Deskripsi: Koneksi instans EC2 Anda ke Azure Arc untuk memiliki visibilitas penuh ke konten keamanan Pertahanan Microsoft untuk Server. Pelajari lebih lanjut tentang Azure Arc, dan tentang Microsoft Defender untuk Server di lingkungan hybrid-cloud.
Tingkat keparahan: Tinggi
Instans EC2 harus dikelola oleh AWS Systems Manager
Deskripsi: Status kepatuhan patch Manajer Sistem Amazon EC2 adalah 'COMPLIANT' atau 'NON_COMPLIANT' setelah penginstalan patch pada instans. Hanya instans yang dikelola oleh AWS Systems Manager Patch Manager yang diperiksa. Patch yang diterapkan dalam batas 30 hari yang ditentukan oleh persyaratan PCI DSS '6' tidak diperiksa.
Tingkat keparahan: Sedang
Masalah konfigurasi EDR harus diselesaikan pada EC2s
Deskripsi: Untuk melindungi komputer virtual dari ancaman dan kerentanan terbaru, atasi semua masalah konfigurasi yang diidentifikasi dengan solusi Deteksi dan Respons Titik Akhir (EDR) yang diinstal.
Catatan: Saat ini, rekomendasi ini hanya berlaku untuk sumber daya dengan Microsoft Defender untuk Titik Akhir (MDE) diaktifkan.
Tingkat keparahan: Tinggi
Solusi EDR harus diinstal pada EC2s
Deskripsi: Untuk melindungi EC2s, instal solusi Deteksi dan Respons Titik Akhir (EDR). EDR membantu mencegah, mendeteksi, menyelidiki, dan merespons ancaman tingkat lanjut. Gunakan Pertahanan Microsoft untuk Server untuk menyebarkan Microsoft Defender untuk Titik Akhir. Jika sumber daya diklasifikasikan sebagai "Tidak Sehat", sumber daya tidak memiliki solusi EDR yang didukung yang diinstal. Jika Anda memiliki solusi EDR yang terinstal yang tidak dapat ditemukan oleh rekomendasi ini, Anda dapat mengecualikannya.
Tingkat keparahan: Tinggi
Instans yang dikelola oleh Manajer Sistem harus memiliki status kepatuhan asosiasi COMPLIANT
Deskripsi: Kontrol ini memeriksa apakah status kepatuhan asosiasi AWS Systems Manager SESUAI atau NON_COMPLIANT setelah asosiasi dijalankan pada instans. Kontrol lolos jika status kepatuhan asosiasi adalah COMPLIANT. Asosiasi State Manager adalah konfigurasi yang ditetapkan ke instans terkelola Anda. Konfigurasi menentukan status yang ingin Anda pertahankan pada instans Anda. Misalnya, asosiasi dapat menentukan bahwa perangkat lunak antivirus harus diinstal dan dijalankan pada instans Anda, atau port tertentu harus ditutup. Setelah Anda membuat satu atau beberapa asosiasi State Manager, informasi status kepatuhan segera tersedia untuk Anda di konsol atau sebagai respons terhadap perintah AWS CLI atau operasi Systems Manager API yang sesuai. Untuk asosiasi, Kepatuhan "Konfigurasi" menunjukkan status Patuh atau Tidak patuh dan tingkat keparahan yang ditetapkan ke asosiasi, seperti Kritis atau Sedang. Untuk mempelajari selengkapnya tentang kepatuhan asosiasi State Manager, lihat Tentang kepatuhan asosiasi State Manager di Panduan Pengguna AWS Systems Manager. Anda harus mengonfigurasi instans EC2 dalam cakupan Anda untuk asosiasi Manajer Sistem. Anda juga harus mengonfigurasi garis besar patch untuk peringkat keamanan vendor patch, dan mengatur tanggal autoapproval untuk memenuhi persyaratan PCI DSS 3.2.1 6.2. Untuk panduan selengkapnya tentang cara Membuat asosiasi, lihat Membuat asosiasi di Panduan Pengguna AWS Systems Manager. Untuk informasi selengkapnya tentang bekerja dengan patching di Systems Manager, lihat AWS Systems Manager Patch Manager di Panduan Pengguna AWS Systems Manager.
Tingkat keparahan: Rendah
Fungsi Lambda harus memiliki antrean huruf mati yang dikonfigurasi
Deskripsi: Kontrol ini memeriksa apakah fungsi Lambda dikonfigurasi dengan antrean surat mati. Kontrol gagal jika fungsi Lambda tidak dikonfigurasi dengan antrean dead-letter. Sebagai alternatif untuk tujuan yang gagal, Anda dapat mengonfigurasi fungsi Anda dengan antrean dead-letter untuk menyimpan peristiwa yang dibuang untuk diproses lebih lanjut. Antrian dead-letter bertindak sama dengan tujuan pada kegagalan. Ini digunakan ketika peristiwa gagal semua upaya pemrosesan atau kedaluwarsa tanpa diproses. Antrean dead-letter memungkinkan Anda melihat kembali kesalahan atau permintaan yang gagal ke fungsi Lambda Anda untuk men-debug atau mengidentifikasi perilaku yang tidak biasa. Dari perspektif keamanan, penting untuk memahami mengapa fungsi Anda gagal dan memastikan bahwa fungsi Anda tidak menghilangkan data atau membahayakan keamanan data sebagai hasilnya. Misalnya, jika fungsi Anda tidak dapat berkomunikasi ke sumber daya yang mendasar, itu bisa menjadi gejala serangan penolakan layanan (DoS) di tempat lain dalam jaringan.
Tingkat keparahan: Sedang
Fungsi Lambda harus menggunakan waktu proses yang didukung
Deskripsi: Kontrol ini memeriksa bahwa pengaturan fungsi Lambda untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung untuk setiap bahasa. Kontrol ini memeriksa runtime berikut: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Runtime Lambda dibangun di sekitar kombinasi sistem operasi, bahasa pemrograman, dan pustaka perangkat lunak yang tunduk pada pembaruan pemeliharaan dan keamanan. Saat komponen waktu proses tidak lagi didukung untuk pembaruan keamanan, Lambda menghentikan waktu proses. Meskipun Anda tidak dapat membuat fungsi yang menggunakan runtime yang tidak digunakan lagi, fungsi ini masih tersedia untuk memproses peristiwa pemanggilan. Pastikan fungsi Lambda Anda saat ini dan tidak menggunakan lingkungan runtime yang kedaluarsa. Untuk mempelajari lebih lanjut tentang waktu proses yang didukung yang diperiksa kontrol ini untuk bahasa yang didukung, lihat Waktu proses AWS Lambda di Panduan Pengembang AWS Lambda.
Tingkat keparahan: Sedang
Port manajemen instans EC2 harus dilindungi dengan kontrol akses jaringan tepat waktu
Deskripsi: Microsoft Defender untuk Cloud mengidentifikasi beberapa aturan masuk yang terlalu permisif untuk port manajemen di jaringan Anda. Aktifkan kontrol akses tepat waktu untuk melindungi Instans Anda dari serangan brute force berbasis internet. Pelajari lebih lanjut.
Tingkat keparahan: Tinggi
Grup keamanan EC2 yang tidak digunakan harus dihapus
Deskripsi: Grup keamanan harus dilampirkan ke instans Amazon EC2 atau ke ENI. Temuan sehat dapat menunjukkan ada kelompok keamanan Amazon EC2 yang tidak digunakan.
Tingkat keparahan: Rendah
Rekomendasi Kontainer AWS
[Pratinjau] Gambar kontainer di registri AWS harus menyelesaikan temuan kerentanan
Deskripsi: Defender untuk Cloud memindai gambar registri Anda untuk kerentanan (CVE) yang diketahui dan memberikan temuan terperinci untuk setiap gambar yang dipindai. Memindai dan memulihkan kerentanan untuk gambar kontainer dalam registri membantu menjaga rantai pasokan perangkat lunak yang aman dan andal, mengurangi risiko insiden keamanan, dan memastikan kepatuhan terhadap standar industri.
Tingkat keparahan: Tinggi
Jenis: Penilaian Kerentanan
[Pratinjau] Kontainer yang berjalan di AWS harus menyelesaikan temuan kerentanan
Deskripsi: Defender untuk Cloud membuat inventaris semua beban kerja kontainer yang saat ini berjalan di kluster Kubernetes Anda dan menyediakan laporan kerentanan untuk beban kerja tersebut dengan mencocokkan gambar yang digunakan dan laporan kerentanan yang dibuat untuk gambar registri. Memindai dan memulihkan kerentanan beban kerja kontainer sangat penting untuk memastikan rantai pasokan perangkat lunak yang kuat dan aman, mengurangi risiko insiden keamanan, dan memastikan kepatuhan terhadap standar industri.
Tingkat keparahan: Tinggi
Jenis: Penilaian Kerentanan
Kluster EKS harus memberikan izin AWS yang diperlukan ke Microsoft Defender for Cloud
Deskripsi: Pertahanan Microsoft untuk Kontainer memberikan perlindungan untuk kluster EKS Anda. Untuk memantau kerentanan dan ancaman keamanan cluster Anda, Defender for Containers memerlukan izin untuk akun AWS Anda. Izin ini digunakan untuk mengaktifkan pengelogan sarana kontrol Kube pada kluster Anda dan membangun alur yang andal antara kluster Anda dan backend Defender untuk Cloud di cloud. Pelajari lebih lanjut tentang fitur keamanan Microsoft Defender for Cloud untuk lingkungan kemas.
Tingkat keparahan: Tinggi
Kluster EKS harus menginstal ekstensi Microsoft Defender untuk Azure Arc
Deskripsi: Ekstensi kluster Pertahanan Microsoft menyediakan kemampuan keamanan untuk kluster EKS Anda. Ekstensi mengumpulkan data dari cluster dan nodenya untuk mengidentifikasi kerentanan dan ancaman keamanan. Ekstensi berfungsi dengan Kubernetes yang mendukung Azure Arc. Pelajari lebih lanjut tentang fitur keamanan Microsoft Defender for Cloud untuk lingkungan kemas.
Tingkat keparahan: Tinggi
Microsoft Defender for Containers harus diaktifkan pada konektor AWS
Deskripsi: Pertahanan Microsoft untuk Kontainer memberikan perlindungan ancaman real-time untuk lingkungan kontainer dan menghasilkan pemberitahuan tentang aktivitas yang mencurigakan. Gunakan informasi ini untuk memperkuat keamanan cluster Kubernetes dan memulihkan masalah keamanan.
Penting: Saat Anda mengaktifkan Pertahanan Microsoft untuk Kontainer dan menyebarkan Azure Arc ke kluster EKS Anda, perlindungan - dan biaya - akan dimulai. Jika Anda tidak menyebarkan Azure Arc pada kluster, Defender untuk Kontainer tidak akan melindunginya, dan tidak ada biaya yang dikeluarkan untuk paket Pertahanan Microsoft untuk kluster tersebut.
Tingkat keparahan: Tinggi
Rekomendasi sarana data
Semua rekomendasi keamanan sarana data Kubernetes didukung untuk AWS setelah Anda mengaktifkan Azure Policy untuk Kubernetes.
Rekomendasi AWS Data
Kluster Amazon Aurora harus mengaktifkan pelacakan mundur
Deskripsi: Kontrol ini memeriksa apakah kluster Amazon Aurora mengaktifkan backtracking. Cadangan membantu Anda memulihkan lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Aurora backtracking mengurangi waktu untuk memulihkan database ke titik waktu tertentu. Ini tidak memerlukan pemulihan database untuk melakukannya. Untuk informasi selengkapnya tentang pelacakan mundur di Aurora, lihat Melacak mundur klaster Aurora DB di Panduan Pengguna Amazon Aurora.
Tingkat keparahan: Sedang
Rekam jepret Amazon EBS seharusnya tidak dapat disembuhkan secara publik
Deskripsi: Rekam jepret Amazon EBS tidak boleh dapat dilaporkan secara publik oleh semua orang kecuali diizinkan secara eksplisit, untuk menghindari paparan data yang tidak disengaja. Selain itu, izin untuk mengubah konfigurasi Amazon EBS harus dibatasi hanya untuk akun AWS resmi.
Tingkat keparahan: Tinggi
Definisi tugas Amazon ECS harus memiliki mode jaringan aman dan definisi pengguna
Deskripsi: Kontrol ini memeriksa apakah definisi tugas Amazon ECS aktif yang memiliki mode jaringan host juga memiliki definisi kontainer istimewa atau pengguna. Kontrol gagal untuk definisi tugas yang memiliki mode jaringan host dan definisi wadah di mana privileged=false atau kosong dan user=root atau kosong. Jika definisi tugas memiliki hak istimewa yang ditingkatkan, itu karena pelanggan secara khusus ikut serta dalam konfigurasi tersebut. Kontrol ini memeriksa eskalasi hak istimewa yang tidak terduga ketika definisi tugas mengaktifkan jaringan host tetapi pelanggan tidak memilih untuk meningkatkan hak istimewa.
Tingkat keparahan: Tinggi
Domain Amazon Elasticsearch Service harus mengenkripsi data yang dikirim antar node
Deskripsi: Kontrol ini memeriksa apakah domain Amazon ES mengaktifkan enkripsi node-to-node. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan serangan person-in-the-middle atau serupa. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengaktifkan enkripsi node-to-node untuk domain Amazon ES memastikan bahwa komunikasi intra-cluster dienkripsi saat transit. Mungkin ada penalti kinerja yang terkait dengan konfigurasi ini. Anda harus mengetahui dan menguji pertukaran kinerja sebelum mengaktifkan opsi ini.
Tingkat keparahan: Sedang
Domain Amazon Elasticsearch Service harus mengaktifkan enkripsi saat istirahat
Deskripsi: Penting untuk mengaktifkan enkripsi sisa domain Amazon ES untuk melindungi data sensitif
Tingkat keparahan: Sedang
Database Amazon RDS harus dienkripsi menggunakan kunci yang dikelola pelanggan
Deskripsi: Pemeriksaan ini mengidentifikasi database RDS yang dienkripsi dengan kunci KMS default dan bukan dengan kunci yang dikelola pelanggan. Sebagai praktik terdepan, gunakan kunci yang dikelola pelanggan untuk mengenkripsi data pada database RDS Anda dan mempertahankan kontrol kunci dan data Anda pada beban kerja sensitif.
Tingkat keparahan: Sedang
Instans Amazon RDS harus dikonfigurasi dengan pengaturan pencadangan otomatis
Deskripsi: Pemeriksaan ini mengidentifikasi instans RDS, yang tidak diatur dengan pengaturan pencadangan otomatis. Jika Pencadangan Otomatis diatur, RDS membuat rekam jepret volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB dan bukan hanya database individual, yang menyediakan pemulihan titik waktu. Pencadangan otomatis terjadi selama waktu jendela cadangan yang ditentukan dan menyimpan cadangan untuk jangka waktu terbatas seperti yang didefinisikan dalam periode retensi. Disarankan untuk mengatur cadangan otomatis untuk server RDS penting Anda yang membantu dalam proses pemulihan data.
Tingkat keparahan: Sedang
Kluster Amazon Redshift harus mengaktifkan pencatatan audit
Deskripsi: Kontrol ini memeriksa apakah kluster Amazon Redshift mengaktifkan pengelogan audit. Pencatatan audit Amazon Redshift memberikan informasi tambahan tentang koneksi dan aktivitas pengguna di klaster Anda. Data ini dapat disimpan dan diamankan di Amazon S3 dan dapat membantu dalam audit dan investigasi keamanan. Untuk informasi selengkapnya, lihat Pencatatan log audit basis data di Panduan Manajemen Klaster Amazon Redshift.
Tingkat keparahan: Sedang
Kluster Amazon Redshift harus mengaktifkan snapshot otomatis
Deskripsi: Kontrol ini memeriksa apakah kluster Amazon Redshift mengaktifkan rekam jepret otomatis. Ini juga memeriksa apakah periode retensi snapshot lebih besar dari atau sama dengan tujuh. Cadangan membantu Anda memulihkan lebih cepat dari insiden keamanan. Mereka memperkuat ketahanan sistem Anda. Amazon Redshift mengambil snapshot berkala secara default. Kontrol ini memeriksa apakah snapshot otomatis diaktifkan dan dipertahankan setidaknya selama tujuh hari. Untuk informasi selengkapnya tentang rekam jepret otomatis Amazon Redshift, lihat Rekam jepret otomatis di Panduan Manajemen Kluster Amazon Redshift.
Tingkat keparahan: Sedang
Cluster Amazon Redshift harus melarang akses publik
Deskripsi: Kami merekomendasikan kluster Amazon Redshift untuk menghindari aksesibilitas publik dengan mengevaluasi bidang 'publiclyAccessible' dalam item konfigurasi kluster.
Tingkat keparahan: Tinggi
Amazon Redshift seharusnya memiliki peningkatan otomatis ke versi utama yang diaktifkan
Deskripsi: Kontrol ini memeriksa apakah peningkatan versi utama otomatis diaktifkan untuk kluster Amazon Redshift. Mengaktifkan pemutakhiran versi utama otomatis memastikan bahwa pembaruan versi utama terbaru untuk klaster Amazon Redshift diinstal selama jendela pemeliharaan. Pembaruan ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.
Tingkat keparahan: Sedang
Antrian Amazon SQS harus dienkripsi saat istirahat
Deskripsi: Kontrol ini memeriksa apakah antrean Amazon SQS dienkripsi saat tidak aktif. Enkripsi sisi server (SSE) memungkinkan Anda mengirimkan data sensitif dalam antrian terenkripsi. Untuk melindungi konten pesan dalam antrean, SSE menggunakan kunci yang dikelola di AWS KMS. Untuk informasi selengkapnya, lihat Enkripsi saat istirahat di Panduan Pengembang Amazon Simple Queue Service.
Tingkat keparahan: Sedang
Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa klaster kritis
Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada yang memiliki pemberitahuan yang diaktifkan untuk jenis sumber berikut, pasangan kunci-nilai kategori peristiwa. DBCluster: ["pemeliharaan" dan "kegagalan"]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Notifikasi ini memungkinkan respons cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.
Tingkat keparahan: Rendah
Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa instans basis data penting
Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada dengan pemberitahuan yang diaktifkan untuk jenis sumber berikut. pasangan nilai kunci kategori peristiwa. DBInstance: ["pemeliharaan", "perubahan konfigurasi" dan "kegagalan"]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Notifikasi ini memungkinkan respons cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.
Tingkat keparahan: Rendah
Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa grup parameter basis data penting
Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada dengan pemberitahuan yang diaktifkan untuk jenis sumber berikut. pasangan nilai kunci kategori peristiwa. DBParameterGroup: ["konfigurasi", "ubah"]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Notifikasi ini memungkinkan respons cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.
Tingkat keparahan: Rendah
Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa grup keamanan basis data penting
Deskripsi: Kontrol ini memeriksa apakah langganan peristiwa Amazon RDS ada dengan pemberitahuan yang diaktifkan untuk jenis sumber berikut, pasangan kunci-nilai kategori peristiwa. DBSecurityGroup: ["configuration","change","failure"]. Pemberitahuan acara RDS menggunakan Amazon SNS untuk membuat Anda mengetahui perubahan dalam ketersediaan atau konfigurasi sumber daya RDS Anda. Pemberitahuan ini memungkinkan respons yang cepat. Untuk informasi selengkapnya tentang pemberitahuan peristiwa RDS, lihat Menggunakan pemberitahuan peristiwa Amazon RDS di Panduan Pengguna Amazon RDS.
Tingkat keparahan: Rendah
API Gateway REST dan WebSocket API logging harus diaktifkan
Deskripsi: Kontrol ini memeriksa apakah semua tahapan AMAZON API Gateway REST atau WebSocket API telah mengaktifkan pengelogan. Kontrol gagal jika pengelogan tidak diaktifkan untuk semua metode tahap atau jika Tingkat pengelogan bukan KESALAHAN atau INFO. Tahap API Gateway REST atau WebSocket API harus mengaktifkan log yang relevan. API Gateway REST dan logging eksekusi WebSocket API menyediakan catatan mendetail tentang permintaan yang dibuat ke tahapan API Gateway REST dan WebSocket API. Tahapannya mencakup respons backend integrasi API, respons otorisasi Lambda, dan requestId untuk titik akhir integrasi AWS.
Tingkat keparahan: Sedang
Data cache API REST API Gateway harus dienkripsi saat diam
Deskripsi: Kontrol ini memeriksa apakah semua metode dalam tahap REST API Gateway yang mengaktifkan cache dienkripsi. Kontrol gagal jika metode apa pun dalam tahap API Gateway REST API dikonfigurasi ke cache dan cache tidak dienkripsi. Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Itu menambahkan satu set kontrol akses untuk membatasi kemampuan pengguna yang tidak sah mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. API Gateway REST Cache API harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.
Tingkat keparahan: Sedang
Tahap REST API Gateway API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk autentikasi backend
Deskripsi: Kontrol ini memeriksa apakah tahapAN REST API Amazon API Gateway memiliki sertifikat SSL yang dikonfigurasi. Sistem backend menggunakan sertifikat ini untuk mengautentikasi bahwa permintaan yang masuk berasal dari API Gateway. Tahap API Gateway REST API harus dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi bahwa permintaan berasal dari API Gateway.
Tingkat keparahan: Sedang
Tahap API Gateway REST API harus mengaktifkan pelacakan AWS X-Ray
Deskripsi: Kontrol ini memeriksa apakah pelacakan aktif AWS X-Ray diaktifkan untuk tahap REST API Amazon API Gateway Anda. Pelacakan aktif X-Ray memungkinkan respons yang lebih cepat terhadap perubahan kinerja di infrastruktur yang mendasarinya. Perubahan kinerja dapat mengakibatkan kurangnya ketersediaan API. Pelacakan aktif X-Ray menyediakan metrik permintaan pengguna real-time yang mengalir melalui operasi API Gateway REST API Anda dan layanan yang terhubung.
Tingkat keparahan: Rendah
API Gateway harus dikaitkan dengan AWS web AWS WAF
Deskripsi: Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses web (ACL) AWS WAF. Kontrol ini gagal jika ACL web AWS WAF tidak dilampirkan ke tahap REST API Gateway. AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan API dari serangan. Ini memungkinkan Anda untuk mengonfigurasi ACL, yang merupakan seperangkat aturan yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan ketentuan keamanan web yang dapat disesuaikan yang Anda tetapkan. Pastikan tahapan API Gateway Anda dikaitkan dengan AWS web AWS WAF untuk membantu melindunginya dari serangan berbahaya.
Tingkat keparahan: Sedang
Logging Aplikasi dan Penyeimbang Beban Klasik harus diaktifkan
Deskripsi: Kontrol ini memeriksa apakah Load Balancer Aplikasi dan Load Balancer Klasik telah mengaktifkan pengelogan. Kontrol gagal jika access_logs.s3.enabled salah.
Elastic Load Balancing menyediakan log akses yang menangkap informasi mendetail tentang permintaan yang dikirim ke load balancer Anda. Setiap log berisi informasi seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. Anda dapat menggunakan log akses ini untuk menganalisis pola lalu lintas dan untuk memecahkan masalah.
Untuk mempelajari lebih lanjut, lihat Akses log untuk Classic Load Balancer Anda di Panduan Pengguna untuk Classic Load Balancer.
Tingkat keparahan: Sedang
Volume EBS yang dilampirkan harus dienkripsi saat diam
Deskripsi: Kontrol ini memeriksa apakah volume EBS yang berada dalam status terlampir dienkripsi. Untuk lulus pemeriksaan ini, volume EBS harus digunakan dan dienkripsi. Jika volume EBS tidak terpasang, maka volume tersebut tidak tunduk pada pemeriksaan ini. Untuk lapisan keamanan tambahan data sensitif Anda dalam volume EBS, Anda harus mengaktifkan enkripsi EBS saat istirahat. Enkripsi Amazon EBS menawarkan solusi enkripsi langsung untuk sumber daya EBS Anda yang tidak mengharuskan Anda membangun, memelihara, dan mengamankan infrastruktur manajemen kunci Anda sendiri. Ini menggunakan kunci master pelanggan (CMK) AWS KMS saat membuat volume dan snapshot terenkripsi. Untuk mempelajari lebih lanjut tentang enkripsi Amazon EBS, lihat Enkripsi Amazon EBS di Panduan Pengguna Amazon EC2 untuk Instans Linux.
Tingkat keparahan: Sedang
Instans replikasi AWS Database Migration Service tidak boleh berpublikasi
Deskripsi: Untuk melindungi instans yang direplikasi dari ancaman. Instans replikasi privat harus memiliki alamat IP privat yang tidak dapat Anda akses di luar jaringan replikasi. Instans replikasi harus memiliki alamat IP pribadi saat database sumber dan target berada di jaringan yang sama, dan jaringan terhubung ke VPC instans replikasi menggunakan VPN, AWS Direct Connect, atau peering VPC. Anda juga harus memastikan bahwa akses ke konfigurasi instans AWS DMS Anda dibatasi hanya untuk pengguna yang berwenang. Untuk melakukannya, batasi izin IAM pengguna untuk mengubah pengaturan dan sumber daya AWS DMS.
Tingkat keparahan: Tinggi
Pendengar Classic Load Balancer harus dikonfigurasi dengan penghentian HTTPS atau TLS
Deskripsi: Kontrol ini memeriksa apakah listener Load Balancer Klasik Anda dikonfigurasi dengan protokol HTTPS atau TLS untuk koneksi front-end (klien ke load balancer). Kontrol ini berlaku jika Classic Load Balancer memiliki pendengar. Jika Load Balancer Klasik Anda tidak memiliki listener yang dikonfigurasi, kontrol tidak melaporkan temuan apa pun. Kontrol lolos jika pendengar Classic Load Balancer dikonfigurasi dengan TLS atau HTTPS untuk koneksi front-end. Kontrol gagal jika listener tidak dikonfigurasi dengan TLS atau HTTPS untuk koneksi front-end. Sebelum Anda mulai menggunakan penyeimbang beban, Anda harus menambahkan satu atau beberapa pendengar. Listener adalah proses yang menggunakan protokol dan port yang dikonfigurasi untuk memeriksa permintaan koneksi. Pendengar dapat mendukung protokol HTTP dan HTTPS/TLS. Anda harus selalu menggunakan pendengar HTTPS atau TLS, sehingga penyeimbang beban melakukan pekerjaan enkripsi dan dekripsi dalam perjalanan.
Tingkat keparahan: Sedang
Penyeimbang Beban Klasik harus mengaktifkan pengurasan koneksi
Deskripsi: Kontrol ini memeriksa apakah Load Balancer Klasik mengaktifkan pengurasan koneksi. Mengaktifkan pengurasan koneksi pada Load Balancer Klasik memastikan bahwa load balancer berhenti mengirim permintaan ke instans yang membatalkan pendaftaran atau tidak sehat. Itu membuat koneksi yang ada tetap terbuka. Ini berguna untuk instans dalam grup Penskalaan Otomatis, untuk memastikan bahwa koneksi tidak terputus secara tiba-tiba.
Tingkat keparahan: Sedang
Distribusi CloudFront harus mengaktifkan AWS WAF
Deskripsi: Kontrol ini memeriksa apakah distribusi CloudFront dikaitkan dengan ACL web AWS WAF atau AWS WAFv2. Kontrol gagal jika distribusi tidak terkait dengan ACL web. AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan API dari serangan. Ini memungkinkan Anda untuk mengonfigurasi seperangkat aturan, yang disebut daftar kontrol akses web (web ACL), yang mengizinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan ketentuan keamanan web yang dapat disesuaikan yang Anda tetapkan. Pastikan distribusi CloudFront Anda dikaitkan dengan AWS web AWS WAF untuk membantu melindunginya dari serangan berbahaya.
Tingkat keparahan: Sedang
Distribusi CloudFront harus mengaktifkan logging
Deskripsi: Kontrol ini memeriksa apakah pengelogan akses server diaktifkan pada distribusi CloudFront. Kontrol gagal jika pengelogan akses tidak diaktifkan untuk distribusi. Log akses CloudFront memberikan informasi terperinci tentang setiap permintaan pengguna yang diterima CloudFront. Setiap log berisi informasi seperti tanggal dan waktu permintaan diterima, alamat IP penampil yang membuat permintaan, sumber permintaan, dan nomor port permintaan dari penampil. Log ini berguna untuk aplikasi seperti audit keamanan dan akses serta investigasi forensik. Untuk informasi selengkapnya tentang cara menganalisis log akses, lihat Mengkueri log Amazon CloudFront di Panduan Pengguna Amazon Athena.
Tingkat keparahan: Sedang
Distribusi CloudFront harus memerlukan enkripsi saat transit
Deskripsi: Kontrol ini memeriksa apakah distribusi Amazon CloudFront mengharuskan penonton untuk menggunakan HTTPS secara langsung atau apakah menggunakan pengalihan. Kontrol gagal jika ViewerProtocolPolicy disetel ke izinkan-semua untuk defaultCacheBehavior atau untuk cacheBehaviors. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan serangan person-in-the-middle atau serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data saat transit dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS.
Tingkat keparahan: Sedang
Log CloudTrail harus dienkripsi saat diam menggunakan KMS CMK
Deskripsi: Kami merekomendasikan untuk mengonfigurasi CloudTrail untuk menggunakan SSE-KMS. Mengonfigurasi CloudTrail untuk menggunakan SSE-KMS memberikan lebih banyak kontrol kerahasiaan pada data log karena pengguna tertentu harus memiliki izin baca S3 pada wadah log yang sesuai dan harus diberikan izin dekripsi oleh kebijakan CMK.
Tingkat keparahan: Sedang
Koneksi ke klaster Amazon Redshift harus dienkripsi saat transit
Deskripsi: Kontrol ini memeriksa apakah koneksi ke kluster Amazon Redshift diperlukan untuk menggunakan enkripsi saat transit. Pemeriksaan gagal jika parameter kluster Amazon Redshift require_SSL tidak diatur ke 1. TLS dapat digunakan untuk membantu mencegah penyerang potensial menggunakan serangan person-in-the-middle atau serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui TLS yang diizinkan. Mengenkripsi data saat transit dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS.
Tingkat keparahan: Sedang
Koneksi ke domain Elasticsearch harus dienkripsi menggunakan TLS 1.2
Deskripsi: Kontrol ini memeriksa apakah koneksi ke domain Elasticsearch diperlukan untuk menggunakan TLS 1.2. Pemeriksaan gagal jika domain Elasticsearch TLSSecurityPolicy bukan Policy-Min-TLS-1-2-2019-07. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan serangan person-in-the-middle atau serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengenkripsi data saat transit dapat memengaruhi kinerja. Anda harus menguji aplikasi Anda dengan fitur ini untuk memahami profil kinerja dan dampak TLS. TLS 1.2 menyediakan beberapa peningkatan keamanan dibandingkan versi TLS sebelumnya.
Tingkat keparahan: Sedang
Tabel DynamoDB harus mengaktifkan pemulihan point-in-time
Deskripsi: Kontrol ini memeriksa apakah pemulihan point-in-time (PITR) diaktifkan untuk tabel Amazon DynamoDB. Cadangan membantu Anda memulihkan lebih cepat dari insiden keamanan. Mereka juga memperkuat ketahanan sistem Anda. Pemulihan titik-dalam-waktu DynamoDB mengotomatiskan pencadangan untuk tabel DynamoDB. Ini mengurangi waktu untuk memulihkan dari operasi penghapusan atau penulisan yang tidak disengaja. Tabel DynamoDB yang mengaktifkan PITR dapat dipulihkan ke titik waktu mana pun dalam 35 hari terakhir.
Tingkat keparahan: Sedang
Enkripsi default EBS harus diaktifkan
Deskripsi: Kontrol ini memeriksa apakah enkripsi tingkat akun diaktifkan secara default untuk Amazon Elastic Block Store (Amazon EBS). Kontrol gagal jika enkripsi tingkat akun tidak diaktifkan. Saat enkripsi diaktifkan untuk akun Anda, volume Amazon EBS dan salinan snapshot dienkripsi saat diam. Ini menambahkan lapisan perlindungan lain untuk data Anda. Untuk informasi selengkapnya, lihat Enkripsi secara default di Panduan Pengguna Amazon EC2 untuk Instans Linux. Perhatikan bahwa jenis instans berikut tidak mendukung enkripsi: R1, C1, dan M1.
Tingkat keparahan: Sedang
Lingkungan Pohon Kacang Elastis seharusnya mengaktifkan pelaporan kesehatan yang disempurnakan
Deskripsi: Kontrol ini memeriksa apakah pelaporan kesehatan yang ditingkatkan diaktifkan untuk lingkungan AWS Elastic Beanstalk Anda. Pelaporan kesehatan yang ditingkatkan Elastic Beanstalk memungkinkan respons yang lebih cepat terhadap perubahan kesehatan infrastruktur yang mendasarinya. Perubahan ini dapat mengakibatkan kurangnya ketersediaan aplikasi. Pelaporan kesehatan Elastic Beanstalk yang disempurnakan menyediakan deskriptor status untuk mengukur tingkat keparahan masalah yang diidentifikasi dan mengidentifikasi kemungkinan penyebab untuk diselidiki. Agen kesehatan Elastic Beanstalk, yang disertakan dalam Amazon Machine Images (AMIs) yang didukung, mengevaluasi log dan metrik instans EC2 lingkungan.
Tingkat keparahan: Rendah
Pembaruan platform terkelola Elastic Beanstalk harus diaktifkan
Deskripsi: Kontrol ini memeriksa apakah pembaruan platform terkelola diaktifkan untuk lingkungan Elastic Beanstalk. Mengaktifkan pembaruan platform terkelola memastikan bahwa perbaikan, pembaruan, dan fitur platform terbaru yang tersedia untuk lingkungan diinstal. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.
Tingkat keparahan: Tinggi
Elastic Load Balancer seharusnya tidak memiliki sertifikat ACM kedaluwarsa atau kedaluwarsa dalam 90 hari.
Deskripsi: Pemeriksaan ini mengidentifikasi Elastic Load Balancer (ELB) yang menggunakan sertifikat ACM kedaluwarsa atau kedaluwarsa dalam 90 hari. AWS Certificate Manager (ACM) adalah alat pilihan untuk menyediakan, mengelola, dan menyebarkan sertifikat server Anda. Dengan ACM, Anda dapat meminta sertifikat atau menyebarkan ACM atau sertifikat eksternal yang ada ke sumber daya AWS. Sebagai praktik terbaik, disarankan untuk mengganti sertifikat yang kedaluwarsa/kedaluwarsa sambil mempertahankan asosiasi ELB dari sertifikat asli.
Tingkat keparahan: Tinggi
Pencatatan kesalahan domain Elasticsearch ke CloudWatch Logs harus diaktifkan
Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi untuk mengirim log kesalahan ke Log CloudWatch. Anda harus mengaktifkan log kesalahan untuk domain Elasticsearch dan mengirim log tersebut ke CloudWatch Logs untuk retensi dan respons. Log kesalahan domain dapat membantu audit keamanan dan akses, dan dapat membantu mendiagnosis masalah ketersediaan.
Tingkat keparahan: Sedang
Domain Elasticsearch harus dikonfigurasi dengan setidaknya tiga node master khusus
Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga simpul master khusus. Kontrol ini gagal jika domain tidak menggunakan simpul master khusus. Kontrol ini lolos jika domain Elasticsearch memiliki lima node master khusus. Namun, menggunakan lebih dari tiga node master mungkin tidak perlu untuk mengurangi risiko ketersediaan, dan akan menghasilkan lebih banyak biaya. Domain Elasticsearch membutuhkan setidaknya tiga node master khusus untuk ketersediaan tinggi dan toleransi kesalahan. Sumber daya simpul master khusus dapat dibatasi selama penyebaran biru/hijau simpul data karena ada lebih banyak simpul untuk dikelola. Menyebarkan domain Elasticsearch dengan setidaknya tiga node master khusus memastikan kapasitas sumber daya node master yang memadai dan operasi cluster jika sebuah node gagal.
Tingkat keparahan: Sedang
Domain Elasticsearch harus memiliki setidaknya tiga simpul data
Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch dikonfigurasi dengan setidaknya tiga simpul data dan zoneAwarenessEnabled adalah benar. Domain Elasticsearch membutuhkan setidaknya tiga node data untuk ketersediaan tinggi dan toleransi kesalahan. Menyebarkan domain Elasticsearch dengan setidaknya tiga node data memastikan operasi cluster jika sebuah node gagal.
Tingkat keparahan: Sedang
Domain Elasticsearch harus mengaktifkan pencatatan audit
Deskripsi: Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan pengelogan audit. Kontrol ini gagal jika domain Elasticsearch tidak mengaktifkan pengelogan audit. Log audit sangat dapat disesuaikan. Mereka memungkinkan Anda untuk melacak aktivitas pengguna di klaster Elasticsearch Anda, termasuk keberhasilan dan kegagalan otentikasi, permintaan ke OpenSearch, perubahan indeks, dan kueri pencarian yang masuk.
Tingkat keparahan: Sedang
Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans dan kluster RDS DB
Deskripsi: Kontrol ini memeriksa apakah pemantauan yang ditingkatkan diaktifkan untuk instans RDS DB Anda. Di Amazon RDS, Enhanced Monitoring memungkinkan respons yang lebih cepat terhadap perubahan kinerja di infrastruktur yang mendasarinya. Perubahan kinerja ini dapat mengakibatkan kurangnya ketersediaan data. Pemantauan yang Ditingkatkan menyediakan metrik waktu nyata dari sistem operasi tempat instans DB RDS Anda berjalan. Agen diinstal pada instance. Agen dapat memperoleh metrik lebih akurat daripada yang dimungkinkan dari lapisan hypervisor. Metrik Pemantauan yang Ditingkatkan berguna saat Anda ingin melihat bagaimana proses atau utas yang berbeda pada instans DB menggunakan CPU. Untuk informasi selengkapnya, lihat Pemantauan yang Disempurnakan di Panduan Pengguna Amazon RDS.
Tingkat keparahan: Rendah
Pastikan rotasi untuk CMK yang dibuat pelanggan diaktifkan
Deskripsi: AWS Key Management Service (KMS) memungkinkan pelanggan untuk memutar kunci backing, yang merupakan materi kunci yang disimpan dalam KMS yang terkait dengan ID kunci kunci master pelanggan (CMK) yang Dibuat Pelanggan. Ini adalah kunci cadangan yang digunakan untuk melakukan operasi kriptografi seperti enkripsi dan dekripsi. Rotasi kunci otomatis saat ini mempertahankan semua kunci cadangan sebelumnya sehingga dekripsi data terenkripsi dapat dilakukan secara transparan. Disarankan agar rotasi kunci CMK diaktifkan. Memutar kunci enkripsi membantu mengurangi dampak potensial kunci yang disusupi karena data yang dienkripsi dengan kunci baru tidak dapat diakses dengan kunci sebelumnya yang mungkin telah diekspos.
Tingkat keparahan: Sedang
Pastikan pencatatan akses bucket S3 diaktifkan di bucket CloudTrail S3
Deskripsi: Pengelogan Akses Bucket S3 menghasilkan log yang berisi catatan akses Pastikan pengelogan akses wadah S3 diaktifkan pada wadah CloudTrail S3 untuk setiap permintaan yang dibuat ke wadah S3 Anda. Catatan log akses berisi detail tentang permintaan, seperti jenis permintaan, sumber daya yang ditentukan dalam permintaan yang berfungsi, dan waktu serta tanggal permintaan diproses. Disarankan agar pengelogan akses wadah diaktifkan pada wadah CloudTrail S3. Dengan mengaktifkan pengelogan bucket S3 pada wadah S3 target, Anda dapat mengambil semua peristiwa, yang mungkin memengaruhi objek dalam wadah target. Mengonfigurasi log yang akan ditempatkan dalam wadah terpisah memungkinkan akses ke informasi log, yang dapat berguna dalam alur kerja respons keamanan dan insiden.
Tingkat keparahan: Rendah
Pastikan wadah S3 yang digunakan untuk menyimpan log CloudTrail tidak dapat diakses secara publik
Deskripsi: CloudTrail mencatat catatan setiap panggilan API yang dilakukan di akun AWS Anda. File log ini disimpan dalam ember S3. Disarankan agar kebijakan wadah, atau daftar kontrol akses (ACL), diterapkan ke wadah S3 yang dicatat CloudTrail untuk mencegah akses publik ke log CloudTrail. Mengizinkan akses publik ke konten log CloudTrail dapat membantu persaingan dalam mengidentifikasi kelemahan dalam penggunaan atau konfigurasi akun yang terpengaruh.
Tingkat keparahan: Tinggi
IAM seharusnya tidak memiliki sertifikat SSL/TLS yang kedaluwarsa
Deskripsi: Pemeriksaan ini mengidentifikasi sertifikat SSL/TLS yang kedaluwarsa. Untuk mengaktifkan koneksi HTTPS ke situs web atau aplikasi Anda di AWS, Anda memerlukan sertifikat server SSL/TLS. Anda dapat menggunakan ACM atau IAM untuk menyimpan dan menyebarkan sertifikat server. Menghapus sertifikat SSL/TLS yang kedaluwarsa menghilangkan risiko bahwa sertifikat yang tidak valid akan disebarkan secara tidak sengaja ke sumber daya seperti AWS Elastic Load Balancer (ELB), yang dapat merusak kredibilitas aplikasi/situs web di belakang ELB. Pemeriksaan ini menghasilkan pemberitahuan jika ada sertifikat SSL/TLS kedaluwarsa yang disimpan di AWS IAM. Sebagai praktik terbaik, disarankan untuk menghapus sertifikat yang kedaluwarsa.
Tingkat keparahan: Tinggi
Sertifikat ACM yang diimpor harus diperbarui setelah jangka waktu tertentu
Deskripsi: Kontrol ini memeriksa apakah sertifikat ACM di akun Anda ditandai untuk kedaluwarsa dalam waktu 30 hari. Ini memeriksa sertifikat yang diimpor dan sertifikat yang disediakan oleh AWS Certificate Manager. ACM dapat secara otomatis memperbarui sertifikat yang menggunakan validasi DNS. Untuk sertifikat yang menggunakan validasi email, Anda harus membalas email validasi domain. ACM juga tidak memperbarui sertifikat yang Anda impor secara otomatis. Anda harus memperbarui sertifikat yang diimpor secara manual. Untuk informasi selengkapnya tentang pembaruan terkelola untuk sertifikat ACM, lihat Perpanjangan terkelola untuk sertifikat ACM di Panduan Pengguna AWS Certificate Manager.
Tingkat keparahan: Sedang
Identitas yang disediakan berlebihan dalam akun harus diselidiki untuk mengurangi Indeks Creep Izin (PCI)
Deskripsi: Identitas yang disediakan berlebihan dalam akun harus diselidiki untuk mengurangi Indeks Creep Izin (PCI) dan untuk melindungi infrastruktur Anda. Kurangi PCI dengan menghapus penetapan izin berisiko tinggi yang tidak digunakan. PCI tinggi mencerminkan risiko yang terkait dengan identitas dengan izin yang melebihi penggunaan normal atau yang diperlukan.
Tingkat keparahan: Sedang
Peningkatan versi minor otomatis RDS harus diaktifkan
Deskripsi: Kontrol ini memeriksa apakah peningkatan versi minor otomatis diaktifkan untuk instans database RDS. Mengaktifkan pemutakhiran versi minor otomatis memastikan bahwa pembaruan versi minor terbaru ke sistem manajemen basis data relasional (RDBMS) diinstal. Upgrade ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem.
Tingkat keparahan: Tinggi
Snapshot cluster RDS dan snapshot database harus dienkripsi saat diam
Deskripsi: Kontrol ini memeriksa apakah rekam jepret RDS DB dienkripsi. Kontrol ini ditujukan untuk instans DB RDS. Namun, itu juga dapat menghasilkan temuan untuk snapshot instans Aurora DB, instans Neptune DB, dan klaster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda dapat menekannya. Mengenkripsi data saat istirahat mengurangi risiko bahwa pengguna yang tidak diautentikasi mendapatkan akses ke data yang disimpan di disk. Data dalam snapshot RDS harus dienkripsi saat diam untuk lapisan keamanan tambahan.
Tingkat keparahan: Sedang
Kluster RDS harus mengaktifkan perlindungan penghapusan
Deskripsi: Kontrol ini memeriksa apakah kluster RDS mengaktifkan perlindungan penghapusan. Kontrol ini ditujukan untuk instans DB RDS. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptune, dan klaster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda dapat menekannya. Mengaktifkan perlindungan penghapusan kluster adalah lapisan perlindungan lain terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah. Saat perlindungan penghapusan diaktifkan, kluster RDS tidak dapat dihapus. Sebelum permintaan penghapusan dapat berhasil, perlindungan penghapusan harus dinonaktifkan.
Tingkat keparahan: Rendah
Kluster DB RDS harus dikonfigurasi untuk beberapa Availability Zone
Deskripsi: Kluster RDS DB harus dikonfigurasi untuk beberapa data yang disimpan. Penerapan ke beberapa Availability Zone memungkinkan Availability Zone otomatisasi untuk memastikan ketersediaan failover ed jika terjadi masalah ketersediaan Availability Zone dan selama acara pemeliharaan RDS reguler.
Tingkat keparahan: Sedang
Kluster DB RDS harus dikonfigurasi untuk menyalin tag ke cuplikan
Deskripsi: Identifikasi dan inventarifikasi aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua klaster DB RDS Anda sehingga Anda dapat menilai postur keamanannya dan bertindak pada area kelemahan potensial. Snapshot harus diberi tag dengan cara yang sama seperti cluster database RDS induknya. Mengaktifkan setelan ini memastikan bahwa snapshot mewarisi tag dari cluster database induknya.
Tingkat keparahan: Rendah
Instans DB RDS harus dikonfigurasi untuk menyalin tag ke cuplikan
Deskripsi: Kontrol ini memeriksa apakah instans RDS DB dikonfigurasi untuk menyalin semua tag ke rekam jepret saat rekam jepret dibuat. Identifikasi dan inventarisasi aset TI Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus memiliki visibilitas semua instans DB RDS Anda sehingga Anda dapat menilai postur keamanannya dan mengambil tindakan pada area kelemahan potensial. Snapshot harus diberi tag dengan cara yang sama seperti instans database RDS induknya. Mengaktifkan setelan ini memastikan bahwa snapshot mewarisi tag dari instance database induknya.
Tingkat keparahan: Rendah
Instans DB RDS harus dikonfigurasi dengan beberapa Availability Zone
Deskripsi: Kontrol ini memeriksa apakah ketersediaan tinggi diaktifkan untuk instans RDS DB Anda. Instans DB RDS harus dikonfigurasi untuk beberapa Availability Zone (AZ). Ini memastikan ketersediaan data yang disimpan. Penyebaran multi-AZ memungkinkan failover otomatis jika ada masalah dengan ketersediaan Zona Ketersediaan dan selama pemeliharaan RDS reguler.
Tingkat keparahan: Sedang
Instans DB RDS harus mengaktifkan perlindungan penghapusan
Deskripsi: Kontrol ini memeriksa apakah instans RDS DB Anda yang menggunakan salah satu mesin database yang tercantum mengaktifkan perlindungan penghapusan. Mengaktifkan perlindungan penghapusan instans adalah lapisan perlindungan lain terhadap penghapusan atau penghapusan database yang tidak disengaja oleh entitas yang tidak sah. Saat perlindungan penghapusan diaktifkan, instans RDS DB tidak dapat dihapus. Sebelum permintaan penghapusan dapat berhasil, perlindungan penghapusan harus dinonaktifkan.
Tingkat keparahan: Rendah
Instans DB RDS harus mengaktifkan enkripsi saat istirahat
Deskripsi: Kontrol ini memeriksa apakah enkripsi penyimpanan diaktifkan untuk instans Amazon RDS DB Anda. Kontrol ini ditujukan untuk instans DB RDS. Namun, itu juga dapat menghasilkan temuan untuk instans Aurora DB, instans DB Neptune, dan klaster Amazon DocumentDB. Jika temuan ini tidak berguna, maka Anda dapat menekannya. Untuk lapisan keamanan tambahan bagi data sensitif Anda di instans DB RDS, Anda harus mengonfigurasi instans DB RDS Anda untuk dienkripsi saat tidak digunakan. Untuk mengenkripsi instans DB RDS dan snapshot saat istirahat, aktifkan opsi enkripsi untuk instans DB RDS Anda. Data yang dienkripsi saat istirahat mencakup penyimpanan dasar untuk instans DB, pencadangan otomatisnya, replika baca, dan snapshot. Instans DB terenkripsi RDS menggunakan algoritme enkripsi AES-256 standar terbuka untuk mengenkripsi data Anda di server yang menghosting instans DB RDS Anda. Setelah data Anda dienkripsi, Amazon RDS menangani otentikasi akses dan dekripsi data Anda secara transparan dengan dampak minimal pada kinerja. Anda tidak perlu mengubah aplikasi klien database Anda untuk menggunakan enkripsi. Enkripsi Amazon RDS saat ini tersedia untuk semua mesin database dan jenis penyimpanan. Enkripsi Amazon RDS tersedia untuk sebagian besar kelas instans DB. Untuk mempelajari tentang kelas instans DB yang tidak mendukung enkripsi Amazon RDS, lihat Mengenkripsi sumber daya Amazon RDS di Panduan Pengguna Amazon RDS.
Tingkat keparahan: Sedang
Instans DB RDS harus melarang akses publik
Deskripsi: Sebaiknya Anda juga memastikan bahwa akses ke konfigurasi instans RDS Anda hanya terbatas pada pengguna yang berwenang, dengan membatasi izin IAM pengguna untuk memodifikasi pengaturan dan sumber daya instans RDS.
Tingkat keparahan: Tinggi
Cuplikan RDS harus melarang akses publik
Deskripsi: Sebaiknya hanya mengizinkan prinsipal yang berwenang untuk mengakses rekam jepret dan mengubah konfigurasi Amazon RDS.
Tingkat keparahan: Tinggi
Hapus rahasia Pengelola Rahasia yang tidak digunakan
Deskripsi: Kontrol ini memeriksa apakah rahasia Anda telah diakses dalam jumlah hari tertentu. Nilai default adalah 90 hari. Jika rahasia tidak diakses dalam jumlah hari yang ditentukan, kontrol ini gagal. Menghapus rahasia yang tidak digunakan sama pentingnya dengan memutar rahasia. Rahasia yang tidak digunakan dapat disalahgunakan oleh mantan penggunanya, yang tidak lagi membutuhkan akses ke rahasia ini. Selain itu, karena semakin banyak pengguna mendapatkan akses ke rahasia, seseorang mungkin salah menangani dan membocorkannya ke entitas yang tidak berwenang, yang meningkatkan risiko penyalahgunaan. Menghapus rahasia yang tidak digunakan membantu mencabut akses rahasia dari pengguna yang tidak lagi membutuhkannya. Ini juga membantu mengurangi biaya penggunaan Manajer Rahasia. Oleh karena itu, penting untuk secara rutin menghapus rahasia yang tidak digunakan.
Tingkat keparahan: Sedang
Bucket S3 harus mengaktifkan replikasi lintas wilayah
Deskripsi: Mengaktifkan replikasi lintas wilayah S3 memastikan bahwa beberapa versi data tersedia di Wilayah yang berbeda. Ini memungkinkan Anda untuk melindungi bucket S3 Anda dari serangan DDoS dan kejadian korupsi data.
Tingkat keparahan: Rendah
S3 bucket harus mengaktifkan enkripsi sisi server
Deskripsi: Aktifkan enkripsi sisi server untuk melindungi data di wadah S3 Anda. Mengenkripsi data dapat mencegah akses ke data sensitif jika terjadi pelanggaran data.
Tingkat keparahan: Sedang
Rahasia Pengelola Rahasia yang dikonfigurasi dengan rotasi otomatis harus berhasil diputar
Deskripsi: Kontrol ini memeriksa apakah rahasia AWS Secrets Manager berhasil diputar berdasarkan jadwal rotasi. Kontrol gagal jika RotationOccurringAsScheduled adalah false. Kontrol tidak mengevaluasi rahasia yang tidak memiliki rotasi yang dikonfigurasi. Secrets Manager membantu Anda meningkatkan postur keamanan organisasi Anda. Rahasia mencakup kredensial basis data, kata sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Pengelola Rahasia untuk menyimpan rahasia secara terpusat, mengenkripsi rahasia secara otomatis, mengontrol akses ke rahasia, dan memutar rahasia dengan aman dan otomatis. Manajer Rahasia dapat memutar rahasia. Anda dapat menggunakan rotasi untuk mengganti rahasia jangka panjang dengan rahasia jangka pendek. Memutar rahasia Anda membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang disusupi. Untuk alasan ini, Anda harus sering memutar rahasia Anda. Selain mengonfigurasi rahasia untuk diputar secara otomatis, Anda harus memastikan bahwa rahasia tersebut berhasil diputar berdasarkan jadwal rotasi. Untuk mempelajari lebih lanjut tentang rotasi, lihat Memutar rahasia AWS Secrets Manager Anda di Panduan Pengguna AWS Secrets Manager.
Tingkat keparahan: Sedang
Rahasia Pengelola Rahasia harus dirotasi dalam beberapa hari tertentu
Deskripsi: Kontrol ini memeriksa apakah rahasia Anda telah diputar setidaknya sekali dalam waktu 90 hari. Memutar rahasia dapat membantu Anda mengurangi risiko penggunaan rahasia yang tidak sah di akun AWS Anda. Contohnya termasuk kredensial basis data, kata sandi, kunci API pihak ketiga, dan bahkan teks arbitrer. Jika Anda tidak mengubah rahasia Anda untuk jangka waktu yang lama, rahasia lebih mungkin disusupi. Karena semakin banyak pengguna mendapatkan akses ke suatu rahasia, kemungkinan besar seseorang salah menangani dan membocorkannya ke entitas yang tidak berwenang. Rahasia dapat bocor melalui log dan data cache. Mereka dapat dibagikan untuk tujuan debugging dan tidak diubah atau dicabut setelah debugging selesai. Untuk semua alasan ini, rahasia harus sering diputar. Anda dapat mengonfigurasi rahasia Anda untuk rotasi otomatis di AWS Secrets Manager. Dengan rotasi otomatis, Anda dapat mengganti rahasia jangka panjang dengan rahasia jangka pendek, yang secara signifikan mengurangi risiko kompromi. Pusat Keamanan menyarankan Anda mengaktifkan rotasi untuk rahasia Manajer Rahasia Anda. Untuk mempelajari lebih lanjut tentang rotasi, lihat Memutar rahasia AWS Secrets Manager Anda di Panduan Pengguna AWS Secrets Manager.
Tingkat keparahan: Sedang
Topik SNS harus dienkripsi saat tidak digunakan menggunakan AWS KMS
Deskripsi: Kontrol ini memeriksa apakah topik SNS dienkripsi saat tidak aktif menggunakan AWS KMS. Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan di disk diakses oleh pengguna yang tidak diautentikasi ke AWS. Itu juga menambahkan satu set kontrol akses untuk membatasi kemampuan pengguna yang tidak sah untuk mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca. Topik SNS harus dienkripsi saat tidak aktif untuk lapisan keamanan tambahan. Untuk informasi selengkapnya, lihat Enkripsi saat istirahat di Panduan Pengembang Amazon Simple Notification Service.
Tingkat keparahan: Sedang
Log aliran VPC harus diaktifkan di semua VPC
Deskripsi: Log Alur VPC memberikan visibilitas ke dalam lalu lintas jaringan yang melewati VPC dan dapat digunakan untuk mendeteksi lalu lintas atau wawasan anomali selama peristiwa keamanan.
Tingkat keparahan: Sedang
Rekomendasi AWS IdentityAndAccess
Domain Amazon Elasticsearch Service harus dalam VPC
Deskripsi: VPC tidak dapat berisi domain dengan titik akhir publik. Catatan: ini tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan keterjangkauan publik.
Tingkat keparahan: Tinggi
Izin Amazon S3 yang diberikan ke akun AWS lain dalam kebijakan bucket harus dibatasi
Deskripsi: Menerapkan akses hak istimewa paling sedikit sangat penting untuk mengurangi risiko keamanan dan dampak kesalahan atau niat jahat. Jika kebijakan bucket S3 mengizinkan akses dari akun eksternal, hal itu dapat mengakibatkan pemusnahan data oleh ancaman orang dalam atau penyerang. Parameter 'blacklistedactionpatterns' memungkinkan evaluasi aturan untuk bucket S3 yang berhasil. Parameter memberikan akses ke akun eksternal untuk pola tindakan yang tidak disertakan dalam daftar 'blacklistedactionpatterns'.
Tingkat keparahan: Tinggi
Hindari penggunaan akun "root"
Deskripsi: Akun "root" memiliki akses tidak terbatas ke semua sumber daya di akun AWS. Sangat disarankan agar penggunaan akun ini dihindari. Akun "root" adalah akun AWS yang paling istimewa. Meminimalkan penggunaan akun ini dan mengadopsi prinsip hak istimewa paling rendah untuk manajemen akses akan mengurangi risiko perubahan yang tidak disengaja dan pengungkapan yang tidak diinginkan atas kredensial yang sangat istimewa.
Tingkat keparahan: Tinggi
Kunci AWS KMS tidak boleh terhapus secara tidak sengaja
Deskripsi: Kontrol ini memeriksa apakah kunci KMS dijadwalkan untuk dihapus. Kontrol gagal jika kunci KMS dijadwalkan untuk dihapus. Kunci KMS tidak dapat dipulihkan setelah dihapus. Data yang dienkripsi dengan kunci KMS juga tidak dapat dipulihkan secara permanen jika kunci KMS dihapus. Jika data yang bermakna telah dienkripsi di bawah kunci KMS yang dijadwalkan untuk dihapus, pertimbangkan untuk mendekripsi data atau mengenkripsi ulang data di bawah kunci KMS baru kecuali Anda sengaja melakukan penghapusan kriptografi. Ketika kunci KMS dijadwalkan untuk dihapus, masa tunggu wajib diberlakukan untuk memberikan waktu untuk membalikkan penghapusan, jika dijadwalkan karena kesalahan. Periode tunggu default adalah 30 hari, tetapi dapat dikurangi menjadi sesingkat tujuh hari ketika kunci KMS dijadwalkan untuk dihapus. Selama periode tunggu, penghapusan terjadwal dapat dibatalkan dan kunci KMS tidak akan dihapus. Untuk informasi selengkapnya tentang menghapus kunci KMS, lihat Menghapus kunci KMS di Panduan Pengembang Layanan AWS Key Management.
Tingkat keparahan: Tinggi
Pencatatan log ACL web global AWS WAF Classic harus diaktifkan
Deskripsi: Kontrol ini memeriksa apakah pengelogan diaktifkan untuk ACL Web global AWS WAF. Kontrol ini gagal jika pengelogan tidak diaktifkan untuk ACL web. Logging adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja AWS WAF secara global. Ini adalah persyaratan bisnis dan kepatuhan di banyak organisasi, dan memungkinkan Anda memecahkan masalah perilaku aplikasi. Ini juga memberikan informasi terperinci tentang lalu lintas yang dianalisis oleh ACL web yang dilampirkan ke AWS WAF.
Tingkat keparahan: Sedang
Distribusi CloudFront harus memiliki objek root default yang dikonfigurasi
Deskripsi: Kontrol ini memeriksa apakah distribusi Amazon CloudFront dikonfigurasi untuk mengembalikan objek tertentu yang merupakan objek akar default. Kontrol gagal jika distribusi CloudFront tidak memiliki objek akar default yang dikonfigurasi. Pengguna terkadang meminta URL akar distribusi alih-alih objek dalam distribusi. Ketika ini terjadi, menentukan objek root default dapat membantu Anda menghindari pengungkapan konten distribusi web Anda.
Tingkat keparahan: Tinggi
Distribusi CloudFront harus mengaktifkan identitas akses asal
Deskripsi: Kontrol ini memeriksa apakah distribusi Amazon CloudFront dengan jenis Amazon S3 Origin memiliki Identitas Akses Asal (OAI) yang dikonfigurasi. Kontrol gagal jika OAI tidak dikonfigurasi. CloudFront OAI mencegah pengguna mengakses konten bucket S3 secara langsung. Saat pengguna mengakses bucket S3 secara langsung, mereka secara efektif mengabaikan distribusi CloudFront dan izin apa pun yang diterapkan ke konten bucket S3 yang mendasarinya.
Tingkat keparahan: Sedang
Validasi file log CloudTrail harus diaktifkan
Deskripsi: Untuk memastikan pemeriksaan integritas tambahan log CloudTrail, sebaiknya aktifkan validasi file di semua CloudTrails.
Tingkat keparahan: Rendah
CloudTrail harus diaktifkan
Deskripsi: AWS CloudTrail adalah layanan web yang merekam panggilan AWS API untuk akun Anda dan mengirimkan file log kepada Anda. Tidak semua layanan mengaktifkan logging secara default untuk semua API dan peristiwa. Anda harus menerapkan jejak audit tambahan apa pun selain CloudTrail dan meninjau dokumentasi untuk setiap layanan di Layanan dan Integrasi yang Didukung CloudTrail.
Tingkat keparahan: Tinggi
Jalur CloudTrail harus terintegrasi dengan CloudWatch Logs
Deskripsi: Selain menangkap log CloudTrail dalam wadah S3 tertentu untuk analisis jangka panjang, analisis real time dapat dilakukan dengan mengonfigurasi CloudTrail untuk mengirim log ke CloudWatch Logs. Untuk jejak yang diaktifkan di semua wilayah dalam akun, CloudTrail mengirimkan file log dari semua wilayah tersebut ke grup log CloudWatch Logs. Kami merekomendasikan bahwa log CloudTrail akan dikirim ke CloudWatch Logs untuk memastikan aktivitas akun AWS direkam, dipantau, dan diberi alarm dengan tepat. Mengirim log CloudTrail ke CloudWatch Logs memfasilitasi pencatatan aktivitas real-time dan historis berdasarkan pengguna, API, sumber daya, dan alamat IP, dan memberikan kesempatan untuk membuat alarm dan pemberitahuan untuk aktivitas akun anomali atau sensitivitas.
Tingkat keparahan: Rendah
Log basis data harus diaktifkan
Deskripsi: Kontrol ini memeriksa apakah log Amazon RDS berikut diaktifkan dan dikirim ke CloudWatch Logs:
- Oracle: (Pemberitahuan, Audit, Jejak, Pendengar)
- PostgreSQL: (Postgresql, Upgrade)
- MySQL: (Audit, Kesalahan, Umum, SlowQuery)
- MariaDB: (Audit, Kesalahan, Umum, SlowQuery)
- SQL Server: (Kesalahan, Agen)
- Aurora: (Audit, Kesalahan, Umum, SlowQuery)
- Aurora-MySQL: (Audit, Kesalahan, Umum, SlowQuery)
- Aurora-PostgreSQL: (Postgresql, Upgrade). Basis data RDS harus mengaktifkan log yang relevan. Pencatatan database memberikan catatan rinci tentang permintaan yang dibuat ke RDS. Log basis data dapat membantu audit keamanan dan akses serta dapat membantu mendiagnosis masalah ketersediaan.
Tingkat keparahan: Sedang
Nonaktifkan akses internet langsung untuk instans notebook Amazon SageMaker
Deskripsi: Akses internet langsung harus dinonaktifkan untuk instans notebook SageMaker. Ini memeriksa apakah bidang 'DirectInternetAccess' dinonaktifkan untuk instans notebook. Instance Anda harus dikonfigurasi dengan VPC dan setelan defaultnya adalah Nonaktifkan - Akses internet melalui VPC. Untuk mengaktifkan akses internet untuk melatih atau menghosting model dari notebook, pastikan VPC Anda memiliki gateway NAT dan grup keamanan Anda mengizinkan koneksi keluar. Pastikan akses ke konfigurasi SageMaker Anda dibatasi hanya untuk pengguna yang berwenang, dan batasi izin IAM pengguna untuk mengubah pengaturan dan sumber daya SageMaker.
Tingkat keparahan: Tinggi
Jangan siapkan kunci akses selama penyiapan pengguna awal untuk semua pengguna IAM yang memiliki sandi konsol
Deskripsi: Konsol AWS default kotak centang untuk membuat kunci akses agar diaktifkan. Ini menghasilkan banyak kunci akses yang dihasilkan secara tidak perlu. Selain kredensial yang tidak perlu, ini juga menghasilkan pekerjaan manajemen yang tidak perlu dalam mengaudit dan memutar kunci ini. Mengharuskan langkah tambahan diambil oleh pengguna setelah profil mereka dibuat akan memberikan indikasi yang lebih kuat tentang niat bahwa kunci akses [a] diperlukan untuk pekerjaan mereka dan [b] setelah kunci akses dibuat pada akun bahwa kunci mungkin digunakan di suatu tempat di organisasi.
Tingkat keparahan: Sedang
Pastikan peran dukungan telah dibuat untuk mengelola insiden dengan Dukungan AWS
Deskripsi: AWS menyediakan pusat dukungan yang dapat digunakan untuk pemberitahuan dan respons insiden, serta dukungan teknis dan layanan pelanggan. Buat Peran IAM untuk memungkinkan pengguna yang berwenang mengelola insiden dengan Dukungan AWS. Dengan menerapkan hak istimewa paling sedikit untuk kontrol akses, Peran IAM memerlukan Kebijakan IAM yang sesuai untuk memungkinkan Akses Pusat Dukungan untuk mengelola Insiden dengan DUKUNGAN AWS.
Tingkat keparahan: Rendah
Pastikan kunci akses diputar setiap 90 hari atau kurang
Deskripsi: Kunci akses terdiri dari ID kunci akses dan kunci akses rahasia, yang digunakan untuk menandatangani permintaan terprogram yang Anda buat ke AWS. Pengguna AWS memerlukan kunci akses mereka sendiri untuk melakukan panggilan terprogram ke AWS dari AWS Command Line Interface (AWS CLI), Alat untuk Windows PowerShell, AWS SDK, atau panggilan HTTP langsung menggunakan API untuk layanan AWS individual. Disarankan agar semua kunci akses diputar secara teratur. Memutar kunci akses mengurangi jendela peluang untuk kunci akses yang terkait dengan akun yang disusupi atau dihentikan untuk digunakan. Kunci akses harus diputar untuk memastikan bahwa data tidak dapat diakses dengan kunci lama, yang mungkin telah hilang, retak, atau dicuri.
Tingkat keparahan: Sedang
Pastikan AWS Config diaktifkan di semua wilayah
Deskripsi: AWS Config adalah layanan web yang melakukan manajemen konfigurasi sumber daya AWS yang didukung dalam akun Anda dan mengirimkan file log kepada Anda. Informasi yang direkam mencakup item konfigurasi (sumber daya AWS), hubungan antar item konfigurasi (sumber daya AWS), perubahan konfigurasi apa pun di antara sumber daya. Disarankan untuk mengaktifkan AWS Config diaktifkan di semua wilayah.
Riwayat item konfigurasi AWS yang direkam oleh AWS Config memungkinkan analisis keamanan, pelacakan perubahan sumber daya, dan audit kepatuhan.
Tingkat keparahan: Sedang
Pastikan CloudTrail diaktifkan di semua wilayah
Deskripsi: AWS CloudTrail adalah layanan web yang merekam panggilan AWS API untuk akun Anda dan mengirimkan file log kepada Anda. Informasi yang direkam mencakup identitas pemanggil API, waktu panggilan API, alamat IP sumber pemanggil API, parameter permintaan, dan elemen respons yang dikembalikan oleh layanan AWS. CloudTrail menyediakan riwayat panggilan API AWS untuk sebuah akun, termasuk panggilan API yang dilakukan melalui Konsol Manajemen, SDK, alat baris perintah, dan layanan AWS tingkat lebih tinggi (seperti CloudFormation). Riwayat panggilan API AWS yang dihasilkan oleh CloudTrail memungkinkan analisis keamanan, pelacakan perubahan sumber daya, dan audit kepatuhan. Selain itu:
- memastikan bahwa jejak multi-wilayah ada akan memastikan bahwa aktivitas tak terduga yang terjadi di wilayah yang tidak digunakan terdeteksi
- memastikan bahwa jejak multi-wilayah ada akan memastikan bahwa "Pengelogan Layanan Global" diaktifkan untuk jejak secara default untuk menangkap rekaman peristiwa yang dihasilkan pada layanan global AWS
- untuk jejak multi-wilayah, memastikan bahwa peristiwa manajemen yang dikonfigurasi untuk semua jenis Baca/Tulis memastikan perekaman operasi manajemen yang dilakukan pada semua sumber daya di akun AWS
Tingkat keparahan: Tinggi
Pastikan kredensial yang tidak digunakan selama 90 hari atau lebih dinonaktifkan
Deskripsi: Pengguna AWS IAM dapat mengakses sumber daya AWS menggunakan berbagai jenis kredensial, seperti kata sandi atau kunci akses. Disarankan agar semua kredensial yang telah tidak digunakan dalam 90 hari atau lebih besar dihapus atau dinonaktifkan. Menonaktifkan atau menghapus kredensial yang tidak perlu mengurangi jendela kesempatan untuk kredensial yang terkait dengan akun yang disusupi atau ditinggalkan untuk digunakan.
Tingkat keparahan: Sedang
Pastikan kebijakan sandi IAM kedaluwarsa sandi dalam 90 hari atau kurang
Deskripsi: Kebijakan kata sandi IAM dapat mengharuskan kata sandi diputar atau kedaluwarsa setelah sejumlah hari tertentu. Disarankan agar kebijakan kata sandi kedaluwarsa kata sandi setelah 90 hari atau kurang. Mengurangi masa pakai kata sandi meningkatkan ketahanan akun terhadap upaya login paksa. Selain itu, memerlukan perubahan sandi reguler membantu dalam skenario berikut:
- Kata sandi dapat dicuri atau disusupi kadang-kadang tanpa sepengetahuan Anda. Ini dapat terjadi melalui kompromi sistem, kerentanan perangkat lunak, atau ancaman internal.
- Filter web atau server proksi perusahaan dan pemerintah tertentu memiliki kemampuan untuk mencegat dan merekam lalu lintas meskipun dienkripsi.
- Banyak orang menggunakan kata sandi yang sama untuk banyak sistem seperti kantor, email, dan pribadi.
- Stasiun kerja pengguna akhir yang disusupi mungkin memiliki pencatat penekanan kunci.
Tingkat keparahan: Rendah
Pastikan kebijakan sandi IAM mencegah penggunaan ulang sandi
Deskripsi: Kebijakan kata sandi IAM dapat mencegah penggunaan kembali kata sandi tertentu oleh pengguna yang sama. Disarankan agar kebijakan kata sandi mencegah penggunaan kembali kata sandi. Mencegah penggunaan kembali kata sandi meningkatkan ketahanan akun terhadap upaya login paksa.
Tingkat keparahan: Rendah
Pastikan kebijakan sandi IAM memerlukan setidaknya satu huruf kecil
Deskripsi: Kebijakan kata sandi sebagian digunakan untuk memberlakukan persyaratan kompleksitas kata sandi. Kebijakan kata sandi IAM dapat digunakan untuk memastikan kata sandi terdiri dari set karakter yang berbeda. Disarankan agar kebijakan kata sandi memerlukan setidaknya satu huruf kecil. Menyetel kebijakan kompleksitas sandi meningkatkan ketahanan akun terhadap upaya login paksa.
Tingkat keparahan: Sedang
Pastikan kebijakan sandi IAM memerlukan setidaknya satu nomor
Deskripsi: Kebijakan kata sandi sebagian digunakan untuk memberlakukan persyaratan kompleksitas kata sandi. Kebijakan kata sandi IAM dapat digunakan untuk memastikan kata sandi terdiri dari set karakter yang berbeda. Disarankan agar kebijakan kata sandi memerlukan setidaknya satu angka. Menyetel kebijakan kompleksitas sandi meningkatkan ketahanan akun terhadap upaya login paksa.
Tingkat keparahan: Sedang
Pastikan kebijakan sandi IAM memerlukan setidaknya satu simbol
Deskripsi: Kebijakan kata sandi sebagian digunakan untuk memberlakukan persyaratan kompleksitas kata sandi. Kebijakan kata sandi IAM dapat digunakan untuk memastikan kata sandi terdiri dari set karakter yang berbeda. Disarankan agar kebijakan kata sandi memerlukan setidaknya satu simbol. Menyetel kebijakan kompleksitas sandi meningkatkan ketahanan akun terhadap upaya login paksa.
Tingkat keparahan: Sedang
Pastikan kebijakan sandi IAM memerlukan setidaknya satu huruf besar
Deskripsi: Kebijakan kata sandi sebagian digunakan untuk memberlakukan persyaratan kompleksitas kata sandi. Kebijakan kata sandi IAM dapat digunakan untuk memastikan kata sandi terdiri dari set karakter yang berbeda. Disarankan agar kebijakan kata sandi memerlukan setidaknya satu huruf besar. Menyetel kebijakan kompleksitas sandi meningkatkan ketahanan akun terhadap upaya login paksa.
Tingkat keparahan: Sedang
Pastikan kebijakan sandi IAM memerlukan panjang minimum 14 atau lebih
Deskripsi: Kebijakan kata sandi sebagian digunakan untuk memberlakukan persyaratan kompleksitas kata sandi. Kebijakan kata sandi IAM dapat digunakan untuk memastikan kata sandi setidaknya memiliki panjang tertentu. Disarankan agar kebijakan kata sandi memerlukan panjang kata sandi minimum '14'. Menyetel kebijakan kompleksitas sandi meningkatkan ketahanan akun terhadap upaya login paksa.
Tingkat keparahan: Sedang
Pastikan autentikasi multifaktor (MFA) diaktifkan untuk semua pengguna IAM yang memiliki kata sandi konsol
Deskripsi: Autentikasi Multifaktor (MFA) menambahkan lapisan perlindungan tambahan di atas nama pengguna dan kata sandi. Dengan MFA diaktifkan, ketika pengguna masuk ke situs web AWS, mereka akan dimintai nama pengguna dan kata sandi mereka serta untuk kode autentikasi dari perangkat AWS MFA mereka. Disarankan agar MFA diaktifkan untuk semua akun yang memiliki kata sandi konsol. Mengaktifkan MFA memberikan peningkatan keamanan untuk akses konsol karena memerlukan prinsip autentikasi untuk memiliki perangkat yang memancarkan kunci peka waktu dan memiliki pengetahuan tentang kredensial.
Tingkat keparahan: Sedang
GuardDuty harus diaktifkan
Deskripsi: Untuk memberikan perlindungan tambahan terhadap gangguan, GuardDuty harus diaktifkan di akun dan wilayah AWS Anda. Catatan: GuardDuty mungkin bukan solusi lengkap untuk setiap lingkungan.
Tingkat keparahan: Sedang
MFA perangkat keras harus diaktifkan untuk akun "root"
Deskripsi: Akun root adalah pengguna yang paling istimewa dalam akun. MFA menambahkan lapisan perlindungan ekstra di atas nama pengguna dan kata sandi. Dengan MFA diaktifkan, saat pengguna masuk ke situs web AWS, mereka akan diminta memasukkan nama pengguna dan kata sandi serta kode autentikasi dari perangkat AWS MFA mereka. Untuk Tingkat 2, disarankan agar Anda melindungi akun root dengan MFA perangkat keras. MFA perangkat keras memiliki permukaan serangan yang lebih kecil daripada MFA virtual. Misalnya, MFA perangkat keras tidak mengalami permukaan serangan yang diperkenalkan oleh ponsel pintar tempat MFA virtual berada. Menggunakan MFA perangkat keras untuk banyak akun dapat menimbulkan masalah manajemen perangkat logistik. Jika ini terjadi, pertimbangkan untuk menerapkan rekomendasi Level 2 ini secara selektif ke akun keamanan tertinggi. Anda kemudian dapat menerapkan rekomendasi Level 1 ke akun yang tersisa.
Tingkat keparahan: Rendah
Otentikasi IAM harus dikonfigurasi untuk kluster RDS
Deskripsi: Kontrol ini memeriksa apakah kluster RDS DB mengaktifkan autentikasi database IAM. Otentikasi basis data IAM memungkinkan otentikasi bebas kata sandi ke instans basis data. Otentikasi menggunakan token otentikasi. Lalu lintas jaringan ke dan dari database dienkripsi menggunakan SSL. Untuk informasi selengkapnya, lihat autentikasi database IAM di Panduan Pengguna Amazon Aurora.
Tingkat keparahan: Sedang
Otentikasi IAM harus dikonfigurasi untuk instans RDS
Deskripsi: Kontrol ini memeriksa apakah instans RDS DB mengaktifkan autentikasi database IAM. Otentikasi basis data IAM memungkinkan otentikasi ke instance basis data dengan token otentikasi, bukan kata sandi. Lalu lintas jaringan ke dan dari database dienkripsi menggunakan SSL. Untuk informasi selengkapnya, lihat autentikasi database IAM di Panduan Pengguna Amazon Aurora.
Tingkat keparahan: Sedang
Kebijakan yang dikelola pelanggan IAM tidak boleh mengizinkan tindakan dekripsi pada semua kunci KMS
Deskripsi: Memeriksa apakah versi default kebijakan terkelola pelanggan IAM memungkinkan prinsipal menggunakan tindakan dekripsi AWS KMS pada semua sumber daya. Kontrol ini menggunakan Zelkova, mesin penalaran otomatis, untuk memvalidasi dan memperingatkan Anda tentang kebijakan yang mungkin memberikan akses luas ke rahasia Anda di seluruh akun AWS. Kontrol ini gagal jika tindakan "kms:Decrypt" atau "kms:ReEncryptFrom" diizinkan pada semua kunci KMS. Kontrol mengevaluasi kebijakan terlampir dan tidak terlampir yang dikelola pelanggan. Ini tidak memeriksa kebijakan sebaris atau kebijakan terkelola AWS. Dengan AWS KMS, Anda mengontrol siapa yang dapat menggunakan kunci KMS Anda dan mendapatkan akses ke data terenkripsi Anda. Kebijakan IAM menentukan tindakan mana yang dapat dilakukan oleh identitas (pengguna, grup, atau peran) pada sumber daya mana. Mengikuti praktik terbaik keamanan, AWS menyarankan agar Anda mengizinkan hak istimewa paling rendah. Dengan kata lain, Anda harus memberikan kepada identitas hanya izin "kms:Decrypt" atau "kms:ReEncryptFrom" dan hanya untuk kunci yang diperlukan untuk melakukan tugas. Jika tidak, pengguna mungkin menggunakan kunci yang tidak sesuai untuk data Anda. Alih-alih memberikan izin untuk semua kunci, tentukan kumpulan kunci minimum yang dibutuhkan pengguna untuk mengakses data terenkripsi. Kemudian rancang kebijakan yang memungkinkan pengguna hanya menggunakan kunci tersebut. Misalnya, jangan izinkan izin "kms:Decrypt" pada semua kunci KMS. Sebagai gantinya, izinkan "kms: Decrypt" hanya pada kunci di Wilayah tertentu untuk akun Anda. Dengan mengadopsi prinsip hak istimewa terkecil, Anda dapat mengurangi risiko pengungkapan data Anda yang tidak diinginkan.
Tingkat keparahan: Sedang
Kebijakan terkelola pelanggan IAM yang Anda buat tidak boleh mengizinkan tindakan karakter pengganti untuk layanan
Deskripsi: Kontrol ini memeriksa apakah kebijakan berbasis identitas IAM yang Anda buat memiliki pernyataan Izinkan yang menggunakan * kartubebas untuk memberikan izin untuk semua tindakan pada layanan apa pun. Kontrol gagal jika ada pernyataan kebijakan yang menyertakan 'Efek': 'Izinkan' dengan 'Tindakan': 'Layanan:*'. Misalnya, pernyataan berikut dalam kebijakan menghasilkan temuan yang gagal.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:*',
'Resource': '*'
}
Kontrol juga gagal jika Anda menggunakan 'Effect': 'Allow' dengan 'NotAction': 'service:'. Dalam hal ini, elemen NotAction menyediakan akses ke semua tindakan dalam layanan AWS, kecuali untuk tindakan yang ditentukan dalam NotAction. Kontrol ini hanya berlaku untuk kebijakan IAM yang dikelola pelanggan. Ini tidak berlaku untuk kebijakan IAM yang dikelola oleh AWS. Saat Anda menetapkan izin ke layanan AWS, penting untuk mencakup tindakan IAM yang diizinkan dalam kebijakan IAM Anda. Anda harus membatasi tindakan IAM hanya untuk tindakan yang diperlukan. Ini membantu Anda menyediakan izin hak istimewa paling sedikit. Kebijakan yang terlalu permisif dapat menyebabkan eskalasi hak istimewa jika kebijakan dilampirkan ke prinsipal IAM yang mungkin tidak memerlukan izin. Dalam beberapa kasus, Anda mungkin ingin mengizinkan tindakan IAM yang memiliki awalan serupa, seperti DescribeFlowLogs dan DescribeAvailabilityZones. Dalam kasus resmi ini, Anda dapat menambahkan wildcard akhiran ke awalan umum. Misalnya, ec2:Describe.
Kontrol ini lolos jika Anda menggunakan tindakan IAM yang diawali dengan karakter pengganti. Misalnya, pernyataan berikut dalam kebijakan menghasilkan temuan yang lulus.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:Describe*',
'Resource': '*'
}
Saat Anda mengelompokkan tindakan IAM terkait dengan cara ini, Anda juga dapat menghindari melebihi batas ukuran kebijakan IAM.
Tingkat keparahan: Rendah
Kebijakan IAM harus dilampirkan hanya pada grup atau peran
Deskripsi: Secara default, pengguna, grup, dan peran IAM tidak memiliki akses ke sumber daya AWS. Kebijakan IAM adalah sarana yang memberikan hak istimewa kepada pengguna, grup, atau peran. Disarankan agar kebijakan IAM diterapkan langsung ke grup dan peran tetapi bukan pengguna. Menetapkan hak istimewa di tingkat grup atau peran mengurangi kerumitan pengelolaan akses seiring dengan bertambahnya jumlah pengguna. Mengurangi kompleksitas manajemen akses mungkin pada gilirannya mengurangi peluang bagi prinsipal untuk menerima atau mempertahankan hak istimewa yang berlebihan secara tidak sengaja.
Tingkat keparahan: Rendah
Kebijakan IAM yang mengizinkan hak istimewa administratif penuh ":" tidak boleh dibuat
Deskripsi: Kebijakan IAM adalah sarana di mana hak istimewa diberikan kepada pengguna, grup, atau peran. Disarankan dan dianggap sebagai saran keamanan standar untuk memberikan hak istimewa paling sedikit- yaitu, hanya memberikan izin yang diperlukan untuk melakukan tugas. Tentukan apa yang perlu dilakukan pengguna dan kemudian buat kebijakan untuk mereka yang memungkinkan pengguna hanya melakukan tugas tersebut, alih-alih mengizinkan hak administratif penuh. Lebih aman untuk memulai dengan satu set izin minimum dan memberikan izin tambahan seperlunya, daripada memulai dengan izin yang terlalu lunak dan kemudian mencoba memperketatnya nanti. Memberikan hak administratif penuh alih-alih membatasi set izin minimum yang harus dilakukan pengguna akan mengekspos sumber daya ke tindakan yang mungkin tidak diinginkan. Kebijakan IAM yang memiliki pernyataan dengan "Effect": "Allow" dengan "Action": "" di atas "Resource": "" harus dihapus.
Tingkat keparahan: Tinggi
Prinsip IAM tidak boleh memiliki kebijakan sebaris IAM yang mengizinkan tindakan dekripsi pada semua kunci KMS
Deskripsi: Memeriksa apakah kebijakan sebaris yang disematkan dalam identitas IAM Anda (peran, pengguna, atau grup) memungkinkan tindakan dekripsi AWS KMS pada semua kunci KMS. Kontrol ini menggunakan Zelkova, mesin penalaran otomatis, untuk memvalidasi dan memperingatkan Anda tentang kebijakan yang mungkin memberikan akses luas ke rahasia Anda di seluruh akun AWS. Kontrol ini gagal jika tindakan "kms:Decrypt" atau "kms:ReEncryptFrom" diizinkan pada semua kunci KMS dalam kebijakan inline. Dengan AWS KMS, Anda mengontrol siapa yang dapat menggunakan kunci KMS Anda dan mendapatkan akses ke data terenkripsi Anda. Kebijakan IAM menentukan tindakan mana yang dapat dilakukan oleh identitas (pengguna, grup, atau peran) pada sumber daya mana. Mengikuti praktik terbaik keamanan, AWS menyarankan agar Anda mengizinkan hak istimewa paling rendah. Dengan kata lain, Anda harus memberikan kepada identitas hanya izin yang mereka butuhkan dan hanya untuk kunci yang diperlukan untuk melakukan tugas. Jika tidak, pengguna mungkin menggunakan kunci yang tidak sesuai untuk data Anda. Alih-alih memberikan izin untuk semua kunci, tentukan kumpulan kunci minimum yang dibutuhkan pengguna untuk mengakses data terenkripsi. Kemudian rancang kebijakan yang memungkinkan pengguna hanya menggunakan kunci tersebut. Misalnya, jangan izinkan izin "kms:Decrypt" pada semua kunci KMS. Alih-alih, izinkan mereka hanya pada kunci di Wilayah tertentu untuk akun Anda. Dengan mengadopsi prinsip hak istimewa terkecil, Anda dapat mengurangi risiko pengungkapan data Anda yang tidak diinginkan.
Tingkat keparahan: Sedang
Fungsi Lambda harus membatasi akses publik
Deskripsi: Kebijakan berbasis sumber daya fungsi Lambda harus membatasi akses publik. Rekomendasi ini tidak memeriksa akses oleh prinsipal internal. Pastikan akses ke fungsi dibatasi hanya untuk prinsipal yang berwenang dengan menggunakan kebijakan berbasis sumber daya yang paling tidak memiliki hak istimewa.
Tingkat keparahan: Tinggi
MFA harus diaktifkan untuk semua pengguna IAM
Deskripsi: Semua pengguna IAM harus mengaktifkan autentikasi multifaktor (MFA).
Tingkat keparahan: Sedang
MFA harus diaktifkan untuk akun "root"
Deskripsi: Akun root adalah pengguna yang paling istimewa dalam akun. MFA menambahkan lapisan perlindungan ekstra di atas nama pengguna dan kata sandi. Dengan MFA diaktifkan, saat pengguna masuk ke situs web AWS, mereka akan diminta memasukkan nama pengguna dan kata sandi serta kode autentikasi dari perangkat AWS MFA mereka. Saat Anda menggunakan MFA virtual untuk akun root, disarankan agar perangkat yang digunakan bukan perangkat pribadi. Alih-alih, gunakan perangkat seluler khusus (tablet atau ponsel) yang Anda kelola untuk tetap terisi daya dan diamankan terlepas dari perangkat pribadi apa pun. Ini mengurangi risiko kehilangan akses ke MFA karena kehilangan perangkat, tukar tambah perangkat, atau jika individu yang memiliki perangkat tidak lagi bekerja di perusahaan.
Tingkat keparahan: Rendah
Kebijakan sandi untuk pengguna IAM harus memiliki konfigurasi yang kuat
Deskripsi: Memeriksa apakah kebijakan kata sandi akun untuk pengguna IAM menggunakan konfigurasi minimum berikut.
- RequireUppercaseCharacters- Memerlukan setidaknya satu karakter huruf besar dalam kata sandi. (Bawaan = benar)
- RequireLowercaseCharacters- Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi. (Bawaan = benar)
- RequireNumbers- Memerlukan setidaknya satu angka dalam kata sandi. (Bawaan = benar)
- MinimumPasswordLength- Panjang minimum kata sandi. (Default = 7 atau lebih lama)
- PasswordReusePrevention- Jumlah kata sandi sebelum mengizinkan penggunaan kembali. (Bawaan = 4)
- MaxPasswordAge- Jumlah hari sebelum kedaluwarsa kata sandi. (Bawaan = 90)
Tingkat keparahan: Sedang
Kunci akses akun root seharusnya tidak ada
Deskripsi: Akun root adalah pengguna yang paling istimewa di akun AWS. AWS Access Keys menyediakan akses terprogram ke akun AWS tertentu. Disarankan agar semua kunci akses yang terkait dengan akun root dihapus. Menghapus kunci akses yang terkait dengan akun root membatasi vektor yang dapat disusupi akun. Selain itu, menghapus kunci akses root mendorong pembuatan dan penggunaan akun berbasis peran yang paling tidak memiliki hak istimewa.
Tingkat keparahan: Tinggi
Setelan Akses Publik Blok S3 harus diaktifkan
Deskripsi: Mengaktifkan pengaturan Blokir Akses Publik untuk wadah S3 Anda dapat membantu mencegah kebocoran data sensitif dan melindungi wadah Anda dari tindakan berbahaya.
Tingkat keparahan: Sedang
Setelan Akses Publik Blok S3 harus diaktifkan di level bucket
Deskripsi: Kontrol ini memeriksa apakah wadah S3 menerapkan blok akses publik tingkat wadah. Kontrol ini gagal jika salah satu pengaturan berikut diatur ke false:
- ignorePublicAcls
- blockPublicPolicy
- blockPublicAcls
- restrictPublicBuckets Memblokir Akses Publik di tingkat wadah S3 menyediakan kontrol untuk memastikan bahwa objek tidak pernah memiliki akses publik. Akses publik diberikan ke bucket dan objek melalui daftar kontrol akses (ACL), kebijakan bucket, atau keduanya. Kecuali jika Anda ingin bucket S3 Anda dapat diakses publik, Anda harus mengonfigurasi fitur Akses Publik Blok Amazon S3 level bucket.
Tingkat keparahan: Tinggi
Akses baca publik ember S3 harus dihapus
Deskripsi: Menghapus akses baca publik ke wadah S3 Anda dapat membantu melindungi data Anda dan mencegah pelanggaran data.
Tingkat keparahan: Tinggi
Akses tulis publik bucket S3 harus dihapus
Deskripsi: Mengizinkan akses tulis publik ke wadah S3 Anda dapat membuat Anda rentan terhadap tindakan berbahaya seperti menyimpan data dengan biaya Anda, mengenkripsi file Anda untuk tebusan, atau menggunakan wadah Anda untuk mengoperasikan malware.
Tingkat keparahan: Tinggi
Rahasia Pengelola Rahasia harus mengaktifkan rotasi otomatis
Deskripsi: Kontrol ini memeriksa apakah rahasia yang disimpan di AWS Secrets Manager dikonfigurasi dengan rotasi otomatis. Secrets Manager membantu Anda meningkatkan postur keamanan organisasi Anda. Rahasia mencakup kredensial basis data, kata sandi, dan kunci API pihak ketiga. Anda dapat menggunakan Pengelola Rahasia untuk menyimpan rahasia secara terpusat, mengenkripsi rahasia secara otomatis, mengontrol akses ke rahasia, dan memutar rahasia dengan aman dan otomatis. Manajer Rahasia dapat memutar rahasia. Anda dapat menggunakan rotasi untuk mengganti rahasia jangka panjang dengan rahasia jangka pendek. Memutar rahasia Anda membatasi berapa lama pengguna yang tidak sah dapat menggunakan rahasia yang disusupi. Untuk alasan ini, Anda harus sering memutar rahasia Anda. Untuk mempelajari lebih lanjut tentang rotasi, lihat Memutar rahasia AWS Secrets Manager Anda di Panduan Pengguna AWS Secrets Manager.
Tingkat keparahan: Sedang
Instans EC2 yang dihentikan harus dihapus setelah jangka waktu tertentu
Deskripsi: Kontrol ini memeriksa apakah ada instans EC2 yang telah dihentikan selama lebih dari jumlah hari yang diizinkan. Instans EC2 gagal dalam pemeriksaan ini jika dihentikan lebih lama dari periode waktu maksimum yang diizinkan, yang secara default adalah 30 hari. Temuan yang gagal menunjukkan bahwa instans EC2 tidak berjalan untuk jangka waktu yang signifikan. Ini menciptakan risiko keamanan karena instans EC2 tidak dipertahankan secara aktif (dianalisis, di-patch, diperbarui). Jika nanti diluncurkan, kurangnya pemeliharaan yang tepat dapat mengakibatkan masalah tak terduga di lingkungan AWS Anda. Untuk memelihara instans EC2 dengan aman dari waktu ke waktu dalam keadaan tidak berjalan, mulai secara berkala untuk pemeliharaan, lalu hentikan setelah pemeliharaan. Idealnya ini adalah proses otomatis.
Tingkat keparahan: Sedang
Identitas berlebih AWS seharusnya hanya memiliki izin yang diperlukan (Pratinjau)
Deskripsi: Identitas aktif yang disediakan berlebihan adalah identitas yang memiliki akses ke hak istimewa yang belum mereka gunakan. Identitas aktif yang disediakan berlebihan, terutama untuk akun non-manusia yang telah menentukan tindakan dan tanggung jawab, dapat meningkatkan radius ledakan jika pengguna, kunci, atau sumber daya disusupi. Hapus izin yang tidak diperlukan dan buat proses peninjauan untuk mencapai izin dengan hak istimewa paling sedikit.
Tingkat keparahan: Sedang
Identitas yang tidak digunakan di lingkungan AWS Anda harus dihapus (Pratinjau)
Deskripsi: Identitas tidak aktif adalah entitas manusia dan non-manusia yang belum melakukan tindakan apa pun pada sumber daya apa pun dalam 90 hari terakhir. Identitas IAM yang tidak aktif dengan izin berisiko tinggi di akun AWS Anda dapat rentan terhadap serangan jika dibiarkan apa adanya dan membiarkan organisasi terbuka terhadap penyalahgunaan atau eksploitasi kredensial. Mendeteksi dan merespons identitas yang tidak digunakan secara proaktif membantu Anda mencegah entitas yang tidak sah mendapatkan akses ke sumber daya AWS Anda.
Tingkat keparahan: Sedang
Rekomendasi AWS Networking
Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC
Deskripsi: Kontrol ini memeriksa apakah titik akhir layanan untuk Amazon EC2 dibuat untuk setiap VPC. Kontrol gagal jika VPC tidak memiliki titik akhir VPC yang dibuat untuk layanan Amazon EC2. Untuk meningkatkan postur keamanan VPC Anda, Anda dapat mengonfigurasi Amazon EC2 untuk menggunakan titik akhir VPC antarmuka. Titik akhir antarmuka didukung oleh AWS PrivateLink, sebuah teknologi yang memungkinkan Anda mengakses operasi API Amazon EC2 secara pribadi. Ini membatasi semua lalu lintas jaringan antara VPC Anda dan Amazon EC2 ke jaringan Amazon. Karena titik akhir hanya didukung dalam Wilayah yang sama, Anda tidak dapat membuat titik akhir antara VPC dan layanan di Wilayah yang berbeda. Ini mencegah panggilan API Amazon EC2 yang tidak diinginkan ke Wilayah lain. Untuk mempelajari lebih lanjut tentang membuat titik akhir VPC untuk Amazon EC2, lihat Amazon EC2 dan antarmuka VPC titik akhir di Panduan Pengguna Amazon EC2 untuk Mesin Virtual Linux.
Tingkat keparahan: Sedang
Layanan Amazon ECS tidak boleh memiliki alamat IP publik yang ditetapkan secara otomatis
Deskripsi: Alamat IP publik adalah alamat IP yang dapat dijangkau dari internet. Jika Anda meluncurkan instans Amazon ECS dengan alamat IP publik, maka instans Amazon ECS Anda dapat dijangkau dari internet. Layanan Amazon ECS tidak boleh dapat diakses publik, karena ini mungkin memungkinkan akses yang tidak diinginkan ke server aplikasi kontainer Anda.
Tingkat keparahan: Tinggi
Node master cluster Amazon EMR tidak boleh memiliki alamat IP publik
Deskripsi: Kontrol ini memeriksa apakah simpul master pada kluster Amazon EMR memiliki alamat IP publik. Kontrol gagal jika master node memiliki alamat IP publik yang terkait dengan salah satu contoh. Alamat IP publik ditetapkan di bidang PublicIp dari konfigurasi NetworkInterfaces untuk instance. Kontrol ini hanya memeriksa kluster Amazon EMR yang dalam status MENJALANKAN atau MENUNGGU.
Tingkat keparahan: Tinggi
Kluster Amazon Redshift harus menggunakan perutean VPC yang disempurnakan
Deskripsi: Kontrol ini memeriksa apakah kluster Amazon Redshift mengaktifkan EnhancedVpcRouting. Perutean VPC yang disempurnakan memaksa semua lalu lintas COPY dan UNLOAD antara cluster dan repositori data untuk melalui VPC Anda. Anda kemudian dapat menggunakan fitur VPC seperti grup keamanan dan daftar kontrol akses jaringan untuk mengamankan lalu lintas jaringan. Anda juga dapat menggunakan Log Aliran VPC untuk memantau lalu lintas jaringan.
Tingkat keparahan: Tinggi
Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS
Deskripsi: Untuk menerapkan enkripsi saat transit, Anda harus menggunakan tindakan pengalihan dengan Application Load Balancer untuk mengalihkan permintaan HTTP klien ke permintaan HTTPS pada port 443.
Tingkat keparahan: Sedang
Penyeimbang beban aplikasi harus dikonfigurasi untuk menghapus header HTTP
Deskripsi: Kontrol ini mengevaluasi AWS Application Load Balancers (ALB) untuk memastikan mereka dikonfigurasi untuk menghilangkan header HTTP yang tidak valid. Kontrol gagal jika nilai routing.http.drop_invalid_header_fields.enabled disetel ke false. Secara default, ALB tidak dikonfigurasi untuk menghilangkan nilai header HTTP yang tidak valid. Menghapus nilai header ini mencegah serangan desinkronisasi HTTP.
Tingkat keparahan: Sedang
Mengonfigurasi fungsi Lambda ke VPC
Deskripsi: Kontrol ini memeriksa apakah fungsi Lambda berada di VPC. Ini tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan keterjangkauan publik. Perhatikan bahwa jika Lambda@Edge ditemukan di akun, maka kontrol ini menghasilkan temuan yang gagal. Untuk mencegah temuan ini, Anda dapat menonaktifkan kontrol ini.
Tingkat keparahan: Rendah
Instans EC2 tidak boleh memiliki alamat IP publik
Deskripsi: Kontrol ini memeriksa apakah instans EC2 memiliki alamat IP publik. Kontrol gagal jika bidang "publicIp" ada di item konfigurasi instans EC2. Kontrol ini hanya berlaku untuk alamat IPv4. Alamat IPv4 publik adalah alamat IP yang dapat dijangkau dari internet. Jika Anda meluncurkan instans dengan alamat IP publik, instans EC2 Anda dapat dijangkau dari internet. Alamat IPv4 privat adalah alamat IP yang tidak dapat dijangkau dari internet. Anda dapat menggunakan alamat IPv4 pribadi untuk komunikasi antara instans EC2 di VPC yang sama atau di jaringan pribadi Anda yang terhubung. Alamat IPv6 unik secara global, dan karenanya dapat dijangkau dari internet. Namun, secara default semua subnet memiliki atribut pengalamatan IPv6 yang disetel ke false. Untuk informasi selengkapnya tentang IPv6, lihat Pengalamatan IP di VPC Anda di Panduan Pengguna Amazon VPC. Jika Anda memiliki kasus penggunaan yang sah untuk mempertahankan instans EC2 dengan alamat IP publik, maka Anda dapat menyembunyikan temuan dari kontrol ini. Untuk informasi selengkapnya tentang opsi arsitektur front-end, lihat Blog Arsitektur AWS atau seri Arsitektur Ini Saya.
Tingkat keparahan: Tinggi
Instans EC2 tidak boleh menggunakan banyak ENI
Deskripsi: Kontrol ini memeriksa apakah instans EC2 menggunakan beberapa Elastic Network Interfaces (ENIs) atau Elastic Fabric Adapters (EFAs). Kontrol ini melewati jika adaptor jaringan tunggal digunakan. Kontrol menyertakan daftar parameter opsional untuk mengidentifikasi ENI yang diizinkan. Beberapa ENI dapat menyebabkan instans dual-home, artinya instans yang memiliki banyak subnet. Ini dapat menambah kompleksitas keamanan jaringan dan memperkenalkan jalur dan akses jaringan yang tidak diinginkan.
Tingkat keparahan: Rendah
Instans EC2 harus menggunakan IMDSv2
Deskripsi: Kontrol ini memeriksa apakah versi metadata instans EC2 Anda dikonfigurasi dengan Instance Metadata Service Versi 2 (IMDSv2). Kontrol lolos jika "HttpTokens" diatur ke "wajib" untuk IMDSv2. Kontrol gagal jika "HttpTokens" diatur ke "opsional". Anda menggunakan metadata instance untuk mengonfigurasi atau mengelola instance yang sedang berjalan. IMDS menyediakan akses ke kredensial sementara yang sering diputar. Kredensial ini menghilangkan kebutuhan untuk melakukan hard code atau mendistribusikan kredensial sensitif ke instans secara manual atau terprogram. IMDS dilampirkan secara lokal ke setiap instans EC2. Ini berjalan pada alamat IP 'link lokal' khusus 169.254.169.254. Alamat IP ini hanya dapat diakses oleh perangkat lunak yang berjalan pada instans. Versi 2 dari IMDS menambahkan perlindungan baru untuk jenis kerentanan berikut. Kerentanan ini dapat digunakan untuk mencoba mengakses IMDS.
- Buka firewall aplikasi situs web
- Buka proksi terbalik
- Kerentanan pemalsuan permintaan sisi server (SSRF)
- Firewall Open Layer 3 dan Network Address Translation (NAT) Security Hub merekomendasikan agar Anda mengonfigurasi instans EC2 dengan IMDSv2.
Tingkat keparahan: Tinggi
Subnet EC2 tidak boleh secara otomatis menetapkan alamat IP publik
Deskripsi: Kontrol ini memeriksa apakah penetapan IP publik di subnet Amazon Virtual Private Cloud (Amazon VPC) memiliki "MapPublicIpOnLaunch" yang diatur ke "FALSE". Kontrol lolos jika bendera diatur ke "FALSE". Semua subnet memiliki atribut yang menentukan apakah antarmuka jaringan yang dibuat di subnet secara otomatis menerima alamat IPv4 publik. Instans yang diluncurkan ke subnet yang mengaktifkan atribut ini memiliki alamat IP publik yang ditetapkan ke antarmuka jaringan utamanya.
Tingkat keparahan: Sedang
Pastikan ada filter metrik log dan alarm untuk perubahan konfigurasi AWS Config
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk mendeteksi perubahan pada konfigurasi CloudTrail. Memantau perubahan pada konfigurasi AWS Config membantu memastikan visibilitas item konfigurasi berkelanjutan dalam akun AWS.
Tingkat keparahan: Rendah
Pastikan filter metrik log dan alarm ada untuk kegagalan autentikasi AWS Management Console
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk upaya autentikasi konsol yang gagal. Memantau login konsol yang gagal dapat mengurangi waktu tunggu untuk mendeteksi upaya brute force kredensial, yang mungkin memberikan indikator, seperti IP sumber, yang dapat digunakan dalam korelasi peristiwa lainnya.
Tingkat keparahan: Rendah
Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL)
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. NACL digunakan sebagai filter paket stateless untuk mengontrol lalu lintas masuk dan keluar untuk subnet dalam VPC. Direkomendasikan agar filter metrik dan alarm dibuat untuk perubahan yang dilakukan pada NACL. Memantau perubahan pada NACL membantu memastikan bahwa sumber daya dan layanan AWS tidak diekspos secara tidak sengaja.
Tingkat keparahan: Rendah
Pastikan ada filter metrik log dan alarm untuk perubahan pada gateway jaringan
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Gateway jaringan diperlukan untuk mengirim/menerima lalu lintas ke tujuan di luar VPC. Disarankan agar filter metrik dan alarm dibuat untuk perubahan gateway jaringan. Memantau perubahan pada gateway jaringan membantu memastikan bahwa semua lalu lintas masuk/keluar melintasi batas VPC melalui jalur terkontrol.
Tingkat keparahan: Rendah
Pastikan ada filter metrik log dan alarm untuk perubahan konfigurasi CloudTrail
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk mendeteksi perubahan pada konfigurasi CloudTrail.
Memantau perubahan pada konfigurasi CloudTrail membantu memastikan visibilitas berkelanjutan ke aktivitas yang dilakukan di akun AWS.
Tingkat keparahan: Rendah
Pastikan ada filter metrik log dan alarm untuk penonaktifan atau penghapusan terjadwal CMK yang dibuat pelanggan
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk CMK yang dibuat pelanggan, yang telah mengubah status menjadi penghapusan yang dinonaktifkan atau dijadwalkan. Data yang dienkripsi dengan kunci yang dinonaktifkan atau dihapus tidak akan dapat diakses lagi.
Tingkat keparahan: Rendah
Pastikan ada filter metrik log dan alarm untuk perubahan kebijakan IAM
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat perubahan yang dibuat pada kebijakan Manajemen Identitas dan Akses (IAM). Memantau perubahan pada kebijakan IAM membantu memastikan kontrol autentikasi dan otorisasi tetap utuh.
Tingkat keparahan: Rendah
Pastikan ada filter metrik log dan alarm untuk masuk ke Konsol Manajemen tanpa MFA
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk login konsol yang tidak dilindungi oleh autentikasi multifaktor (MFA). Pemantauan untuk login konsol faktor tunggal meningkatkan visibilitas ke akun yang tidak dilindungi oleh MFA.
Tingkat keparahan: Rendah
Pastikan ada filter metrik log dan alarm untuk perubahan tabel rute
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Tabel perutean digunakan untuk merutekan lalu lintas jaringan antara subnet dan ke gateway jaringan. Disarankan agar filter metrik dan alarm dibuat untuk perubahan tabel rute. Memantau perubahan pada tabel rute membantu memastikan bahwa semua lalu lintas VPC mengalir melalui jalur yang diharapkan.
Tingkat keparahan: Rendah
Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Direkomendasikan agar filter metrik dan alarm ditetapkan untuk perubahan pada kebijakan bucket S3. Memantau perubahan pada kebijakan wadah S3 dapat mengurangi waktu untuk mendeteksi dan memperbaiki kebijakan permisif pada wadah S3 sensitif.
Tingkat keparahan: Rendah
Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Grup Keamanan adalah filter paket stateful yang mengontrol lalu lintas masuk dan keluar dalam VPC. Disarankan agar filter metrik dan alarm dibuat perubahan pada Grup Keamanan. Memantau perubahan pada grup keamanan membantu memastikan bahwa sumber daya dan layanan tidak diekspos secara tidak sengaja.
Tingkat keparahan: Rendah
Pastikan ada filter metrik log dan alarm untuk panggilan API yang tidak sah
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk panggilan API yang tidak sah. Memantau panggilan API yang tidak sah membantu mengungkapkan kesalahan aplikasi dan mungkin mengurangi waktu untuk mendeteksi aktivitas berbahaya.
Tingkat keparahan: Rendah
Pastikan ada filter metrik log dan alarm untuk penggunaan akun 'root'
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Disarankan agar filter metrik dan alarm dibuat untuk upaya masuk root.
Pemantauan untuk login akun root memberikan visibilitas ke dalam penggunaan akun dengan hak istimewa penuh dan kesempatan untuk mengurangi penggunaannya.
Tingkat keparahan: Rendah
Pastikan ada filter metrik log dan alarm untuk perubahan VPC
Deskripsi: Pemantauan panggilan API secara real time dapat dicapai dengan mengarahkan Log CloudTrail ke Log CloudWatch dan membuat filter metrik dan alarm yang sesuai. Dimungkinkan untuk memiliki lebih dari satu VPC dalam akun, selain itu dimungkinkan juga untuk membuat koneksi serekan antara 2 VPC yang memungkinkan lalu lintas jaringan untuk merutekan antar VPC. Disarankan agar filter metrik dan alarm dibuat untuk perubahan yang dilakukan pada VPC. Memantau perubahan pada kebijakan IAM membantu memastikan kontrol autentikasi dan otorisasi tetap utuh.
Tingkat keparahan: Rendah
Pastikan tidak ada grup keamanan yang mengizinkan masuk dari 0.0.0.0/0 ke port 3389
Deskripsi: Grup keamanan menyediakan pemfilteran stateful lalu lintas jaringan masuk/keluar ke sumber daya AWS. Disarankan agar tidak ada kelompok keamanan yang mengizinkan akses masuk tidak terbatas ke port 3389. Menghapus konektivitas tak terkekang ke layanan konsol jarak jauh, seperti RDP, mengurangi paparan server terhadap risiko.
Tingkat keparahan: Tinggi
Database dan kluster RDS tidak boleh menggunakan port default mesin database
Deskripsi: Kontrol ini memeriksa apakah kluster atau instans RDS menggunakan port selain port default mesin database. Jika Anda menggunakan port yang dikenal untuk menyebarkan cluster atau instance RDS, penyerang dapat menebak informasi tentang cluster atau instance. Penyerang dapat menggunakan informasi ini bersama dengan informasi lain untuk terhubung ke klaster atau instans RDS atau mendapatkan informasi tambahan tentang aplikasi Anda. Saat Anda mengubah port, Anda juga harus memperbarui string koneksi yang ada yang digunakan untuk menyambung ke port lama. Anda juga harus memeriksa grup keamanan instans DB untuk memastikan bahwa itu menyertakan aturan masuk yang memungkinkan konektivitas pada port baru.
Tingkat keparahan: Rendah
Instans RDS harus diterapkan di VPC
Deskripsi: VPC menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke sumber daya RDS. Kontrol ini mencakup Titik Akhir VPC, ACL jaringan, dan grup keamanan. Untuk memanfaatkan kontrol ini, kami menyarankan Anda untuk memindahkan instans EC2-Classic RDS ke EC2-VPC.
Tingkat keparahan: Rendah
Bucket S3 harus meminta permintaan untuk menggunakan Secure Socket Layer
Deskripsi: Sebaiknya minta permintaan untuk menggunakan Secure Socket Layer (SSL) pada semua wadah Amazon S3. Bucket S3 harus memiliki kebijakan yang mewajibkan semua permintaan ('Tindakan: S3:*') untuk hanya menerima transmisi data melalui HTTPS dalam kebijakan sumber daya S3, yang ditunjukkan dengan kunci kondisi 'aws:SecureTransport'.
Tingkat keparahan: Sedang
Grup keamanan tidak boleh mengizinkan masuk dari 0.0.0.0/0 ke port 22
Deskripsi: Untuk mengurangi paparan server, disarankan untuk tidak mengizinkan akses ingress yang tidak dibatasi ke port '22'.
Tingkat keparahan: Tinggi
Grup keamanan tidak boleh mengizinkan akses tak terbatas ke pelabuhan dengan risiko tinggi
Deskripsi: Kontrol ini memeriksa apakah lalu lintas masuk yang tidak dibatasi untuk grup keamanan dapat diakses oleh port yang ditentukan yang memiliki risiko tertinggi. Kontrol ini lolos saat tidak ada aturan dalam grup keamanan yang mengizinkan lalu lintas masuk dari 0.0.0.0/0 untuk port tersebut. Akses tidak terbatas (0.0.0.0/0) meningkatkan peluang untuk aktivitas jahat, seperti peretasan, serangan penolakan layanan, dan kehilangan data. Grup keamanan menyediakan pemfilteran stateful lalu lintas jaringan masuk dan keluar ke sumber daya AWS. Tidak ada grup keamanan yang mengizinkan akses masuk tanpa batas ke port berikut:
- 3389 (RDP)
- 20, 21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 110 (POP3)
- 143 (IMAP)
- 3306 (MySQL)
- 8080 (proksi)
- 1433, 1434 (MSSQL)
- 9200 atau 9300 (Elasticsearch)
- 5601 (Kibana)
- 25 (SMTP)
- 445 (CIFS)
- 135 (RPC)
- 4333 (ahsp)
- 5432 (postgresql)
- 5500 (fcp-addr-srvr1)
Tingkat keparahan: Sedang
Grup keamanan hanya boleh mengizinkan lalu lintas masuk yang tidak dibatasi untuk port resmi
Deskripsi: Kontrol ini memeriksa apakah grup keamanan yang sedang digunakan memungkinkan lalu lintas masuk yang tidak dibatasi. Secara opsional, aturan memeriksa apakah nomor port terdaftar di parameter "authorizedTcpPorts".
- Jika nomor port aturan grup keamanan memungkinkan lalu lintas masuk yang tidak dibatasi, tetapi nomor port ditentukan dalam "authorizedTcpPorts", maka kontrol lolos. Nilai default untuk "authorizedTcpPorts" adalah 80, 443.
- Jika nomor port aturan grup keamanan memungkinkan lalu lintas masuk yang tidak dibatasi, tetapi nomor port tidak ditentukan dalam parameter input authorizedTcpPorts, maka kontrol gagal.
- Jika parameter tidak digunakan, kontrol gagal untuk grup keamanan apa pun yang memiliki aturan masuk yang tidak dibatasi. Grup keamanan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke AWS. Aturan kelompok keamanan harus mengikuti prinsip akses dengan hak istimewa paling sedikit. Akses tidak terbatas (alamat IP dengan akhiran /0) meningkatkan peluang aktivitas jahat seperti peretasan, serangan penolakan layanan, dan kehilangan data. Kecuali port secara khusus diizinkan, port harus menolak akses tak terbatas.
Tingkat keparahan: Tinggi
EIP EC2 yang tidak digunakan harus dihapus
Deskripsi: Alamat IP elastis yang dialokasikan ke VPC harus dilampirkan ke instans Amazon EC2 atau antarmuka jaringan elastis (ENI) yang digunakan.
Tingkat keparahan: Rendah
Daftar kontrol akses jaringan yang tidak digunakan harus dihapus
Deskripsi: Kontrol ini memeriksa apakah ada daftar kontrol akses jaringan (ACL) yang tidak digunakan. Kontrol memeriksa konfigurasi item sumber daya "AWS::EC2::NetworkAcl" dan menentukan hubungan ACL jaringan. Jika satu-satunya hubungan adalah VPC dari jaringan ACL, maka kontrol gagal. Jika hubungan lain terdaftar, maka kontrol akan lewat.
Tingkat keparahan: Rendah
Grup keamanan default VPC harus membatasi semua lalu lintas
Deskripsi: Grup keamanan harus membatasi semua lalu lintas untuk mengurangi paparan sumber daya.
Tingkat keparahan: Rendah