Aanbevelingen voor beveiliging voor AWS-resources (Amazon Web Services)
In dit artikel vindt u een overzicht van alle aanbevelingen die u in Microsoft Defender voor Cloud kunt zien als u een Amazon Web Services-account (AWS)-account verbindt met behulp van de pagina Omgevingsinstellingen. De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie.
Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.
Uw beveiligingsscore is gebaseerd op het aantal beveiligingsaan aanbevelingen dat u hebt voltooid. Als u wilt bepalen welke aanbevelingen u het eerst wilt oplossen, bekijkt u de ernst van elke aanbeveling en het mogelijke effect ervan op uw beveiligingsscore.
Aanbevelingen voor AWS Compute
Amazon EC2-exemplaren die worden beheerd door Systems Manager, moeten de nalevingsstatus van de patch hebben na een patchinstallatie
Beschrijving: Met dit besturingselement wordt gecontroleerd of de nalevingsstatus van de Amazon EC2 Systems Manager-patchcompatibiliteit COMPATIBEL is of NON_COMPLIANT na de installatie van de patch op het exemplaar. Er worden alleen exemplaren gecontroleerd die worden beheerd door AWS Systems Manager Patch Manager. Er wordt niet gecontroleerd of de patch is toegepast binnen de limiet van 30 dagen die is voorgeschreven door PCI DSS-vereiste '6.2'. Ook wordt niet gevalideerd of de toegepaste patches zijn geclassificeerd als beveiligingspatches. U moet patchgroepen maken met de juiste basislijninstellingen en ervoor zorgen dat systemen binnen het bereik worden beheerd door deze patchgroepen in Systems Manager. Zie de gebruikershandleiding voor AWS Systems Manager voor meer informatie over patchgroepen.
Ernst: gemiddeld
Amazon EFS moet worden geconfigureerd voor het versleutelen van inactieve bestandsgegevens met behulp van AWS KMS
Beschrijving: Met dit besturingselement wordt gecontroleerd of Amazon Elastic File System is geconfigureerd voor het versleutelen van de bestandsgegevens met behulp van AWS KMS. De controle mislukt in de volgende gevallen: *"Encrypted" is ingesteld op 'false' in het antwoord DescribeFileSystems. De sleutel KmsKeyId in het antwoord DescribeFileSystems komt niet overeen met de parameter KmsKeyId voor efs-encrypted-check. Houd er rekening mee dat dit besturingselement geen gebruik maakt van de parameter 'KmsKeyId' voor efs-encrypted-check. De waarde van 'Versleuteld' wordt alleen gecontroleerd. Voor een extra beveiligingslaag voor uw gevoelige gegevens in Amazon EFS moet u versleutelde bestandssystemen maken. Amazon EFS ondersteunt versleuteling voor inactieve bestandssystemen. U kunt versleuteling van data-at-rest inschakelen wanneer u een Amazon EFS-bestandssysteem maakt. Zie Gegevensversleuteling in Amazon EFS in de gebruikershandleiding voor het Amazon Elastic File System voor meer informatie over Amazon EFS-versleuteling.
Ernst: gemiddeld
Amazon EFS-volumes moeten zich in back-upplannen bevinden
Beschrijving: Met dit besturingselement wordt gecontroleerd of Amazon Elastic File System-bestandssystemen (Amazon EFS) worden toegevoegd aan de back-upplannen in AWS Backup. Het besturingselement mislukt als Amazon EFS-bestandssystemen niet zijn opgenomen in de back-upplannen. Door EFS-bestandssystemen in de back-upplannen op te slaan, kunt u uw gegevens beschermen tegen verwijdering en gegevensverlies.
Ernst: gemiddeld
Verwijderingsbeveiliging voor Application Load Balancer moet zijn ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of een application Load Balancer verwijderingsbeveiliging heeft ingeschakeld. Het besturingselement mislukt als verwijderingsbeveiliging niet is geconfigureerd. Schakel verwijderingsbeveiliging in om uw Application Load Balancer te beschermen tegen verwijdering.
Ernst: gemiddeld
Automatisch schalen van groepen die zijn gekoppeld aan een load balancer, moeten statuscontroles gebruiken
Beschrijving: Groepen voor automatisch schalen die zijn gekoppeld aan een load balancer, maken gebruik van statuscontroles voor elastische taakverdeling. PCI DSS vereist geen taakverdeling of maximaal beschikbare configuraties. Dit wordt aanbevolen door best practices van AWS.
Ernst: Laag
AWS-accounts moeten automatische inrichting van Azure Arc hebben ingeschakeld
Beschrijving: Voor volledige zichtbaarheid van de beveiligingsinhoud van Microsoft Defender voor servers moeten EC2-exemplaren zijn verbonden met Azure Arc. Om ervoor te zorgen dat alle in aanmerking komende EC2-exemplaren automatisch Azure Arc ontvangen, schakelt u automatische inrichting van Defender voor Cloud op AWS-accountniveau in. Meer informatie over Azure Arc en Microsoft Defender voor Servers.
Ernst: Hoog
CloudFront-distributies moeten de oorspronkelijke failover hebben geconfigureerd
Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon CloudFront-distributie is geconfigureerd met een origin-groep met twee of meer origins. CloudFront Origin-failover kan de beschikbaarheid verhogen. Failover van oorsprong leidt verkeer automatisch om naar een secundaire oorsprong als de primaire oorsprong niet beschikbaar is of als deze specifieke HTTP-antwoordstatuscodes retourneert.
Ernst: gemiddeld
URL's van de Broncodebuild GitHub- of Bitbucket-bronopslagplaats moeten OAuth gebruiken
Beschrijving: Met dit besturingselement wordt gecontroleerd of de URL van de GitHub- of Bitbucket-bronopslagplaats persoonlijke toegangstokens of een gebruikersnaam en wachtwoord bevat. Verificatiereferenties mogen nooit worden opgeslagen of verzonden in duidelijke tekst of worden weergegeven in de URL van de opslagplaats. In plaats van persoonlijke toegangstokens of gebruikersnaam en wachtwoord moet u OAuth gebruiken om autorisatie te verlenen voor toegang tot GitHub- of Bitbucket-opslagplaatsen. Als u persoonlijke toegangstokens of een gebruikersnaam en wachtwoord gebruikt, kunnen uw referenties zichtbaar worden gemaakt voor onbedoelde blootstelling van gegevens en onbevoegde toegang.
Ernst: Hoog
Omgevingsvariabelen van CodeBuild-project mogen geen referenties bevatten
Beschrijving: Met dit besturingselement wordt gecontroleerd of het project de omgevingsvariabelen AWS_ACCESS_KEY_ID bevat en AWS_SECRET_ACCESS_KEY.
Verificatiereferenties AWS_ACCESS_KEY_ID en AWS_SECRET_ACCESS_KEY mogen nooit in duidelijke tekst worden opgeslagen, omdat dit kan leiden tot onbedoelde blootstelling van gegevens en onbevoegde toegang.
Ernst: Hoog
Dax-clusters (DynamoDB Accelerator) moeten in rust worden versleuteld
Beschrijving: Met dit besturingselement wordt gecontroleerd of een DAX-cluster at rest is versleuteld. Het versleutelen van data-at-rest vermindert het risico dat gegevens die zijn opgeslagen op schijf, worden geopend door een gebruiker die niet is geverifieerd bij AWS. Met de versleuteling wordt een andere set toegangsbeheer toegevoegd om de mogelijkheid van onbevoegde gebruikers tot de gegevens te beperken. API-machtigingen zijn bijvoorbeeld vereist om de gegevens te ontsleutelen voordat ze kunnen worden gelezen.
Ernst: gemiddeld
DynamoDB-tabellen moeten automatisch capaciteit schalen met vraag
Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon DynamoDB-tabel de lees- en schrijfcapaciteit zo nodig kan schalen. Dit besturingselement wordt doorgegeven als de tabel gebruikmaakt van de capaciteitsmodus op aanvraag of de ingerichte modus waarbij automatisch schalen is geconfigureerd. Het schalen van capaciteit met vraag voorkomt beperkingsbeperkingen, wat helpt bij het behouden van de beschikbaarheid van uw toepassingen.
Ernst: gemiddeld
EC2-exemplaren moeten zijn verbonden met Azure Arc
Beschrijving: Verbinding maken uw EC2-exemplaren naar Azure Arc om volledige zichtbaarheid te hebben van de beveiligingsinhoud van Microsoft Defender for Servers. Meer informatie over Azure Arc en over Microsoft Defender voor Servers in een hybride cloudomgeving.
Ernst: Hoog
EC2-exemplaren moeten worden beheerd door AWS Systems Manager
Beschrijving: De status van de naleving van de Amazon EC2 Systems Manager-patch is 'COMPATIBEL' of 'NON_COMPLIANT' na de installatie van de patch op het exemplaar. Alleen exemplaren die worden beheerd door AWS Systems Manager Patch Manager, worden gecontroleerd. Patches die zijn toegepast binnen de limiet van 30 dagen die zijn voorgeschreven door PCI DSS-vereiste '6' worden niet gecontroleerd.
Ernst: gemiddeld
EDR-configuratieproblemen moeten worden opgelost op EC2's
Beschrijving: Los alle geïdentificeerde configuratieproblemen met de geïnstalleerde EDR-oplossing (Endpoint Detection and Response) op om virtuele machines te beschermen tegen de meest recente bedreigingen en beveiligingsproblemen.
Opmerking: Deze aanbeveling is momenteel alleen van toepassing op resources waarvoor MDE (Microsoft Defender voor Eindpunt) is ingeschakeld.
Ernst: Hoog
EDR-oplossing moet worden geïnstalleerd op EC2s
Beschrijving: Als u EC2's wilt beveiligen, installeert u een EDR-oplossing (Endpoint Detection and Response). EDR's helpen geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Gebruik Microsoft Defender voor Servers om Microsoft Defender voor Eindpunt te implementeren. Als de resource is geclassificeerd als 'Niet in orde', is er geen ondersteunde EDR-oplossing geïnstalleerd. Als u een EDR-oplossing hebt geïnstalleerd die niet kan worden gedetecteerd door deze aanbeveling, kunt u deze uitsluiten.
Ernst: Hoog
Exemplaren die worden beheerd door Systems Manager moeten de nalevingsstatus van de koppeling conform hebben
Beschrijving: Met dit besturingselement wordt gecontroleerd of de status van de naleving van de AWS Systems Manager-koppeling COMPATIBEL is of NON_COMPLIANT nadat de koppeling is uitgevoerd op een exemplaar. Het besturingselement wordt doorgegeven als de nalevingsstatus van de koppeling COMPATIBEL is. Een State Manager-koppeling is een configuratie die is toegewezen aan uw beheerde exemplaren. De configuratie definieert de status die u wilt behouden voor uw exemplaren. Een koppeling kan bijvoorbeeld opgeven dat antivirussoftware moet worden geïnstalleerd en uitgevoerd op uw exemplaren, of dat bepaalde poorten moeten worden gesloten. Nadat u een of meer State Manager-koppelingen hebt gemaakt, is de informatie over de nalevingsstatus direct beschikbaar in de console of in reactie op AWS CLI-opdrachten of bijbehorende Systems Manager-API-bewerkingen. Voor koppelingen geeft 'Configuratie'-naleving statussen weer van compatibel of niet-compatibel en het ernstniveau dat is toegewezen aan de koppeling, zoals Kritiek of Gemiddeld. Zie De gebruikershandleiding voor AWS Systems Manager voor meer informatie over de naleving van State Manager-koppelingen . U moet uw EC2-instanties binnen het bereik configureren voor Systems Manager-koppeling. U moet ook de patchbasislijn configureren voor de beveiligingsclassificatie van de leverancier van patches en de datum voor automatisch toepassen instellen om te voldoen aan PCI DSS 3.2.1-vereiste6.2. Zie Een koppeling maken in de gebruikershandleiding voor AWS Systems Manager voor meer informatie over het maken van een koppeling. Zie AWS Systems Manager Patch Manager in de gebruikershandleiding voor AWS Systems Manager voor meer informatie over het werken met patching in Systems Manager.
Ernst: Laag
Lambda-functies moeten een wachtrij met dode letters hebben geconfigureerd
Beschrijving: Met dit besturingselement wordt gecontroleerd of een Lambda-functie is geconfigureerd met een wachtrij met dode letters. Het besturingselement mislukt als de lambda-functie niet is geconfigureerd met een wachtrij met onbestelbare letters. Als alternatief voor een on-failure-bestemming kunt u uw functie configureren met een wachtrij met dode letters om verwijderde gebeurtenissen op te slaan voor verdere verwerking. Een wachtrij met dead-letter fungeert hetzelfde als een on-failure-bestemming. Deze wordt gebruikt wanneer een gebeurtenis alle verwerkingspogingen mislukt of verloopt zonder te worden verwerkt. Met een wachtrij met dode letters kunt u terugkijken naar fouten of mislukte aanvragen voor uw Lambda-functie om fouten op te sporen of ongebruikelijk gedrag te identificeren. Vanuit beveiligingsperspectief is het belangrijk om te begrijpen waarom uw functie is mislukt en om ervoor te zorgen dat uw functie geen gegevens verwijdert of gegevensbeveiliging in gevaar brengt. Als uw functie bijvoorbeeld niet kan communiceren met een onderliggende resource, kan dat een symptoom zijn van een DoS-aanval (Denial of Service) elders in het netwerk.
Ernst: gemiddeld
Lambda-functies moeten ondersteunde runtimes gebruiken
Beschrijving: Met dit besturingselement wordt gecontroleerd of de Lambda-functie-instellingen voor runtimes overeenkomen met de verwachte waarden die zijn ingesteld voor de ondersteunde runtimes voor elke taal. Met dit besturingselement wordt gecontroleerd op de volgende runtimes: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Lambda-runtimes zijn gebouwd rond een combinatie van besturingssysteem-, programmeertaal- en softwarebibliotheken die onderhevig zijn aan onderhoud en beveiligingsupdates. Wanneer een runtime-onderdeel niet meer wordt ondersteund voor beveiligingsupdates, wordt de runtime afgeschaft. Hoewel u geen functies kunt maken die gebruikmaken van de afgeschafte runtime, is de functie nog steeds beschikbaar voor het verwerken van aanroep-gebeurtenissen. Zorg ervoor dat uw Lambda-functies actueel zijn en geen verouderde runtime-omgevingen gebruiken. Zie AWS Lambda-runtimes in de ONTWIKKELAARShandleiding van AWS Lambda voor meer informatie over de ondersteunde runtimes die met dit besturingselement worden gecontroleerd op de ondersteunde talen.
Ernst: gemiddeld
Beheerpoorten van EC2-exemplaren moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer
Beschrijving: Microsoft Defender voor Cloud een aantal te permissieve regels voor inkomend verkeer voor beheerpoorten in uw netwerk geïdentificeerd. Schakel Just-In-Time-toegangsbeheer in om uw exemplaren te beschermen tegen beveiligingsaanvallen op internet. Meer informatie.
Ernst: Hoog
Ongebruikte EC2-beveiligingsgroepen moeten worden verwijderd
Beschrijving: Beveiligingsgroepen moeten worden gekoppeld aan Amazon EC2-exemplaren of aan een ENI. Gezonde resultaten kunnen erop wijzen dat er ongebruikte Amazon EC2-beveiligingsgroepen zijn.
Ernst: Laag
Aanbevelingen voor AWS-containers
[Preview] Containerinstallatiekopieën in het AWS-register moeten problemen hebben opgelost
Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
[Preview] Containers die worden uitgevoerd in AWS, moeten gevonden beveiligingsproblemen hebben opgelost
Beschrijving: Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de installatiekopieën te koppelen die worden gebruikt en de rapporten over beveiligingsproblemen die zijn gemaakt voor de registerinstallatiekopieën. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
EKS-clusters moeten de vereiste AWS-machtigingen verlenen aan Microsoft Defender voor Cloud
Beschrijving: Microsoft Defender for Containers biedt beveiligingen voor uw EKS-clusters. Om uw cluster te bewaken op beveiligingsproblemen en bedreigingen, heeft Defender for Containers machtigingen nodig voor uw AWS-account. Deze machtigingen worden gebruikt om logboekregistratie van het Kubernetes-besturingsvlak in uw cluster in te schakelen en een betrouwbare pijplijn tot stand te brengen tussen uw cluster en de back-end van Defender voor Cloud in de cloud. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.
Ernst: Hoog
Voor EKS-clusters moet de extensie van Microsoft Defender zijn geïnstalleerd voor Azure Arc
Beschrijving: de clusterextensie van Microsoft Defender biedt beveiligingsmogelijkheden voor uw EKS-clusters. De extensie verzamelt gegevens van een cluster en de bijbehorende knooppunten om beveiligingsproblemen en bedreigingen te identificeren. De extensie werkt met Kubernetes met Azure Arc. Meer informatie over de beveiligingsfuncties van Microsoft Defender voor Cloud voor containeromgevingen.
Ernst: Hoog
Microsoft Defender for Containers moet zijn ingeschakeld voor AWS-connectors
Beschrijving: Microsoft Defender for Containers biedt realtime bedreigingsbeveiliging voor in containers geplaatste omgevingen en genereert waarschuwingen over verdachte activiteiten. Gebruik deze informatie om de beveiliging van Kubernetes-clusters te beperken en beveiligingsproblemen op te lossen.
Belangrijk: Wanneer u Microsoft Defender for Containers hebt ingeschakeld en Azure Arc hebt geïmplementeerd in uw EKS-clusters, worden de beveiligingen en kosten gestart. Als u Azure Arc niet implementeert in een cluster, beveiligt Defender for Containers het cluster niet en worden er geen kosten in rekening gebracht voor dit Microsoft Defender-abonnement voor dat cluster.
Ernst: Hoog
Aanbevelingen voor gegevensvlak
Alle beveiligingsaanbevelingen voor Kubernetes-gegevensvlakken worden ondersteund voor AWS nadat u Azure Policy voor Kubernetes hebt ingeschakeld.
Aanbevelingen voor AWS-gegevens
Amazon Aurora-clusters moeten backtracking hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of Backtracking is ingeschakeld voor Amazon Aurora-clusters. Met back-ups kunt u sneller herstellen na een beveiligingsincident. Ze versterken ook de tolerantie van uw systemen. Aurora-backtracking vermindert de tijd om een database te herstellen naar een bepaald tijdstip. Hiervoor hoeft geen databaseherstel te worden uitgevoerd. Zie Backtracking an Aurora DB cluster in the Amazon Aurora User Guide (Backtracking an Aurora User Guide) voor meer informatie over backtracking in Aurora.
Ernst: gemiddeld
Amazon EBS-momentopnamen mogen niet openbaar worden overgeslagen
Beschrijving: Amazon EBS-momentopnamen mogen niet openbaar worden aangepast door iedereen, tenzij expliciet is toegestaan, om onbedoelde blootstelling van gegevens te voorkomen. Bovendien moet de machtiging voor het wijzigen van Amazon EBS-configuraties alleen worden beperkt tot geautoriseerde AWS-accounts.
Ernst: Hoog
Amazon ECS-taakdefinities moeten beveiligde netwerkmodi en gebruikersdefinities hebben
Beschrijving: Met dit besturingselement wordt gecontroleerd of een actieve Amazon ECS-taakdefinitie met de hostnetwerkmodus ook uitgebreide of gebruikerscontainerdefinities heeft. Het besturingselement mislukt voor taakdefinities met hostnetwerkmodus en containerdefinities waarbij privileged=false of leeg is en gebruiker=root of leeg is. Als een taakdefinitie verhoogde bevoegdheden heeft, komt dit doordat de klant specifiek heeft gekozen voor die configuratie. Met dit besturingselement wordt gecontroleerd op onverwachte escalatie van bevoegdheden wanneer voor een taakdefinitie hostnetwerken zijn ingeschakeld, maar de klant zich niet heeft aangemeld voor verhoogde bevoegdheden.
Ernst: Hoog
Amazon Elasticsearch Service-domeinen moeten gegevens versleutelen die worden verzonden tussen knooppunten
Beschrijving: Met dit besturingselement wordt gecontroleerd of Voor Amazon ES-domeinen knooppuntversleuteling is ingeschakeld. HTTPS (TLS) kan worden gebruikt om te voorkomen dat potentiële aanvallers netwerkverkeer kunnen afluisteren of manipuleren met behulp van personen in het midden of vergelijkbare aanvallen. Alleen versleutelde verbindingen via HTTPS (TLS) moeten zijn toegestaan. Het inschakelen van knooppunt-naar-knooppuntversleuteling voor Amazon ES-domeinen zorgt ervoor dat communicatie tussen clusters in transit wordt versleuteld. Er kan een prestatiestraf zijn gekoppeld aan deze configuratie. Voordat u deze optie inschakelt, moet u rekening houden met de prestaties en deze functie testen.
Ernst: gemiddeld
Amazon Elasticsearch Service-domeinen moeten versleuteling-at-rest hebben ingeschakeld
Beschrijving: Het is belangrijk om versleutelings rest van Amazon ES-domeinen in te schakelen om gevoelige gegevens te beveiligen
Ernst: gemiddeld
Amazon RDS-database moet worden versleuteld met behulp van de door de klant beheerde sleutel
Beschrijving: Met deze controle worden RDS-databases geïdentificeerd die zijn versleuteld met standaard KMS-sleutels en niet met door de klant beheerde sleutels. Als toonaangevende praktijk gebruikt u door de klant beheerde sleutels om de gegevens op uw RDS-databases te versleutelen en de controle over uw sleutels en gegevens op gevoelige workloads te behouden.
Ernst: gemiddeld
Amazon RDS-exemplaar moet worden geconfigureerd met automatische back-upinstellingen
Beschrijving: Deze controle identificeert RDS-exemplaren, die niet zijn ingesteld met de automatische back-upinstelling. Als Automatische back-up is ingesteld, maakt RDS een momentopname van het opslagvolume van uw DB-exemplaar, waarbij een back-up wordt gemaakt van het hele DB-exemplaar en niet alleen afzonderlijke databases, die herstel naar een bepaald tijdstip mogelijk maken. De automatische back-up vindt plaats tijdens de opgegeven tijdsperiode van het back-upvenster en bewaart de back-ups gedurende een beperkte periode, zoals gedefinieerd in de bewaarperiode. Het is raadzaam om automatische back-ups in te stellen voor uw kritieke RDS-servers die u helpen bij het herstelproces van gegevens.
Ernst: gemiddeld
Amazon Redshift-clusters moeten auditlogboekregistratie hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon Redshift-cluster auditlogboekregistratie heeft ingeschakeld. Amazon Redshift-auditlogboekregistratie biedt aanvullende informatie over verbindingen en gebruikersactiviteiten in uw cluster. Deze gegevens kunnen worden opgeslagen en beveiligd in Amazon S3 en kunnen nuttig zijn bij beveiligingscontroles en onderzoeken. Zie databasecontrolelogboekregistratie in de Handleiding voor Amazon Redshift-clusterbeheer voor meer informatie.
Ernst: gemiddeld
Amazon Redshift-clusters moeten automatische momentopnamen hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of Amazon Redshift-clusters geautomatiseerde momentopnamen hebben ingeschakeld. Ook wordt gecontroleerd of de bewaarperiode voor momentopnamen groter is dan of gelijk is aan zeven. Met back-ups kunt u sneller herstellen na een beveiligingsincident. Ze versterken de tolerantie van uw systemen. Amazon Redshift maakt standaard periodieke momentopnamen. Met dit besturingselement wordt gecontroleerd of automatische momentopnamen zijn ingeschakeld en gedurende ten minste zeven dagen worden bewaard. Zie geautomatiseerde momentopnamen van Amazon Redshift in de Handleiding voor amazon Redshift-clusterbeheer voor meer informatie over geautomatiseerde momentopnamen van Amazon Redshift.
Ernst: gemiddeld
Amazon Redshift-clusters moeten openbare toegang verbieden
Beschrijving: We raden Amazon Redshift-clusters aan om openbare toegankelijkheid te voorkomen door het veld Openbaar toegankelijk te evalueren in het clusterconfiguratie-item.
Ernst: Hoog
Amazon Redshift moet automatische upgrades naar primaire versies hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of automatische upgrades van primaire versies zijn ingeschakeld voor het Amazon Redshift-cluster. Als u automatische upgrades voor primaire versies inschakelt, zorgt u ervoor dat de meest recente updates van de primaire versie voor Amazon Redshift-clusters worden geïnstalleerd tijdens het onderhoudsvenster. Deze updates kunnen beveiligingspatches en bugfixes bevatten. Up-to-date blijven met patchinstallatie is een belangrijke stap in het beveiligen van systemen.
Ernst: gemiddeld
Amazon SQS-wachtrijen moeten at-rest worden versleuteld
Beschrijving: Met dit besturingselement wordt gecontroleerd of Amazon SQS-wachtrijen at rest zijn versleuteld. Met versleuteling aan de serverzijde (SSE) kunt u gevoelige gegevens verzenden in versleutelde wachtrijen. Om de inhoud van berichten in wachtrijen te beveiligen, gebruikt SSE sleutels die worden beheerd in AWS KMS. Zie Versleuteling-at-rest in de ontwikkelaarshandleiding voor Amazon Simple Queue Service voor meer informatie.
Ernst: gemiddeld
Een abonnement op RDS-gebeurtenismeldingen moet worden geconfigureerd voor kritieke clustergebeurtenissen
Beschrijving: Met dit besturingselement wordt gecontroleerd of er een Amazon RDS-gebeurtenisabonnement bestaat dat meldingen heeft ingeschakeld voor het volgende brontype, sleutel-waardeparen voor gebeurteniscategorie. DBCluster: ["maintenance" en "failure"]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Met deze meldingen kunt u snel reageren. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.
Ernst: Laag
Er moet een abonnement op RDS-gebeurtenismeldingen worden geconfigureerd voor kritieke database-exemplaargebeurtenissen
Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon RDS-gebeurtenisabonnement bestaat met meldingen die zijn ingeschakeld voor het volgende brontype. sleutel-waardeparen van gebeurteniscategorie. DBInstance: ["maintenance", "configuration change" en "failure"]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Met deze meldingen kunt u snel reageren. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.
Ernst: Laag
Een abonnement op RDS-gebeurtenismeldingen moet worden geconfigureerd voor kritieke gebeurtenissen van de databaseparametergroep
Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon RDS-gebeurtenisabonnement bestaat met meldingen die zijn ingeschakeld voor het volgende brontype. sleutel-waardeparen van gebeurteniscategorie. DBParameterGroup: ["configuration","change"]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Met deze meldingen kunt u snel reageren. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.
Ernst: Laag
Een RDS-gebeurtenismeldingenabonnement moet worden geconfigureerd voor kritieke gebeurtenissen van de databasebeveiligingsgroep
Beschrijving: Met dit besturingselement wordt gecontroleerd of er een Amazon RDS-gebeurtenisabonnement bestaat met meldingen die zijn ingeschakeld voor het volgende brontype, sleutel-waardeparen voor gebeurteniscategorie. DBSecurityGroup: ["configuration","change","failure"]. RDS-gebeurtenismeldingen maken gebruik van Amazon SNS om u bewust te maken van wijzigingen in de beschikbaarheid of configuratie van uw RDS-resources. Deze meldingen zorgen voor een snelle reactie. Zie Amazon RDS-gebeurtenismeldingen gebruiken in de Gebruikershandleiding voor Amazon RDS voor meer informatie over RDS-gebeurtenismeldingen.
Ernst: Laag
API Gateway REST en WebSocket API-logboekregistratie moeten zijn ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of alle fasen van een Amazon API Gateway REST of WebSocket-API logboekregistratie hebben ingeschakeld. Het besturingselement mislukt als logboekregistratie niet is ingeschakeld voor alle methoden van een fase of als logboekregistratieniveau geen FOUT of INFO is. API Gateway REST- of WebSocket-API-fasen moeten relevante logboeken hebben ingeschakeld. Api Gateway REST en WebSocket API-uitvoeringslogboeken bieden gedetailleerde records van aanvragen die zijn gedaan voor API Gateway REST- en WebSocket-API-fasen. De fasen omvatten back-endreacties voor API-integratie, Lambda-autorisatiereacties en de requestId voor AWS-integratie-eindpunten.
Ernst: gemiddeld
REST API-cachegegevens van API Gateway moeten in rust worden versleuteld
Beschrijving: Met dit besturingselement wordt gecontroleerd of alle methoden in REST API-fasen van API Gateway waarvoor cache is ingeschakeld, zijn versleuteld. Het besturingselement mislukt als een methode in een REST API-fase van API Gateway is geconfigureerd voor cache en de cache niet is versleuteld. Het versleutelen van data-at-rest vermindert het risico dat gegevens die zijn opgeslagen op schijf, worden geopend door een gebruiker die niet is geverifieerd bij AWS. Er wordt nog een set toegangsbeheer toegevoegd om onbevoegde gebruikers de toegang tot de gegevens te beperken. API-machtigingen zijn bijvoorbeeld vereist om de gegevens te ontsleutelen voordat ze kunnen worden gelezen. REST API-caches van API Gateway moeten in rust worden versleuteld voor een extra beveiligingslaag.
Ernst: gemiddeld
REST API-fasen van API Gateway moeten worden geconfigureerd voor het gebruik van SSL-certificaten voor back-endverificatie
Beschrijving: Met dit besturingselement wordt gecontroleerd of de REST API-fasen van Amazon API Gateway SSL-certificaten hebben geconfigureerd. Back-endsystemen gebruiken deze certificaten om te verifiëren dat binnenkomende aanvragen afkomstig zijn van API Gateway. REST API-fasen van API Gateway moeten worden geconfigureerd met SSL-certificaten, zodat back-endsystemen kunnen verifiëren dat aanvragen afkomstig zijn van API Gateway.
Ernst: gemiddeld
REST API-fasen van API Gateway moeten AWS X-Ray-tracering hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of ACTIEVE AWS X-Ray-tracering is ingeschakeld voor de REST API-fasen van uw Amazon API Gateway. X-Ray actieve tracering maakt een snellere reactie op prestatiewijzigingen in de onderliggende infrastructuur mogelijk. Wijzigingen in de prestaties kunnen leiden tot een gebrek aan beschikbaarheid van de API. X-Ray actieve tracering biedt realtime metrische gegevens over gebruikersaanvragen die stromen door de REST API-bewerkingen en verbonden services van uw API Gateway.
Ernst: Laag
API Gateway moet worden gekoppeld aan een AWS WAF-web-ACL
Beschrijving: Met dit besturingselement wordt gecontroleerd of een API Gateway-fase gebruikmaakt van een AWS WAF-webtoegangsbeheerlijst (ACL). Dit besturingselement mislukt als een AWS WAF-web-ACL niet is gekoppeld aan een REST API Gateway-fase. AWS WAF is een webtoepassingsfirewall waarmee webtoepassingen en API's worden beschermd tegen aanvallen. Hiermee kunt u een ACL configureren. Dit is een set regels waarmee webaanvragen worden toegestaan, geblokkeerd of geteld op basis van aanpasbare webbeveiligingsregels en -voorwaarden die u definieert. Zorg ervoor dat uw API Gateway-fase is gekoppeld aan een AWS WAF-web-ACL om deze te beschermen tegen schadelijke aanvallen.
Ernst: gemiddeld
Logboekregistratie van toepassings- en klassieke load balancers moet zijn ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of de application Load Balancer en de klassieke load balancer logboekregistratie hebben ingeschakeld. Het besturingselement mislukt als access_logs.s3.enabled dit onwaar is.
Elastische taakverdeling biedt toegangslogboeken waarmee gedetailleerde informatie wordt vastgelegd over aanvragen die naar uw load balancer worden verzonden. Elk logboek bevat informatie zoals het tijdstip waarop de aanvraag is ontvangen, het IP-adres, de latentie van de client, aanvraagpaden en serverreacties. U kunt deze toegangslogboeken gebruiken om verkeerspatronen te analyseren en problemen op te lossen.
Zie Access-logboeken voor uw klassieke load balancer in de gebruikershandleiding voor klassieke load balancers voor meer informatie.
Ernst: gemiddeld
Gekoppelde EBS-volumes moeten at-rest worden versleuteld
Beschrijving: Met dit besturingselement wordt gecontroleerd of de EBS-volumes met een gekoppelde status zijn versleuteld. Als u deze controle wilt doorgeven, moeten EBS-volumes worden gebruikt en versleuteld. Als het EBS-volume niet is gekoppeld, is het niet onderhevig aan deze controle. Voor een extra beveiligingslaag van uw gevoelige gegevens in EBS-volumes moet u EBS-versleuteling in rust inschakelen. Amazon EBS-versleuteling biedt een eenvoudige versleutelingsoplossing voor uw EBS-resources waarvoor u uw eigen infrastructuur voor sleutelbeheer niet hoeft te bouwen, onderhouden en beveiligen. Hierbij wordt CMK (AWS KMS Customer Master Keys) gebruikt bij het maken van versleutelde volumes en momentopnamen. Zie Amazon EBS-versleuteling in de Amazon EC2-gebruikershandleiding voor Linux-exemplaren voor meer informatie over Amazon EBS-versleuteling .
Ernst: gemiddeld
Replicatie-exemplaren van AWS Database Migration Service mogen niet openbaar zijn
Beschrijving: Om uw gerepliceerde exemplaren te beschermen tegen bedreigingen. Een privéreplicatie-exemplaar moet een privé-IP-adres hebben dat u buiten het replicatienetwerk niet kunt openen. Een replicatie-exemplaar moet een privé-IP-adres hebben wanneer de bron- en doeldatabases zich in hetzelfde netwerk bevinden en het netwerk is verbonden met de VPC van het replicatie-exemplaar met behulp van een VPN, AWS Direct Verbinding maken of VPC-peering. U moet er ook voor zorgen dat de toegang tot de configuratie van uw AWS DMS-exemplaar is beperkt tot alleen geautoriseerde gebruikers. Hiervoor beperkt u de IAM-machtigingen van gebruikers om AWS DMS-instellingen en -resources te wijzigen.
Ernst: Hoog
Klassieke Load Balancer-listeners moeten worden geconfigureerd met HTTPS- of TLS-beëindiging
Beschrijving: Met dit besturingselement wordt gecontroleerd of uw klassieke Load Balancer-listeners zijn geconfigureerd met HTTPS- of TLS-protocol voor front-endverbindingen (client naar load balancer). Het besturingselement is van toepassing als een klassieke load balancer listeners heeft. Als uw klassieke load balancer geen listener heeft geconfigureerd, rapporteert het besturingselement geen resultaten. Het besturingselement wordt doorgegeven als de klassieke Load Balancer-listeners zijn geconfigureerd met TLS of HTTPS voor front-endverbindingen. Het besturingselement mislukt als de listener niet is geconfigureerd met TLS of HTTPS voor front-endverbindingen. Voordat u een load balancer gaat gebruiken, moet u een of meer listeners toevoegen. Een listener is een proces dat gebruikmaakt van het geconfigureerde protocol en de poort om te controleren op verbindingsaanvragen. Listeners kunnen zowel HTTP- als HTTPS/TLS-protocollen ondersteunen. U moet altijd een HTTPS- of TLS-listener gebruiken, zodat de load balancer tijdens overdracht het werk van versleuteling en ontsleuteling uitvoert.
Ernst: gemiddeld
Klassieke Load Balancers moeten verbindingsafvoer hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of klassieke Load Balancers verbindingsafvoer is ingeschakeld. Als u het leegmaken van verbindingen voor klassieke Load Balancers inschakelt, zorgt u ervoor dat de load balancer stopt met het verzenden van aanvragen naar exemplaren die de registratie ongedaan maken of niet in orde zijn. De bestaande verbindingen blijven geopend. Dit is handig voor exemplaren in groepen voor automatisch schalen om ervoor te zorgen dat verbindingen niet plotseling worden verbroken.
Ernst: gemiddeld
CloudFront-distributies moeten AWS WAF hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of CloudFront-distributies zijn gekoppeld aan AWS WAF- of AWS WAFv2-web-ACL's. Het besturingselement mislukt als de distributie niet is gekoppeld aan een web-ACL. AWS WAF is een webtoepassingsfirewall waarmee webtoepassingen en API's worden beschermd tegen aanvallen. Hiermee kunt u een set regels configureren, een zogenaamde webtoegangsbeheerlijst (web-ACL), waarmee webaanvragen worden toegestaan, geblokkeerd of geteld op basis van aanpasbare webbeveiligingsregels en -voorwaarden die u definieert. Zorg ervoor dat uw CloudFront-distributie is gekoppeld aan een AWS WAF-web-ACL om deze te beschermen tegen schadelijke aanvallen.
Ernst: gemiddeld
CloudFront-distributies moeten logboekregistratie hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of logboekregistratie voor servertoegang is ingeschakeld op CloudFront-distributies. Het besturingselement mislukt als logboekregistratie van toegang niet is ingeschakeld voor een distributie. CloudFront-toegangslogboeken bieden gedetailleerde informatie over elke gebruikersaanvraag die CloudFront ontvangt. Elk logboek bevat informatie zoals de datum en tijd waarop de aanvraag is ontvangen, het IP-adres van de viewer die de aanvraag heeft ingediend, de bron van de aanvraag en het poortnummer van de aanvraag van de viewer. Deze logboeken zijn handig voor toepassingen zoals beveiligings- en toegangscontroles en forensisch onderzoek. Zie Amazon CloudFront-logboeken opvragen in de Gebruikershandleiding voor Amazon CloudFront voor meer informatie over het analyseren van toegangslogboeken.
Ernst: gemiddeld
CloudFront-distributies moeten versleuteling in transit vereisen
Beschrijving: Met dit besturingselement wordt gecontroleerd of voor een Amazon CloudFront-distributie kijkers HTTPS rechtstreeks moeten gebruiken of of er omleiding wordt gebruikt. Het besturingselement mislukt als ViewerProtocolPolicy is ingesteld op allow-all voor defaultCacheBehavior of voor cacheBehaviors. HTTPS (TLS) kan worden gebruikt om te voorkomen dat potentiële aanvallers persoon-in-the-middle of vergelijkbare aanvallen gebruiken om afluisteren op of netwerkverkeer te manipuleren. Alleen versleutelde verbindingen via HTTPS (TLS) moeten zijn toegestaan. Het versleutelen van gegevens tijdens overdracht kan van invloed zijn op de prestaties. U moet uw toepassing testen met deze functie om inzicht te hebben in het prestatieprofiel en de impact van TLS.
Ernst: gemiddeld
CloudTrail-logboeken moeten in rust worden versleuteld met KMS-CMK's
Beschrijving: We raden u aan CloudTrail te configureren voor het gebruik van SSE-KMS. CloudTrail configureren voor het gebruik van SSE-KMS biedt meer vertrouwelijkheidsbesturingselementen voor logboekgegevens omdat een bepaalde gebruiker S3 leesmachtigingen moet hebben voor de bijbehorende logboekbucket en moet de ontsleutelingsmachtigingen worden verleend door het CMK-beleid.
Ernst: gemiddeld
Verbinding maken ionen naar Amazon Redshift-clusters moeten tijdens de overdracht worden versleuteld
Beschrijving: Met dit besturingselement wordt gecontroleerd of verbindingen met Amazon Redshift-clusters vereist zijn voor het gebruik van versleuteling tijdens overdracht. De controle mislukt als de amazon Redshift-clusterparameter require_SSL niet is ingesteld op 1. TLS kan worden gebruikt om te voorkomen dat potentiële aanvallers personen in het midden of vergelijkbare aanvallen gebruiken om netwerkverkeer af te luisteren of te manipuleren. Alleen versleutelde verbindingen via TLS moeten zijn toegestaan. Het versleutelen van gegevens tijdens overdracht kan van invloed zijn op de prestaties. U moet uw toepassing testen met deze functie om inzicht te hebben in het prestatieprofiel en de impact van TLS.
Ernst: gemiddeld
Verbinding maken ies naar Elasticsearch-domeinen moeten worden versleuteld met TLS 1.2
Beschrijving: Met dit besturingselement wordt gecontroleerd of verbindingen met Elasticsearch-domeinen vereist zijn voor het gebruik van TLS 1.2. De controle mislukt als het Elasticsearch-domein TLSSecurityPolicy niet Policy-Min-TLS-1-2-2019-07 is. HTTPS (TLS) kan worden gebruikt om te voorkomen dat potentiële aanvallers persoon-in-the-middle of vergelijkbare aanvallen gebruiken om afluisteren op of netwerkverkeer te manipuleren. Alleen versleutelde verbindingen via HTTPS (TLS) moeten zijn toegestaan. Het versleutelen van gegevens tijdens overdracht kan van invloed zijn op de prestaties. U moet uw toepassing testen met deze functie om inzicht te hebben in het prestatieprofiel en de impact van TLS. TLS 1.2 biedt verschillende beveiligingsverbeteringen ten opzichte van eerdere versies van TLS.
Ernst: gemiddeld
DynamoDB-tabellen moeten herstel naar een bepaald tijdstip hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of herstel naar een bepaald tijdstip (PITR) is ingeschakeld voor een Amazon DynamoDB-tabel. Met back-ups kunt u sneller herstellen na een beveiligingsincident. Ze versterken ook de tolerantie van uw systemen. Met herstel naar een bepaald tijdstip worden back-ups voor DynamoDB-tabellen geautomatiseerd. Het vermindert de tijd om te herstellen van onbedoelde verwijderings- of schrijfbewerkingen. DynamoDB-tabellen waarvoor PITR is ingeschakeld, kunnen worden hersteld naar elk tijdstip in de afgelopen 35 dagen.
Ernst: gemiddeld
EBS-standaardversleuteling moet zijn ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of versleuteling op accountniveau standaard is ingeschakeld voor Amazon Elastic Block Store (Amazon EBS). Het besturingselement mislukt als versleuteling op accountniveau niet is ingeschakeld. Wanneer versleuteling is ingeschakeld voor uw account, worden Amazon EBS-volumes en momentopnamekopieën in rust versleuteld. Hiermee voegt u nog een beveiligingslaag voor uw gegevens toe. Zie Versleuteling standaard in de Gebruikershandleiding voor Amazon EC2 voor Linux-exemplaren voor meer informatie. Houd er rekening mee dat de volgende exemplaartypen geen ondersteuning bieden voor versleuteling: R1, C1 en M1.
Ernst: gemiddeld
Elastic Beanstalk-omgevingen moeten verbeterde statusrapportage hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of verbeterde statusrapportage is ingeschakeld voor uw AWS Elastic Beanstalk-omgevingen. Elastische Beanstalk verbeterde statusrapportage maakt een snellere reactie op wijzigingen in de status van de onderliggende infrastructuur mogelijk. Deze wijzigingen kunnen leiden tot een gebrek aan beschikbaarheid van de toepassing. Elastic Beanstalk verbeterde statusrapportage biedt een statusdescriptor om de ernst van de geïdentificeerde problemen te meten en mogelijke oorzaken te identificeren die moeten worden onderzocht. De Elastic Beanstalk-statusagent, opgenomen in ondersteunde Amazon Machine Images (URI's), evalueert logboeken en metrische gegevens van EC2-exemplaren van de omgeving.
Ernst: Laag
Updates van het beheerde platform voor Elastic Beanstalk moeten zijn ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of beheerde platformupdates zijn ingeschakeld voor de Elastic Beanstalk-omgeving. Door beheerde platformupdates in te schakelen, zorgt u ervoor dat de nieuwste beschikbare platformoplossingen, updates en functies voor de omgeving worden geïnstalleerd. Up-to-date blijven met patchinstallatie is een belangrijke stap in het beveiligen van systemen.
Ernst: Hoog
Elastische load balancer mag geen ACM-certificaat binnen 90 dagen verlopen of verlopen.
Beschrijving: Deze controle identificeert ELB (Elastic Load Balancers) die ACM-certificaten gebruiken die binnen 90 dagen verlopen of verlopen. AWS Certificate Manager (ACM) is het favoriete hulpprogramma voor het inrichten, beheren en implementeren van uw servercertificaten. Met ACM kunt u een certificaat aanvragen of een bestaand ACM- of extern certificaat implementeren op AWS-resources. Het wordt aanbevolen om verlopen/verlopen certificaten opnieuw te importeren, terwijl de ELB-koppelingen van het oorspronkelijke certificaat behouden blijven.
Ernst: Hoog
Logboekregistratie van elasticsearch-domeinfouten naar CloudWatch-logboeken moet zijn ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of Elasticsearch-domeinen zijn geconfigureerd voor het verzenden van foutenlogboeken naar CloudWatch-logboeken. Schakel foutlogboeken in voor Elasticsearch-domeinen en verzend deze logboeken naar CloudWatch-logboeken voor retentie en reactie. Domeinfoutlogboeken kunnen helpen bij beveiligings- en toegangscontroles en kunnen helpen bij het vaststellen van beschikbaarheidsproblemen.
Ernst: gemiddeld
Elasticsearch-domeinen moeten worden geconfigureerd met ten minste drie toegewezen hoofdknooppunten
Beschrijving: Met dit besturingselement wordt gecontroleerd of Elasticsearch-domeinen zijn geconfigureerd met ten minste drie toegewezen hoofdknooppunten. Dit besturingselement mislukt als het domein geen toegewezen hoofdknooppunten gebruikt. Dit besturingselement wordt doorgegeven als Elasticsearch-domeinen vijf toegewezen hoofdknooppunten hebben. Het gebruik van meer dan drie hoofdknooppunten is echter mogelijk niet nodig om het beschikbaarheidsrisico te beperken en leidt tot meer kosten. Een Elasticsearch-domein vereist ten minste drie toegewezen hoofdknooppunten voor hoge beschikbaarheid en fouttolerantie. Toegewezen hoofdknooppuntresources kunnen worden belast tijdens blauw/groene implementaties van gegevensknooppunten, omdat er meer knooppunten zijn om te beheren. Het implementeren van een Elasticsearch-domein met ten minste drie toegewezen hoofdknooppunten zorgt voor voldoende resourcecapaciteit van hoofdknooppunten en clusterbewerkingen als een knooppunt mislukt.
Ernst: gemiddeld
Elasticsearch-domeinen moeten ten minste drie gegevensknooppunten hebben
Beschrijving: Met dit besturingselement wordt gecontroleerd of Elasticsearch-domeinen zijn geconfigureerd met ten minste drie gegevensknooppunten en zoneAwarenessEnabled waar is. Een Elasticsearch-domein vereist ten minste drie gegevensknooppunten voor hoge beschikbaarheid en fouttolerantie. Het implementeren van een Elasticsearch-domein met ten minste drie gegevensknooppunten zorgt ervoor dat clusterbewerkingen worden uitgevoerd als een knooppunt mislukt.
Ernst: gemiddeld
Elasticsearch-domeinen moeten auditlogboekregistratie hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of elasticsearch-domeinen auditlogboekregistratie hebben ingeschakeld. Dit besturingselement mislukt als voor een Elasticsearch-domein geen auditlogboekregistratie is ingeschakeld. Auditlogboeken zijn zeer aanpasbaar. Hiermee kunt u gebruikersactiviteiten op uw Elasticsearch-clusters bijhouden, waaronder geslaagde en mislukte verificaties, aanvragen voor OpenSearch, indexwijzigingen en binnenkomende zoekquery's.
Ernst: gemiddeld
Verbeterde bewaking moet worden geconfigureerd voor RDS DB-exemplaren en -clusters
Beschrijving: Met dit besturingselement wordt gecontroleerd of verbeterde bewaking is ingeschakeld voor uw RDS DB-exemplaren. Verbeterde bewaking in Amazon RDS maakt een snellere reactie op prestatiewijzigingen in de onderliggende infrastructuur mogelijk. Deze prestatiewijzigingen kunnen leiden tot een gebrek aan beschikbaarheid van de gegevens. Verbeterde bewaking biedt realtime metrische gegevens van het besturingssysteem waarop uw RDS DB-exemplaar wordt uitgevoerd. Er wordt een agent geïnstalleerd op het exemplaar. De agent kan nauwkeuriger metrische gegevens verkrijgen dan mogelijk is via de hypervisorlaag. Verbeterde bewakingsgegevens zijn handig als u wilt zien hoe verschillende processen of threads op een DB-exemplaar gebruikmaken van de CPU. Zie Verbeterde bewaking in de Gebruikershandleiding voor Amazon RDS voor meer informatie.
Ernst: Laag
Controleren of roulatie voor door de klant gemaakte CMK's is ingeschakeld
Beschrijving: AWS Key Management Service (KMS) stelt klanten in staat om de backingsleutel te draaien. Dit is sleutelmateriaal dat is opgeslagen in de KMS die is gekoppeld aan de sleutel-id van de door de klant gemaakte hoofdsleutel (CMK). Het is de back-upsleutel die wordt gebruikt voor het uitvoeren van cryptografische bewerkingen, zoals versleuteling en ontsleuteling. Automatische sleutelrotatie behoudt momenteel alle eerdere back-upsleutels, zodat ontsleuteling van versleutelde gegevens transparant kan plaatsvinden. Het wordt aanbevolen om CMK-sleutelrotatie in te schakelen. Het roteren van versleutelingssleutels helpt de potentiële impact van een aangetaste sleutel te verminderen, omdat gegevens die zijn versleuteld met een nieuwe sleutel, niet kunnen worden geopend met een eerdere sleutel die mogelijk beschikbaar is gemaakt.
Ernst: gemiddeld
Zorg ervoor dat logboekregistratie voor S3-buckettoegang is ingeschakeld in de CloudTrail S3-bucket
Beschrijving: S3 Bucket Access Logging genereert een logboek dat toegangsrecords bevat. Zorg ervoor dat S3 bucket-toegangslogboek is ingeschakeld in de CloudTrail S3-bucket voor elke aanvraag die is ingediend bij uw S3-bucket. Een toegangslogboekrecord bevat details over de aanvraag, zoals het aanvraagtype, de resources die in de aanvraag zijn opgegeven, en de tijd en datum waarop de aanvraag is verwerkt. Het wordt aanbevolen om logboekregistratie voor buckettoegang in de CloudTrail S3-bucket in te schakelen. Door logboekregistratie van S3-buckets in te schakelen voor doel-S3-buckets, is het mogelijk om alle gebeurtenissen vast te leggen, wat van invloed kan zijn op objecten binnen doelbuckets. Door logboeken te configureren die in een afzonderlijke bucket moeten worden geplaatst, heeft u toegang tot logboekgegevens. Dit kan handig zijn in werkstromen voor beveiligings- en incidentrespons.
Ernst: Laag
Zorg ervoor dat de S3-bucket die wordt gebruikt voor het opslaan van CloudTrail-logboeken niet openbaar toegankelijk is
Beschrijving: CloudTrail registreert een record van elke API-aanroep in uw AWS-account. Deze logboekbestanden worden opgeslagen in een S3-bucket. Het wordt aanbevolen dat het bucketbeleid of de toegangsbeheerlijst (ACL) wordt toegepast op de S3-bucket die CloudTrail-logboeken gebruikt om openbare toegang tot de CloudTrail-logboeken te voorkomen. Het toestaan van openbare toegang tot CloudTrail-logboekinhoud kan een kwaadwillende persoon helpen bij het identificeren van zwakke punten in het gebruik of de configuratie van het betrokken account.
Ernst: Hoog
IAM mag geen verlopen SSL/TLS-certificaten hebben
Beschrijving: Deze controle identificeert verlopen SSL/TLS-certificaten. Als u HTTPS-verbindingen met uw website of toepassing in AWS wilt inschakelen, hebt u een SSL/TLS-servercertificaat nodig. U kunt ACM of IAM gebruiken om servercertificaten op te slaan en te implementeren. Het verwijderen van verlopen SSL/TLS-certificaten elimineert het risico dat een ongeldig certificaat per ongeluk wordt geïmplementeerd op een resource zoals AWS Elastic Load Balancer (ELB), die de geloofwaardigheid van de toepassing/website achter de ELB kan beschadigen. Met deze controle worden waarschuwingen gegenereerd als er verlopen SSL/TLS-certificaten zijn opgeslagen in AWS IAM. Het wordt aanbevolen verlopen certificaten te verwijderen.
Ernst: Hoog
Geïmporteerde ACM-certificaten moeten na een opgegeven periode worden vernieuwd
Beschrijving: Met dit besturingselement wordt gecontroleerd of ACM-certificaten in uw account binnen 30 dagen zijn gemarkeerd voor vervaldatum. Het controleert zowel geïmporteerde certificaten als certificaten die worden geleverd door AWS Certificate Manager. ACM kan automatisch certificaten vernieuwen die gebruikmaken van DNS-validatie. Voor certificaten die gebruikmaken van e-mailvalidatie, moet u reageren op een domeinvalidatie-e-mail. ACM verlengt ook niet automatisch certificaten die u importeert. U moet geïmporteerde certificaten handmatig vernieuwen. Zie Beheerde verlenging voor ACM-certificaten in de gebruikershandleiding voor AWS Certificate Manager voor meer informatie over beheerde verlenging voor ACM-certificaten .
Ernst: gemiddeld
Over-ingerichte identiteiten in accounts moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen
Beschrijving: Door te ingerichte identiteiten in accounts moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen en uw infrastructuur te beveiligen. Verminder de PCI door de ongebruikte toewijzingen van machtigingen met een hoog risico te verwijderen. Hoog PCI weerspiegelt het risico dat is gekoppeld aan de identiteiten met machtigingen die het normale of vereiste gebruik overschrijden.
Ernst: gemiddeld
RdS automatische secundaire versie-upgrades moeten zijn ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of automatische upgrades van secundaire versies zijn ingeschakeld voor het RDS-database-exemplaar. Als u automatische upgrades voor secundaire versies inschakelt, zorgt u ervoor dat de meest recente updates van secundaire versies voor het relationele databasebeheersysteem (RDBMS) zijn geïnstalleerd. Deze upgrades kunnen beveiligingspatches en bugfixes bevatten. Up-to-date blijven met patchinstallatie is een belangrijke stap in het beveiligen van systemen.
Ernst: Hoog
Momentopnamen van RDS-clusters en databasemomentopnamen moeten in rust worden versleuteld
Beschrijving: Met dit besturingselement wordt gecontroleerd of RDS DB-momentopnamen zijn versleuteld. Dit besturingselement is bedoeld voor RDS DB-exemplaren. Het kan echter ook bevindingen genereren voor momentopnamen van Aurora DB-exemplaren, Neptune DB-exemplaren en Amazon DocumentDB-clusters. Als deze bevindingen niet nuttig zijn, kunt u ze onderdrukken. Het versleutelen van data-at-rest vermindert het risico dat een niet-geverifieerde gebruiker toegang krijgt tot gegevens die op schijf zijn opgeslagen. Gegevens in RDS-momentopnamen moeten in rust worden versleuteld voor een extra beveiligingslaag.
Ernst: gemiddeld
RDS-clusters moeten verwijderingsbeveiliging hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of RDS-clusters verwijderingsbeveiliging hebben ingeschakeld. Dit besturingselement is bedoeld voor RDS DB-exemplaren. Het kan echter ook bevindingen genereren voor Aurora DB-exemplaren, Neptune DB-exemplaren en Amazon DocumentDB-clusters. Als deze bevindingen niet nuttig zijn, kunt u ze onderdrukken. Het inschakelen van clusterverwijderingsbeveiliging is een andere beveiligingslaag tegen onbedoeld verwijderen of verwijderen van databases door een niet-geautoriseerde entiteit. Wanneer verwijderingsbeveiliging is ingeschakeld, kan een RDS-cluster niet worden verwijderd. Voordat een verwijderingsaanvraag kan slagen, moet de verwijderingsbeveiliging worden uitgeschakeld.
Ernst: Laag
RDS DB-clusters moeten worden geconfigureerd voor meerdere Beschikbaarheidszones
Beschrijving: RDS DB-clusters moeten worden geconfigureerd voor meerdere gegevens die zijn opgeslagen. Met implementatie naar meerdere Beschikbaarheidszones kunt u Beschikbaarheidszones automatiseren om de beschikbaarheid van een failover te garanderen in het geval van een beschikbaarheidsprobleem in de beschikbaarheidszone en tijdens regelmatige RDS-onderhoudsgebeurtenissen.
Ernst: gemiddeld
RDS DB-clusters moeten worden geconfigureerd voor het kopiëren van tags naar momentopnamen
Beschrijving: Identificatie en inventarisatie van uw IT-assets is een cruciaal aspect van governance en beveiliging. U moet inzicht hebben in al uw RDS DB-clusters, zodat u hun beveiligingspostuur kunt beoordelen en actie kunt ondernemen op potentiële zwakke plekken. Momentopnamen moeten op dezelfde manier worden gelabeld als de bovenliggende RDS-databaseclusters. Als u deze instelling inschakelt, zorgt u ervoor dat momentopnamen de tags van hun bovenliggende databaseclusters overnemen.
Ernst: Laag
RDS DB-exemplaren moeten worden geconfigureerd voor het kopiëren van tags naar momentopnamen
Beschrijving: Met dit besturingselement wordt gecontroleerd of RDS DB-exemplaren zijn geconfigureerd voor het kopiëren van alle tags naar momentopnamen wanneer de momentopnamen worden gemaakt. Identificatie en inventarisatie van uw IT-assets is een cruciaal aspect van governance en beveiliging. U moet inzicht hebben in al uw RDS DB-exemplaren, zodat u hun beveiligingspostuur kunt beoordelen en actie kunt ondernemen op potentiële zwakke plekken. Momentopnamen moeten op dezelfde manier worden gelabeld als de bovenliggende RDS-database-exemplaren. Als u deze instelling inschakelt, zorgt u ervoor dat momentopnamen de tags van hun bovenliggende database-exemplaren overnemen.
Ernst: Laag
RDS DB-exemplaren moeten worden geconfigureerd met meerdere Beschikbaarheidszones
Beschrijving: Met dit besturingselement wordt gecontroleerd of hoge beschikbaarheid is ingeschakeld voor uw RDS DB-exemplaren. RDS DB-exemplaren moeten worden geconfigureerd voor meerdere Beschikbaarheidszones (AZ's). Dit zorgt voor de beschikbaarheid van de gegevens die zijn opgeslagen. Implementaties met meerdere AZ's maken geautomatiseerde failover mogelijk als er een probleem is met beschikbaarheidszone en tijdens regelmatig RDS-onderhoud.
Ernst: gemiddeld
RDS DB-exemplaren moeten verwijderingsbeveiliging hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of uw RDS DB-exemplaren die een van de vermelde database-engines gebruiken, verwijderingsbeveiliging hebben ingeschakeld. Het inschakelen van beveiliging tegen het verwijderen van exemplaren is een andere beveiligingslaag tegen onbedoelde databaseverwijdering of verwijdering door een niet-geautoriseerde entiteit. Hoewel verwijderingsbeveiliging is ingeschakeld, kan een RDS DB-exemplaar niet worden verwijderd. Voordat een verwijderingsaanvraag kan slagen, moet de verwijderingsbeveiliging worden uitgeschakeld.
Ernst: Laag
RDS DB-exemplaren moeten versleuteling-at-rest hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of opslagversleuteling is ingeschakeld voor uw Amazon RDS DB-exemplaren. Dit besturingselement is bedoeld voor RDS DB-exemplaren. Het kan echter ook bevindingen genereren voor Aurora DB-exemplaren, Neptune DB-exemplaren en Amazon DocumentDB-clusters. Als deze bevindingen niet nuttig zijn, kunt u ze onderdrukken. Voor een extra beveiligingslaag voor uw gevoelige gegevens in RDS DB-exemplaren moet u uw RDS DB-exemplaren zo configureren dat ze at-rest worden versleuteld. Als u uw RDS DB-exemplaren en momentopnamen in rust wilt versleutelen, schakelt u de versleutelingsoptie in voor uw RDS DB-exemplaren. Gegevens die in rust zijn versleuteld, bevatten de onderliggende opslag voor DB-exemplaren, de geautomatiseerde back-ups, leesreplica's en momentopnamen. Met RDS versleutelde DB-exemplaren wordt het open standaard AES-256-versleutelingsalgoritmen gebruikt om uw gegevens te versleutelen op de server waarop uw RDS DB-exemplaren worden gehost. Nadat uw gegevens zijn versleuteld, verwerkt Amazon RDS verificatie van toegang en ontsleuteling van uw gegevens transparant met een minimale impact op de prestaties. U hoeft uw databaseclienttoepassingen niet te wijzigen om versleuteling te gebruiken. Amazon RDS-versleuteling is momenteel beschikbaar voor alle database-engines en opslagtypen. Amazon RDS-versleuteling is beschikbaar voor de meeste DB-exemplaarklassen. Zie Amazon RDS-resources versleutelen in de Gebruikershandleiding voor Amazon RDS voor meer informatie over DB-exemplaarklassen die geen ondersteuning bieden voor Amazon RDS-versleuteling.
Ernst: gemiddeld
RDS DB-exemplaren moeten openbare toegang verbieden
Beschrijving: U wordt aangeraden er ook voor te zorgen dat de toegang tot de configuratie van uw RDS-exemplaar wordt beperkt tot alleen geautoriseerde gebruikers, door de IAM-machtigingen van gebruikers te beperken om de instellingen en resources van RDS-exemplaren te wijzigen.
Ernst: Hoog
RDS-momentopnamen moeten openbare toegang verbieden
Beschrijving: We raden u aan alleen geautoriseerde principals toegang te geven tot de momentopname en amazon RDS-configuratie te wijzigen.
Ernst: Hoog
Ongebruikte Secrets Manager-geheimen verwijderen
Beschrijving: Met dit besturingselement wordt gecontroleerd of uw geheimen binnen een opgegeven aantal dagen zijn geopend. De standaardwaarde is 90 dagen. Als er geen geheim is geopend binnen het gedefinieerde aantal dagen, mislukt dit besturingselement. Het verwijderen van ongebruikte geheimen is net zo belangrijk als het roteren van geheimen. Ongebruikte geheimen kunnen worden misbruikt door hun voormalige gebruikers, die geen toegang meer nodig hebben tot deze geheimen. Als meer gebruikers toegang krijgen tot een geheim, heeft iemand het mogelijk verkeerd verwerkt en gelekt naar een niet-geautoriseerde entiteit, waardoor het risico op misbruik toeneemt. Als u ongebruikte geheimen verwijdert, kunt u geheime toegang intrekken van gebruikers die deze niet meer nodig hebben. Het helpt ook om de kosten van het gebruik van Secrets Manager te verlagen. Daarom is het essentieel om ongebruikte geheimen regelmatig te verwijderen.
Ernst: gemiddeld
Voor S3-buckets moet replicatie tussen regio's zijn ingeschakeld
Beschrijving: Het inschakelen van S3-replicatie tussen regio's zorgt ervoor dat er meerdere versies van de gegevens beschikbaar zijn in verschillende regio's. Hiermee kunt u uw S3-bucket beschermen tegen DDoS-aanvallen en gegevensbeschadigingsgebeurtenissen.
Ernst: Laag
S3-buckets moeten versleuteling aan serverzijde hebben ingeschakeld
Beschrijving: Schakel versleuteling aan de serverzijde in om gegevens in uw S3-buckets te beveiligen. Door de gegevens te versleutelen, kan de toegang tot gevoelige gegevens worden voorkomen in het geval van een gegevenslek.
Ernst: gemiddeld
Geheimenbeheergeheimen die zijn geconfigureerd met automatische rotatie, moeten met succes worden gedraaid
Beschrijving: Met dit besturingselement wordt gecontroleerd of een AWS Secrets Manager-geheim is gedraaid op basis van het rotatieschema. Het besturingselement mislukt als RotationOccurringAsScheduled onwaar is. Het besturingselement evalueert geen geheimen waarvoor geen rotatie is geconfigureerd. Secrets Manager helpt u de beveiligingspostuur van uw organisatie te verbeteren. Geheimen zijn databasereferenties, wachtwoorden en API-sleutels van derden. U kunt Secrets Manager gebruiken om geheimen centraal op te slaan, geheimen automatisch te versleutelen, de toegang tot geheimen te beheren en geheimen veilig en automatisch te roteren. Secrets Manager kan geheimen draaien. U kunt rotatie gebruiken om geheimen op lange termijn te vervangen door korte termijn geheimen. Als u uw geheimen roteert, wordt beperkt hoelang een onbevoegde gebruiker een gecompromitteerd geheim kan gebruiken. Daarom moet u uw geheimen regelmatig roteren. Naast het configureren van geheimen om automatisch te draaien, moet u ervoor zorgen dat deze geheimen correct draaien op basis van het draaischema. Zie Uw AWS Secrets Manager-geheimen roteren in de gebruikershandleiding voor AWS Secrets Manager voor meer informatie over rotatie.
Ernst: gemiddeld
Geheimenbeheergeheimen moeten binnen een opgegeven aantal dagen worden geroteerd
Beschrijving: Met dit besturingselement wordt gecontroleerd of uw geheimen ten minste eenmaal binnen 90 dagen zijn gedraaid. Het roteren van geheimen kan u helpen om het risico te beperken dat uw geheimen niet worden gebruikt in uw AWS-account. Voorbeelden hiervan zijn databasereferenties, wachtwoorden, API-sleutels van derden en zelfs willekeurige tekst. Als u uw geheimen gedurende een lange periode niet wijzigt, zijn de geheimen waarschijnlijker gecompromitteerd. Naarmate meer gebruikers toegang krijgen tot een geheim, kan het waarschijnlijker worden dat iemand deze verkeerd heeft verwerkt en gelekt naar een niet-geautoriseerde entiteit. Geheimen kunnen worden gelekt via logboeken en cachegegevens. Ze kunnen worden gedeeld voor foutopsporing en kunnen niet worden gewijzigd of ingetrokken zodra de foutopsporing is voltooid. Om al deze redenen moeten geheimen regelmatig worden gedraaid. U kunt uw geheimen configureren voor automatische rotatie in AWS Secrets Manager. Met automatische rotatie kunt u geheimen op lange termijn vervangen door kortetermijngeheimen, waardoor het risico op inbreuk aanzienlijk wordt verminderd. Security Hub raadt u aan om rotatie in te schakelen voor uw Secrets Manager-geheimen. Zie Uw AWS Secrets Manager-geheimen roteren in de gebruikershandleiding voor AWS Secrets Manager voor meer informatie over rotatie.
Ernst: gemiddeld
SNS-onderwerpen moeten in rust worden versleuteld met BEHULP van AWS KMS
Beschrijving: Met dit besturingselement wordt gecontroleerd of een SNS-onderwerp in rust is versleuteld met BEHULP van AWS KMS. Het versleutelen van data-at-rest vermindert het risico dat gegevens die zijn opgeslagen op schijf, worden geopend door een gebruiker die niet is geverifieerd bij AWS. Er wordt ook een andere set toegangsbeheer toegevoegd om de mogelijkheid van onbevoegde gebruikers te beperken tot toegang tot de gegevens. API-machtigingen zijn bijvoorbeeld vereist om de gegevens te ontsleutelen voordat ze kunnen worden gelezen. SNS-onderwerpen moeten at-rest worden versleuteld voor een extra beveiligingslaag. Zie Voor meer informatie versleuteling-at-rest in de Handleiding voor ontwikkelaars van Amazon Simple Notification Service.
Ernst: gemiddeld
VPC-stroomlogboekregistratie moet zijn ingeschakeld in alle VPN's
Beschrijving: VPC-stroomlogboeken bieden inzicht in netwerkverkeer dat de VPC passeert en kan worden gebruikt om afwijkend verkeer of inzicht te detecteren tijdens beveiligingsgebeurtenissen.
Ernst: gemiddeld
Aanbevelingen voor AWS IdentityAndAccess
Amazon Elasticsearch Service-domeinen moeten zich in een VPC bevinden
Beschrijving: VPC mag geen domeinen met een openbaar eindpunt bevatten. Opmerking: hiermee wordt de routeringsconfiguratie van het VPC-subnet niet geëvalueerd om de openbare bereikbaarheid te bepalen.
Ernst: Hoog
Amazon S3-machtigingen die zijn verleend aan andere AWS-accounts in bucketbeleid, moeten worden beperkt
Beschrijving: Het implementeren van toegang met minimale bevoegdheden is essentieel voor het verminderen van beveiligingsrisico's en de impact van fouten of schadelijke intenties. Als een S3-bucketbeleid toegang toestaat vanuit externe accounts, kan dit leiden tot gegevensexfiltratie door een insider-bedreiging of een aanvaller. Met de parameter blacklistedactionpatterns kan de regel voor S3-buckets worden geëvalueerd. De parameter verleent toegang tot externe accounts voor actiepatronen die niet zijn opgenomen in de lijst blacklistedactionpatterns.
Ernst: Hoog
Vermijd het gebruik van het hoofdaccount
Beschrijving: Het hoofdaccount heeft onbeperkte toegang tot alle resources in het AWS-account. Het wordt ten zeerste aanbevolen dat het gebruik van dit account wordt vermeden. Het hoofdaccount is het meest bevoegde AWS-account. Het minimaliseren van het gebruik van dit account en het aannemen van het principe van minimale bevoegdheden voor toegangsbeheer vermindert het risico op onbedoelde wijzigingen en onbedoelde openbaarmaking van referenties met hoge bevoegdheden.
Ernst: Hoog
AWS KMS-sleutels mogen niet onbedoeld worden verwijderd
Beschrijving: Met dit besturingselement wordt gecontroleerd of KMS-sleutels zijn gepland voor verwijdering. Het besturingselement mislukt als een KMS-sleutel is gepland voor verwijdering. KMS-sleutels kunnen niet worden hersteld zodra ze zijn verwijderd. Gegevens die zijn versleuteld onder een KMS-sleutel, zijn ook permanent onherstelbaar als de KMS-sleutel wordt verwijderd. Als zinvolle gegevens zijn versleuteld onder een KMS-sleutel die is gepland voor verwijdering, kunt u overwegen de gegevens te ontsleutelen of de gegevens opnieuw te versleutelen onder een nieuwe KMS-sleutel, tenzij u opzettelijk een cryptografische verwijdering uitvoert. Wanneer een KMS-sleutel is gepland voor verwijdering, wordt een verplichte wachttijd afgedwongen om tijd te geven om de verwijdering ongedaan te maken, als deze in een fout is gepland. De standaardwachtperiode is 30 dagen, maar kan worden teruggebracht tot zo kort als zeven dagen wanneer de KMS-sleutel is gepland voor verwijdering. Tijdens de wachttijd kan de geplande verwijdering worden geannuleerd en wordt de KMS-sleutel niet verwijderd. Zie Deleting KMS keys in the AWS Key Management Service Developer Guide (Ontwikkelaarshandleiding voor AWS Key Management Service) voor meer informatie over het verwijderen van KMS-sleutels .
Ernst: Hoog
AWS WAF Classic globale web-ACL-logboekregistratie moet zijn ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of logboekregistratie is ingeschakeld voor een globale AWS WAF-web-ACL. Dit besturingselement mislukt als logboekregistratie niet is ingeschakeld voor de web-ACL. Logboekregistratie is een belangrijk onderdeel van het onderhouden van de betrouwbaarheid, beschikbaarheid en prestaties van AWS WAF wereldwijd. Het is een bedrijfs- en nalevingsvereiste in veel organisaties en stelt u in staat om het gedrag van toepassingen op te lossen. Het biedt ook gedetailleerde informatie over het verkeer dat wordt geanalyseerd door de web-ACL die is gekoppeld aan AWS WAF.
Ernst: gemiddeld
CloudFront-distributies moeten een standaardhoofdobject hebben geconfigureerd
Beschrijving: Met dit besturingselement wordt gecontroleerd of een Amazon CloudFront-distributie is geconfigureerd om een specifiek object te retourneren dat het standaardhoofdobject is. Het besturingselement mislukt als voor de CloudFront-distributie geen standaardhoofdobject is geconfigureerd. Een gebruiker kan soms de hoofd-URL van de distributies aanvragen in plaats van een object in de distributie. Als dit gebeurt, kan het opgeven van een standaardhoofdobject u helpen om te voorkomen dat de inhoud van uw webdistributie zichtbaar wordt.
Ernst: Hoog
CloudFront-distributies moeten de identiteit voor oorsprongstoegang hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of voor een Amazon CloudFront-distributie met het type Amazon S3 Origin Origin Origin OAI (Origin Access Identity) is geconfigureerd. Het besturingselement mislukt als OAI niet is geconfigureerd. CloudFront OAI voorkomt dat gebruikers rechtstreeks toegang hebben tot inhoud van S3-buckets. Wanneer gebruikers rechtstreeks toegang hebben tot een S3-bucket, omzeilen ze de CloudFront-distributie en alle machtigingen die worden toegepast op de onderliggende S3-bucketinhoud.
Ernst: gemiddeld
Validatie van cloudTrail-logboekbestanden moet zijn ingeschakeld
Beschrijving: Voor extra integriteitscontrole van CloudTrail-logboeken raden we u aan bestandsvalidatie in te schakelen voor alle CloudTrails.
Ernst: Laag
CloudTrail moet zijn ingeschakeld
Beschrijving: AWS CloudTrail is een webservice die AWS API-aanroepen voor uw account registreert en logboekbestanden aan u levert. Niet alle services schakelen logboekregistratie standaard in voor alle API's en gebeurtenissen. U moet eventuele andere audittrails dan CloudTrail implementeren en de documentatie voor elke service in CloudTrail Supported Services en Integrations bekijken.
Ernst: Hoog
CloudTrail-paden moeten worden geïntegreerd met CloudWatch Logs
Beschrijving: Naast het vastleggen van CloudTrail-logboeken binnen een opgegeven S3-bucket voor langetermijnanalyse, kan realtime-analyse worden uitgevoerd door CloudTrail te configureren om logboeken naar CloudWatch-logboeken te verzenden. Voor een spoor dat is ingeschakeld in alle regio's in een account, verzendt CloudTrail logboekbestanden van al deze regio's naar een logboekgroep van CloudWatch Logs. We raden u aan cloudTrail-logboeken te verzenden naar CloudWatch-logboeken om ervoor te zorgen dat awS-accountactiviteiten worden vastgelegd, bewaakt en op de juiste wijze worden gealarmeerd. Het verzenden van CloudTrail-logboeken naar CloudWatch-logboeken vereenvoudigt logboekregistratie van realtime en historische activiteiten op basis van gebruikers, API, resource en IP-adres en biedt mogelijkheden om waarschuwingen en meldingen vast te stellen voor afwijkende of gevoeligheidsaccountactiviteit.
Ernst: Laag
Databaselogboekregistratie moet zijn ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of de volgende logboeken van Amazon RDS zijn ingeschakeld en verzonden naar CloudWatch-logboeken:
- Oracle: (Waarschuwing, Controle, Trace, Listener)
- PostgreSQL: (Postgresql, Upgrade)
- MySQL: (Controle, Fout, Algemeen, SlowQuery)
- MariaDB: (Controle, Fout, Algemeen, SlowQuery)
- SQL Server: (fout, agent)
- Aurora: (Controle, Fout, Algemeen, SlowQuery)
- Aurora-MySQL: (Audit, Fout, Algemeen, SlowQuery)
- Aurora-PostgreSQL: (Postgresql, Upgrade). RDS-databases moeten relevante logboeken hebben ingeschakeld. Logboekregistratie van databases biedt gedetailleerde records van aanvragen die zijn ingediend bij RDS. Databaselogboeken kunnen helpen bij beveiligings- en toegangscontroles en kunnen helpen bij het vaststellen van beschikbaarheidsproblemen.
Ernst: gemiddeld
Directe internettoegang uitschakelen voor Amazon SageMaker-notebookexemplaren
Beschrijving: Directe internettoegang moet worden uitgeschakeld voor een SageMaker-notebookexemplaren. Hiermee wordt gecontroleerd of het veld DirectInternetAccess is uitgeschakeld voor het notebookexemplaren. Uw exemplaar moet worden geconfigureerd met een VPC en de standaardinstelling moet worden uitgeschakeld: toegang tot internet via een VPC. Als u internettoegang wilt inschakelen voor het trainen of hosten van modellen vanuit een notebook, moet u ervoor zorgen dat uw VPC een NAT-gateway heeft en dat uw beveiligingsgroep uitgaande verbindingen toestaat. Zorg ervoor dat de toegang tot uw SageMaker-configuratie is beperkt tot alleen geautoriseerde gebruikers en beperk de IAM-machtigingen van gebruikers om SageMaker-instellingen en -resources te wijzigen.
Ernst: Hoog
Geen toegangssleutels instellen tijdens de eerste gebruikersconfiguratie voor alle IAM-gebruikers met een consolewachtwoord
Beschrijving: AWS-console staat standaard het selectievakje voor het maken van toegangssleutels voor ingeschakeld. Dit resulteert in veel toegangssleutels die onnodig worden gegenereerd. Naast onnodige referenties genereert het ook onnodig beheerwerk bij het controleren en roteren van deze sleutels. Als u wilt dat de gebruiker na het maken van een profiel extra stappen uitvoert, geeft dit een sterkere indicatie van de intentie dat toegangssleutels [a] nodig zijn voor hun werk en [b] zodra de toegangssleutel is ingesteld op een account dat de sleutels ergens in de organisatie kunnen worden gebruikt.
Ernst: gemiddeld
Zorg ervoor dat er een ondersteuningsrol is gemaakt voor het beheren van incidenten met AWS-ondersteuning
Beschrijving: AWS biedt een ondersteuningscentrum dat kan worden gebruikt voor incidentmeldingen en -reacties, evenals technische ondersteuning en klantenservice. Maak een IAM-rol om geautoriseerde gebruikers toe te staan incidenten te beheren met AWS-ondersteuning. Door minimale bevoegdheden voor toegangsbeheer te implementeren, vereist een IAM-rol een geschikt IAM-beleid om toegang tot het ondersteuningscentrum toe te staan om incidenten met AWS-ondersteuning te beheren.
Ernst: Laag
Zorg ervoor dat toegangssleutels elke 90 dagen of minder worden geroteerd
Beschrijving: Toegangssleutels bestaan uit een toegangssleutel-id en geheime toegangssleutel, die worden gebruikt voor het ondertekenen van programmatische aanvragen die u bij AWS maakt. AWS-gebruikers hebben hun eigen toegangssleutels nodig om programmatische aanroepen naar AWS uit te voeren via de AWS-opdrachtregelinterface (AWS CLI), Hulpprogramma's voor Windows PowerShell, de AWS SDK's of directe HTTP-aanroepen met behulp van de API's voor afzonderlijke AWS-services. Het is raadzaam dat alle toegangssleutels regelmatig worden gedraaid. Door de toegangssleutels te draaien, wordt het kansvenster beperkt voor een toegangssleutel die is gekoppeld aan een gecompromitteerd of beëindigd account dat moet worden gebruikt. Toegangssleutels moeten worden geroteerd om ervoor te zorgen dat gegevens niet kunnen worden geopend met een oude sleutel, die mogelijk verloren, gekraakt of gestolen zijn.
Ernst: gemiddeld
Zorg ervoor dat AWS-configuratie is ingeschakeld in alle regio's
Beschrijving: AWS Config is een webservice die configuratiebeheer uitvoert van ondersteunde AWS-resources binnen uw account en logboekbestanden aan u levert. De opgenomen informatie omvat het configuratie-item (AWS-resource), relaties tussen configuratie-items (AWS-resources), eventuele configuratiewijzigingen tussen resources. Het is raadzaam om AWS-configuratie in te schakelen in alle regio's.
De awS-configuratie-itemgeschiedenis die door AWS Config is vastgelegd, maakt beveiligingsanalyse, het bijhouden van resourcewijziging en nalevingscontrole mogelijk.
Ernst: gemiddeld
Controleren of CloudTrail is ingeschakeld in alle regio's
Beschrijving: AWS CloudTrail is een webservice die AWS API-aanroepen voor uw account registreert en logboekbestanden aan u levert. De vastgelegde informatie bevat de identiteit van de API-aanroeper, het tijdstip van de API-aanroep, het bron-IP-adres van de API-aanroeper, de aanvraagparameters en de antwoordelementen die door de AWS-service worden geretourneerd. CloudTrail biedt een geschiedenis van AWS API-aanroepen voor een account, waaronder API-aanroepen die worden gedaan via de Beheerconsole, SDK's, opdrachtregelprogramma's en AWS-services op een hoger niveau (zoals CloudFormation). De geschiedenis van de AWS-API-aanroep die door CloudTrail wordt geproduceerd, maakt beveiligingsanalyse, tracering van resourcewijziging en nalevingscontrole mogelijk. Bijkomend:
- ervoor zorgen dat er een trail met meerdere regio's bestaat, zorgt ervoor dat er onverwachte activiteit optreedt in anders ongebruikte regio's wordt gedetecteerd
- ervoor zorgen dat er een trail met meerdere regio's bestaat, zorgt ervoor dat 'Global Service Logging' standaard is ingeschakeld voor een trail om het vastleggen van gebeurtenissen vast te leggen die zijn gegenereerd op algemene AWS-services
- voor een trail met meerdere regio's zorgt u ervoor dat beheergebeurtenissen die zijn geconfigureerd voor alle typen lees-/schrijfbewerkingen zorgen voor het vastleggen van beheerbewerkingen die worden uitgevoerd op alle resources in een AWS-account
Ernst: Hoog
Zorg ervoor dat referenties die gedurende 90 dagen of langer worden gebruikt, zijn uitgeschakeld
Beschrijving: AWS IAM-gebruikers hebben toegang tot AWS-resources met behulp van verschillende typen referenties, zoals wachtwoorden of toegangssleutels. Het is raadzaam dat alle referenties die in 90 of meer dagen niet zijn gebruikt, worden verwijderd of gedeactiveerd. Als u overbodige referenties uitschakelt of verwijdert, vermindert u het kansvenster voor referenties die zijn gekoppeld aan een gecompromitteerd of verlaten account dat moet worden gebruikt.
Ernst: gemiddeld
Zorg ervoor dat het IAM-wachtwoordbeleid binnen 90 dagen of minder wachtwoorden verloopt
Beschrijving: IAM-wachtwoordbeleid kan vereisen dat wachtwoorden na een bepaald aantal dagen worden geroteerd of verlopen. Het is raadzaam om het wachtwoordbeleid na 90 dagen of minder te laten verlopen. Het verminderen van de levensduur van het wachtwoord verhoogt de accounttolerantie tegen brute force-aanmeldingspogingen. Daarnaast zijn er regelmatig wachtwoordwijzigingen nodig in de volgende scenario's:
- Wachtwoorden kunnen soms zonder uw kennis worden gestolen of aangetast. Dit kan gebeuren via een systeeminbreuk, softwareprobleem of interne bedreiging.
- Bepaalde bedrijfs- en overheidswebfilters of proxyservers hebben de mogelijkheid om verkeer te onderscheppen en vast te leggen, zelfs als het versleuteld is.
- Veel mensen gebruiken hetzelfde wachtwoord voor veel systemen, zoals werk, e-mail en persoonlijk.
- Gecompromitteerde werkstations van eindgebruikers hebben mogelijk een toetsaanslaglogger.
Ernst: Laag
Zorg ervoor dat het IAM-wachtwoordbeleid het hergebruik van wachtwoorden voorkomt
Beschrijving: IAM-wachtwoordbeleid kan het hergebruik van een bepaald wachtwoord door dezelfde gebruiker voorkomen. Het is raadzaam dat het wachtwoordbeleid het hergebruik van wachtwoorden voorkomt. Voorkomen dat wachtwoorden opnieuw worden gebruikt, verhoogt de accounttolerantie tegen beveiligingspogingen.
Ernst: Laag
Zorg ervoor dat het IAM-wachtwoordbeleid ten minste één kleine letter vereist
Beschrijving: Wachtwoordbeleid wordt gedeeltelijk gebruikt om vereisten voor wachtwoordcomplexiteit af te dwingen. IAM-wachtwoordbeleid kan worden gebruikt om ervoor te zorgen dat het wachtwoord bestaat uit verschillende tekensets. Het is raadzaam dat voor het wachtwoordbeleid ten minste één kleine letter is vereist. Het instellen van een wachtwoordcomplexiteitsbeleid verhoogt de accounttolerantie tegen brute force aanmeldingspogingen.
Ernst: gemiddeld
Zorg ervoor dat het IAM-wachtwoordbeleid ten minste één nummer vereist
Beschrijving: Wachtwoordbeleid wordt gedeeltelijk gebruikt om vereisten voor wachtwoordcomplexiteit af te dwingen. IAM-wachtwoordbeleid kan worden gebruikt om ervoor te zorgen dat het wachtwoord bestaat uit verschillende tekensets. Het is raadzaam dat voor het wachtwoordbeleid ten minste één nummer is vereist. Het instellen van een wachtwoordcomplexiteitsbeleid verhoogt de accounttolerantie tegen brute force aanmeldingspogingen.
Ernst: gemiddeld
Zorg ervoor dat het IAM-wachtwoordbeleid ten minste één symbool vereist
Beschrijving: Wachtwoordbeleid wordt gedeeltelijk gebruikt om vereisten voor wachtwoordcomplexiteit af te dwingen. IAM-wachtwoordbeleid kan worden gebruikt om ervoor te zorgen dat het wachtwoord bestaat uit verschillende tekensets. Het is raadzaam dat voor het wachtwoordbeleid ten minste één symbool is vereist. Het instellen van een wachtwoordcomplexiteitsbeleid verhoogt de accounttolerantie tegen brute force aanmeldingspogingen.
Ernst: gemiddeld
Zorg ervoor dat het IAM-wachtwoordbeleid ten minste één hoofdletter vereist
Beschrijving: Wachtwoordbeleid wordt gedeeltelijk gebruikt om vereisten voor wachtwoordcomplexiteit af te dwingen. IAM-wachtwoordbeleid kan worden gebruikt om ervoor te zorgen dat het wachtwoord bestaat uit verschillende tekensets. Het is raadzaam dat voor het wachtwoordbeleid ten minste één hoofdletter is vereist. Het instellen van een wachtwoordcomplexiteitsbeleid verhoogt de accounttolerantie tegen brute force aanmeldingspogingen.
Ernst: gemiddeld
Zorg ervoor dat het IAM-wachtwoordbeleid minimaal 14 of hoger vereist
Beschrijving: Wachtwoordbeleid wordt gedeeltelijk gebruikt om vereisten voor wachtwoordcomplexiteit af te dwingen. IAM-wachtwoordbeleid kan worden gebruikt om ervoor te zorgen dat het wachtwoord ten minste een bepaalde lengte heeft. Het is raadzaam dat het wachtwoordbeleid een minimale wachtwoordlengte '14' vereist. Het instellen van een wachtwoordcomplexiteitsbeleid verhoogt de accounttolerantie tegen brute force aanmeldingspogingen.
Ernst: gemiddeld
Zorg ervoor dat meervoudige verificatie (MFA) is ingeschakeld voor alle IAM-gebruikers met een consolewachtwoord
Beschrijving: Meervoudige verificatie (MFA) voegt een extra beveiligingslaag toe boven op een gebruikersnaam en wachtwoord. Als MFA is ingeschakeld, wordt een gebruiker, wanneer deze zich aanmeldt bij een AWS-website, gevraagd om zijn gebruikersnaam en wachtwoord, evenals om een verificatiecode van het AWS MFA-apparaat. Het is raadzaam om MFA in te schakelen voor alle accounts met een consolewachtwoord. Het inschakelen van MFA biedt meer beveiliging voor consoletoegang, omdat de verificatie-principal een apparaat heeft dat een tijdgevoelige sleutel verzendt en kennis heeft van een referentie.
Ernst: gemiddeld
GuardDuty moet zijn ingeschakeld
Beschrijving: Om extra bescherming te bieden tegen indringers, moet GuardDuty zijn ingeschakeld voor uw AWS-account en -regio. Opmerking: GuardDuty is mogelijk geen volledige oplossing voor elke omgeving.
Ernst: gemiddeld
Hardware MFA moet zijn ingeschakeld voor het hoofdaccount
Beschrijving: Het hoofdaccount is de meest bevoegde gebruiker in een account. MFA voegt een extra beveiligingslaag toe bovenop een gebruikersnaam en wachtwoord. Als MFA is ingeschakeld, wordt een gebruiker bij een AWS-website gevraagd om zijn gebruikersnaam en wachtwoord en om een verificatiecode van het AWS MFA-apparaat. Voor niveau 2 is het raadzaam om het hoofdaccount te beveiligen met een hardware-MFA. Een hardware-MFA heeft een kleiner aanvalsoppervlak dan een virtuele MFA. Een hardware-MFA lijdt bijvoorbeeld niet aan het aanvalsoppervlak dat is geïntroduceerd door de mobiele smartphone waarop een virtuele MFA zich bevindt. Het gebruik van hardware-MFA voor veel accounts kan een logistiek probleem met apparaatbeheer creëren. Als dit gebeurt, kunt u overwegen deze aanbeveling op niveau 2 selectief te implementeren op de hoogste beveiligingsaccounts. Vervolgens kunt u de aanbeveling niveau 1 toepassen op de resterende accounts.
Ernst: Laag
IAM-verificatie moet worden geconfigureerd voor RDS-clusters
Beschrijving: Met dit besturingselement wordt gecontroleerd of voor een RDS DB-cluster IAM-databaseverificatie is ingeschakeld. Met IAM-databaseverificatie is verificatie zonder wachtwoord mogelijk voor database-exemplaren. De verificatie maakt gebruik van een verificatietoken. Netwerkverkeer van en naar de database wordt versleuteld met SSL. Zie IAM-databaseverificatie in de Gebruikershandleiding voor Amazon Aurora voor meer informatie.
Ernst: gemiddeld
IAM-verificatie moet worden geconfigureerd voor RDS-exemplaren
Beschrijving: Met dit besturingselement wordt gecontroleerd of voor een RDS DB-exemplaar IAM-databaseverificatie is ingeschakeld. Met IAM-databaseverificatie is verificatie mogelijk voor database-exemplaren met een verificatietoken in plaats van een wachtwoord. Netwerkverkeer van en naar de database wordt versleuteld met SSL. Zie IAM-databaseverificatie in de Gebruikershandleiding voor Amazon Aurora voor meer informatie.
Ernst: gemiddeld
Door de IAM-klant beheerde beleidsregels mogen geen ontsleutelingsacties toestaan voor alle KMS-sleutels
Beschrijving: Controleert of de standaardversie van door de klant beheerd IAM-beleid principals toestaat om de AWS KMS-ontsleutelingsacties op alle resources te gebruiken. Dit besturingselement maakt gebruik van Zelkova, een geautomatiseerde redeneringsengine, om u te valideren en te waarschuwen over beleidsregels die brede toegang kunnen verlenen tot uw geheimen in AWS-accounts. Dit besturingselement mislukt als de acties kms:Decrypt of kms:ReEncryptFrom zijn toegestaan voor alle KMS-sleutels. Het besturingselement evalueert zowel gekoppelde als niet-gekoppelde door de klant beheerde beleidsregels. Het controleert geen inlinebeleid of door AWS beheerde beleidsregels. Met AWS KMS bepaalt u wie uw KMS-sleutels kan gebruiken en toegang kan krijgen tot uw versleutelde gegevens. IAM-beleid definieert welke acties een identiteit (gebruiker, groep of rol) kan uitvoeren op welke resources. Na aanbevolen beveiligingsprocedures raadt AWS u aan minimale bevoegdheden toe te staan. Met andere woorden, u moet alleen identiteiten verlenen aan de machtigingen kms:Decrypt of kms:ReEncryptFrom en alleen voor de sleutels die nodig zijn om een taak uit te voeren. Anders kan de gebruiker sleutels gebruiken die niet geschikt zijn voor uw gegevens. In plaats van machtigingen voor alle sleutels te verlenen, bepaalt u de minimale set sleutels die gebruikers nodig hebben voor toegang tot versleutelde gegevens. Ontwerp vervolgens beleidsregels waarmee gebruikers alleen die sleutels kunnen gebruiken. Sta bijvoorbeeld geen kms:Decrypt-machtiging toe voor alle KMS-sleutels. In plaats daarvan staat u 'kms:Ontsleutelen' alleen toe op sleutels in een bepaalde regio voor uw account. Door het principe van minimale bevoegdheden te hanteren, kunt u het risico op onbedoelde openbaarmaking van uw gegevens verminderen.
Ernst: gemiddeld
Door de IAM-klant beheerde beleidsregels die u maakt, mogen geen acties met jokertekens toestaan voor services
Beschrijving: Met dit besturingselement wordt gecontroleerd of het IAM-identiteitsbeleid dat u maakt, toestaan-instructies bevat die gebruikmaken van het jokerteken * om machtigingen te verlenen voor alle acties voor elke service. Het besturingselement mislukt als een beleidsinstructie 'Effect' bevat: 'Toestaan' met 'Actie': 'Service:*'. De volgende instructie in een beleid resulteert bijvoorbeeld in een mislukte bevindingen.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:*',
'Resource': '*'
}
Het besturingselement mislukt ook als u 'Effect' gebruikt: 'Toestaan' met 'NotAction': 'service:'. In dat geval biedt het element NotAction toegang tot alle acties in een AWS-service, met uitzondering van de acties die zijn opgegeven in NotAction. Dit besturingselement is alleen van toepassing op door de klant beheerd IAM-beleid. Dit geldt niet voor IAM-beleid dat wordt beheerd door AWS. Wanneer u machtigingen toewijst aan AWS-services, is het belangrijk dat de toegestane IAM-acties in uw IAM-beleid worden beperkt. U moet IAM-acties beperken tot alleen de acties die nodig zijn. Dit helpt u bij het inrichten van machtigingen voor minimale bevoegdheden. Te veel beleid kan leiden tot escalatie van bevoegdheden als het beleid is gekoppeld aan een IAM-principal waarvoor de machtiging mogelijk niet is vereist. In sommige gevallen wilt u mogelijk IAM-acties met een vergelijkbaar voorvoegsel toestaan, zoals DescribeFlowLogs en DescribeAvailabilityZones. In deze geautoriseerde gevallen kunt u een achtervoegsel jokerteken toevoegen aan het algemene voorvoegsel. Bijvoorbeeld ec2:Describe.
Dit besturingselement wordt doorgegeven als u een voorvoegsel IAM-actie met een achtervoegsel jokerteken gebruikt. De volgende instructie in een beleid resulteert bijvoorbeeld in een geslaagde resultaten.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:Describe*',
'Resource': '*'
}
Wanneer u gerelateerde IAM-acties op deze manier groeperen, kunt u ook voorkomen dat u de limieten voor de IAM-beleidsgrootte overschrijdt.
Ernst: Laag
IAM-beleid mag alleen worden gekoppeld aan groepen of rollen
Beschrijving: IAM-gebruikers, -groepen en -rollen hebben standaard geen toegang tot AWS-resources. IAM-beleid is de methode waarmee bevoegdheden worden verleend aan gebruikers, groepen of rollen. Het wordt aanbevolen om IAM-beleid rechtstreeks toe te passen op groepen en rollen, maar niet op gebruikers. Het toewijzen van bevoegdheden op groep- of rolniveau vermindert de complexiteit van toegangsbeheer naarmate het aantal gebruikers toeneemt. Het verminderen van de complexiteit van toegangsbeheer kan op zijn beurt de kans verminderen dat een principal onbedoeld overmatige bevoegdheden ontvangt of behoudt.
Ernst: Laag
IAM-beleid dat volledige ':'-beheerdersbevoegdheden toestaat, mag niet worden gemaakt
Beschrijving: IAM-beleid is het middel waarmee bevoegdheden worden verleend aan gebruikers, groepen of rollen. Het wordt aanbevolen en beschouwd als een standaardbeveiligingsadvies om minimale bevoegdheden te verlenen, dat wil gezegd, waarbij alleen de machtigingen worden verleend die nodig zijn om een taak uit te voeren. Bepaal wat gebruikers moeten doen en stel vervolgens beleidsregels op waarmee de gebruikers alleen die taken kunnen uitvoeren, in plaats van volledige beheerdersbevoegdheden toe te staan. Het is veiliger om te beginnen met een minimale set machtigingen en zo nodig extra machtigingen te verlenen, in plaats van te beginnen met machtigingen die te soepel zijn en ze later aan te scherpen. Als u volledige beheerdersbevoegdheden opgeeft in plaats van te beperken tot de minimale set machtigingen die de gebruiker nodig heeft om de resources bloot te stellen aan mogelijk ongewenste acties. IAM-beleid met een instructie met 'Effect': 'Toestaan' met 'Actie': '' over 'Resource': '' moet worden verwijderd.
Ernst: Hoog
IAM-principals mogen geen inline IAM-beleid hebben waarmee ontsleutelingsacties op alle KMS-sleutels zijn toegestaan
Beschrijving: Controleert of het inlinebeleid dat is ingesloten in uw IAM-identiteiten (rol, gebruiker of groep) de AWS KMS-ontsleutelingsacties op alle KMS-sleutels toestaat. Dit besturingselement maakt gebruik van Zelkova, een geautomatiseerde redeneringsengine, om u te valideren en te waarschuwen over beleidsregels die brede toegang kunnen verlenen tot uw geheimen in AWS-accounts. Dit besturingselement mislukt als acties kms:Decrypt of kms:ReEncryptFrom zijn toegestaan voor alle KMS-sleutels in een inlinebeleid. Met AWS KMS bepaalt u wie uw KMS-sleutels kan gebruiken en toegang kan krijgen tot uw versleutelde gegevens. IAM-beleid definieert welke acties een identiteit (gebruiker, groep of rol) kan uitvoeren op welke resources. Na aanbevolen beveiligingsprocedures raadt AWS u aan minimale bevoegdheden toe te staan. Met andere woorden, u moet identiteiten alleen de machtigingen verlenen die ze nodig hebben en alleen voor sleutels die nodig zijn om een taak uit te voeren. Anders kan de gebruiker sleutels gebruiken die niet geschikt zijn voor uw gegevens. In plaats van machtigingen voor alle sleutels te verlenen, bepaalt u de minimale set sleutels die gebruikers nodig hebben voor toegang tot versleutelde gegevens. Ontwerp vervolgens beleidsregels waarmee de gebruikers alleen die sleutels kunnen gebruiken. Sta bijvoorbeeld geen kms:Decrypt-machtiging toe voor alle KMS-sleutels. Sta ze in plaats daarvan alleen toe op sleutels in een bepaalde regio voor uw account. Door het principe van minimale bevoegdheden te hanteren, kunt u het risico op onbedoelde openbaarmaking van uw gegevens verminderen.
Ernst: gemiddeld
Lambda-functies moeten openbare toegang beperken
Beschrijving: Beleid op basis van resources op basis van lambda-functies moet openbare toegang beperken. Met deze aanbeveling wordt de toegang door interne principals niet gecontroleerd. Zorg ervoor dat de toegang tot de functie alleen is beperkt tot geautoriseerde principals met behulp van op resources gebaseerde beleidsregels met minimale bevoegdheden.
Ernst: Hoog
MFA moet zijn ingeschakeld voor alle IAM-gebruikers
Beschrijving: Alle IAM-gebruikers moeten meervoudige verificatie (MFA) hebben ingeschakeld.
Ernst: gemiddeld
MFA moet zijn ingeschakeld voor het hoofdaccount
Beschrijving: Het hoofdaccount is de meest bevoegde gebruiker in een account. MFA voegt een extra beveiligingslaag toe bovenop een gebruikersnaam en wachtwoord. Als MFA is ingeschakeld, wordt een gebruiker bij een AWS-website gevraagd om zijn gebruikersnaam en wachtwoord en om een verificatiecode van het AWS MFA-apparaat. Wanneer u virtuele MFA gebruikt voor hoofdaccounts, is het raadzaam dat het gebruikte apparaat geen persoonlijk apparaat is. Gebruik in plaats daarvan een speciaal mobiel apparaat (tablet of telefoon) dat u beheert om kosten in rekening te houden en te beveiligen, onafhankelijk van afzonderlijke persoonlijke apparaten. Dit vermindert de risico's van het verliezen van toegang tot de MFA vanwege apparaatverlies, het inruilen van apparaten of als de persoon die eigenaar is van het apparaat niet meer in dienst is van het bedrijf.
Ernst: Laag
Wachtwoordbeleidsregels voor IAM-gebruikers moeten sterke configuraties hebben
Beschrijving: Controleert of het wachtwoordbeleid voor het account voor IAM-gebruikers de volgende minimale configuraties gebruikt.
- RequireUppercaseCharacters- Minimaal één hoofdletter in wachtwoord vereisen. (Standaard = true)
- RequireLowercaseCharacters- Minimaal één kleine letter in wachtwoord vereisen. (Standaard = true)
- RequireNumbers- Minimaal één getal in wachtwoord vereisen. (Standaard = true)
- MinimumPasswordLength- Minimale lengte van wachtwoord. (Standaard = 7 of langer)
- PasswordReusePrevention- Aantal wachtwoorden voordat hergebruik wordt toegestaan. (Standaard = 4)
- MaxPasswordAge: het aantal dagen voordat het wachtwoord verloopt. (Standaard = 90)
Ernst: gemiddeld
De toegangssleutel van het hoofdaccount mag niet bestaan
Beschrijving: Het hoofdaccount is de meest bevoegde gebruiker in een AWS-account. AWS-toegangssleutels bieden programmatische toegang tot een bepaald AWS-account. Het wordt aanbevolen om alle toegangssleutels die aan het hoofdaccount zijn gekoppeld, te verwijderen. Als u toegangssleutels verwijdert die zijn gekoppeld aan het hoofdaccount, worden vectoren beperkt waarmee het account kan worden aangetast. Daarnaast moedigt het verwijderen van de hoofdtoegangssleutels het maken en gebruiken van accounts op basis van rollen aan die het minst bevoegd zijn.
Ernst: Hoog
De instelling S3 Openbare toegang blokkeren moet zijn ingeschakeld
Beschrijving: Het inschakelen van de instelling Openbare toegang blokkeren voor uw S3-bucket kan helpen bij het voorkomen van lekken van gevoelige gegevens en het beveiligen van uw bucket tegen schadelijke acties.
Ernst: gemiddeld
De instelling S3 Openbare toegang blokkeren moet zijn ingeschakeld op bucketniveau
Beschrijving: Met dit besturingselement wordt gecontroleerd of voor S3-buckets openbare toegangsblokken op bucketniveau zijn toegepast. Dit besturingselement mislukt als een van de volgende instellingen is ingesteld op false:
- ignorePublicAcls
- blockPublicPolicy
- blockPublicAcls
- beperk PublicBuckets Block Public Access op het niveau van de S3-bucket biedt besturingselementen om ervoor te zorgen dat objecten nooit openbare toegang hebben. Openbare toegang wordt verleend aan buckets en objecten via toegangsbeheerlijsten (ACL's), bucketbeleid of beide. Tenzij u van plan bent om uw S3-buckets openbaar toegankelijk te maken, moet u de functie Amazon S3 Openbare toegang blokkeren configureren op bucketniveau.
Ernst: Hoog
Openbare leestoegang voor S3-buckets moet worden verwijderd
Beschrijving: Als u openbare leestoegang tot uw S3-bucket verwijdert, kunt u uw gegevens beschermen en een gegevensschending voorkomen.
Ernst: Hoog
Openbare schrijftoegang voor S3-buckets moet worden verwijderd
Beschrijving: Als u openbare schrijftoegang tot uw S3-bucket toestaat, kunt u kwetsbaar zijn voor schadelijke acties, zoals het opslaan van gegevens ten koste van uw kosten, het versleutelen van uw bestanden voor losgeld of het gebruik van uw bucket om malware te gebruiken.
Ernst: Hoog
Secrets Manager-geheimen moeten automatische rotatie hebben ingeschakeld
Beschrijving: Met dit besturingselement wordt gecontroleerd of een geheim dat is opgeslagen in AWS Secrets Manager is geconfigureerd met automatische rotatie. Secrets Manager helpt u de beveiligingspostuur van uw organisatie te verbeteren. Geheimen zijn databasereferenties, wachtwoorden en API-sleutels van derden. U kunt Secrets Manager gebruiken om geheimen centraal op te slaan, geheimen automatisch te versleutelen, de toegang tot geheimen te beheren en geheimen veilig en automatisch te roteren. Secrets Manager kan geheimen draaien. U kunt rotatie gebruiken om geheimen op lange termijn te vervangen door korte termijn geheimen. Als u uw geheimen roteert, wordt beperkt hoelang een onbevoegde gebruiker een gecompromitteerd geheim kan gebruiken. Daarom moet u uw geheimen regelmatig roteren. Zie Uw AWS Secrets Manager-geheimen roteren in de gebruikershandleiding voor AWS Secrets Manager voor meer informatie over rotatie.
Ernst: gemiddeld
Gestopte EC2-exemplaren moeten na een opgegeven periode worden verwijderd
Beschrijving: Met dit besturingselement wordt gecontroleerd of ec2-exemplaren langer dan het toegestane aantal dagen zijn gestopt. Een EC2-exemplaar mislukt deze controle als deze langer wordt gestopt dan de maximaal toegestane periode, die standaard 30 dagen is. Een mislukte vaststelling geeft aan dat een EC2-exemplaar gedurende een aanzienlijke periode niet is uitgevoerd. Hierdoor ontstaat een beveiligingsrisico omdat het EC2-exemplaar niet actief wordt onderhouden (geanalyseerd, gepatcht, bijgewerkt). Als het later wordt gestart, kan het gebrek aan goed onderhoud leiden tot onverwachte problemen in uw AWS-omgeving. Als u een EC2-exemplaar na verloop van tijd veilig wilt onderhouden in een niet-uitgevoerde status, start u deze regelmatig voor onderhoud en stopt u deze na onderhoud. Idealiter is dit een geautomatiseerd proces.
Ernst: gemiddeld
Overprovisioned identiteiten van AWS mogen alleen de benodigde machtigingen hebben (preview)
Beschrijving: Een over-ingerichte actieve identiteit is een identiteit die toegang heeft tot bevoegdheden die ze niet hebben gebruikt. Met te veel ingerichte actieve identiteiten, met name voor niet-menselijke accounts met gedefinieerde acties en verantwoordelijkheden, kan de straal van de straal toenemen in het geval van een inbreuk op een gebruiker, sleutel of resource. Verwijder overbodige machtigingen en stel beoordelingsprocessen in om de minst bevoegde machtigingen te verkrijgen.
Ernst: gemiddeld
Ongebruikte identiteiten in uw AWS-omgeving moeten worden verwijderd (preview)
Beschrijving: Inactieve identiteiten zijn menselijke en niet-menselijke entiteiten die de afgelopen 90 dagen geen actie hebben uitgevoerd op een resource. Inactieve IAM-identiteiten met machtigingen met een hoog risico in uw AWS-account kunnen gevoelig zijn voor aanvallen als dit zo blijft en organisaties open laten voor misbruik van referenties of misbruik. Door proactief ongebruikte identiteiten te detecteren en erop te reageren, kunt u voorkomen dat onbevoegde entiteiten toegang krijgen tot uw AWS-resources.
Ernst: gemiddeld
Aanbevelingen voor AWS-netwerken
Amazon EC2 moet worden geconfigureerd voor het gebruik van VPC-eindpunten
Beschrijving: Met dit besturingselement wordt gecontroleerd of er een service-eindpunt voor Amazon EC2 wordt gemaakt voor elke VPC. Het besturingselement mislukt als er geen VPC-eindpunt is gemaakt voor de Amazon EC2-service. Als u de beveiligingsstatus van uw VPC wilt verbeteren, kunt u Amazon EC2 configureren voor het gebruik van een interface-VPC-eindpunt. Interface-eindpunten worden mogelijk gemaakt door AWS PrivateLink, een technologie waarmee u privé toegang hebt tot Amazon EC2 API-bewerkingen. Het beperkt al het netwerkverkeer tussen uw VPC en Amazon EC2 tot het Amazon-netwerk. Omdat eindpunten alleen in dezelfde regio worden ondersteund, kunt u geen eindpunt maken tussen een VPC en een service in een andere regio. Dit voorkomt onbedoelde AMAZON EC2 API-aanroepen naar andere regio's. Voor meer informatie over het maken van VPC-eindpunten voor Amazon EC2 raadpleegt u Amazon EC2- en interface-VPC-eindpunten in de Amazon EC2-gebruikershandleiding voor Linux-exemplaren.
Ernst: gemiddeld
Amazon ECS-services mogen geen openbare IP-adressen automatisch aan hen toewijzen
Beschrijving: Een openbaar IP-adres is een IP-adres dat bereikbaar is vanaf internet. Als u uw Amazon ECS-exemplaren met een openbaar IP-adres start, zijn uw Amazon ECS-exemplaren bereikbaar vanaf internet. Amazon ECS-services mogen niet openbaar toegankelijk zijn, omdat dit onbedoelde toegang tot uw containertoepassingsservers mogelijk toestaat.
Ernst: Hoog
Hoofdknooppunten van amazon EMR-cluster mogen geen openbare IP-adressen hebben
Beschrijving: Met dit besturingselement wordt gecontroleerd of hoofdknooppunten in Amazon EMR-clusters openbare IP-adressen hebben. Het besturingselement mislukt als het hoofdknooppunt openbare IP-adressen heeft die zijn gekoppeld aan een van de exemplaren. Openbare IP-adressen worden aangewezen in het veld PublicIp van de NetworkInterfaces-configuratie voor het exemplaar. Met dit besturingselement worden alleen Amazon EMR-clusters gecontroleerd die de status ACTIEF of WACHTEN hebben.
Ernst: Hoog
Amazon Redshift-clusters moeten gebruikmaken van verbeterde VPC-routering
Beschrijving: Met dit besturingselement wordt gecontroleerd of voor een Amazon Redshift-cluster EnhancedVpcRouting is ingeschakeld. Verbeterde VPC-routering dwingt alle COPY- en UNLOAD-verkeer tussen het cluster en de gegevensopslagplaatsen af om uw VPC te doorlopen. Vervolgens kunt u VPC-functies zoals beveiligingsgroepen en lijsten voor netwerktoegangsbeheer gebruiken om netwerkverkeer te beveiligen. U kunt ook VPC-stroomlogboeken gebruiken om netwerkverkeer te bewaken.
Ernst: Hoog
Application Load Balancer moet worden geconfigureerd om alle HTTP-aanvragen om te leiden naar HTTPS
Beschrijving: Als u versleuteling tijdens overdracht wilt afdwingen, moet u omleidingsacties met Application Load Balancers gebruiken om HTTP-aanvragen van clients om te leiden naar een HTTPS-aanvraag op poort 443.
Ernst: gemiddeld
Load balancers van toepassingen moeten worden geconfigureerd om HTTP-headers te verwijderen
Beschrijving: Dit besturingselement evalueert AWS Application Load Balancers (ALB) om ervoor te zorgen dat ze zijn geconfigureerd om ongeldige HTTP-headers te verwijderen. Het besturingselement mislukt als de waarde van routing.http.drop_invalid_header_fields.enabled is ingesteld op false. STANDAARD zijn ALBs niet geconfigureerd om ongeldige HTTP-headerwaarden te verwijderen. Als u deze headerwaarden verwijdert, worden HTTP-desynchrone aanvallen voorkomen.
Ernst: gemiddeld
Lambda-functies configureren voor een VPC
Beschrijving: Met dit besturingselement wordt gecontroleerd of een Lambda-functie zich in een VPC bevindt. De routeringsconfiguratie van het VPC-subnet wordt niet geëvalueerd om de openbare bereikbaarheid te bepalen. Houd er rekening mee dat als Lambda@Edge in het account is gevonden, dit besturingselement mislukte resultaten genereert. Als u deze bevindingen wilt voorkomen, kunt u dit besturingselement uitschakelen.
Ernst: Laag
EC2-exemplaren mogen geen openbaar IP-adres hebben
Beschrijving: Met dit besturingselement wordt gecontroleerd of EC2-exemplaren een openbaar IP-adres hebben. Het besturingselement mislukt als het veld PublicIp aanwezig is in het configuratie-item van het EC2-exemplaar. Dit besturingselement is alleen van toepassing op IPv4-adressen. Een openbaar IPv4-adres is een IP-adres dat bereikbaar is vanaf internet. Als u uw exemplaar start met een openbaar IP-adres, is uw EC2-exemplaar bereikbaar vanaf internet. Een privé-IPv4-adres is een IP-adres dat niet bereikbaar is vanaf internet. U kunt privé-IPv4-adressen gebruiken voor communicatie tussen EC2-exemplaren in dezelfde VPC of in uw verbonden privénetwerk. IPv6-adressen zijn wereldwijd uniek en zijn daarom bereikbaar vanaf internet. Voor alle subnetten is het IPv6-adresseringskenmerk echter standaard ingesteld op false. Zie IP-adressering in uw VPC in de Gebruikershandleiding voor Amazon VPC voor meer informatie over IPv6. Als u een legitieme use-case hebt voor het onderhouden van EC2-exemplaren met openbare IP-adressen, kunt u de bevindingen van dit besturingselement onderdrukken. Zie de AWS Architecture Blog of de reeks This Is My Architecture voor meer informatie over front-endarchitectuuropties.
Ernst: Hoog
EC2-exemplaren mogen niet meerdere ENI's gebruiken
Beschrijving: Met dit besturingselement wordt gecontroleerd of een EC2-exemplaar meerdere ENI's (Elastic Network Interfaces) of Elastic Fabric Adapters (EFA's) gebruikt. Dit besturingselement wordt doorgegeven als één netwerkadapter wordt gebruikt. Het besturingselement bevat een optionele parameterlijst om de toegestane ENI's te identificeren. Meerdere ENI's kunnen dubbele exemplaren veroorzaken, wat betekent dat exemplaren met meerdere subnetten. Hierdoor kunnen netwerkbeveiligingscomplexiteit worden toegevoegd en onbedoelde netwerkpaden en -toegang worden geïntroduceerd.
Ernst: Laag
EC2-exemplaren moeten IMDSv2 gebruiken
Beschrijving: Met dit besturingselement wordt gecontroleerd of de metagegevensversie van uw EC2-exemplaar is geconfigureerd met exemplaarmetagegevensservice versie 2 (IMDSv2). Het besturingselement wordt doorgegeven als HttpTokens is ingesteld op 'vereist' voor IMDSv2. Het besturingselement mislukt als 'HttpTokens' is ingesteld op 'optioneel'. U gebruikt metagegevens van exemplaren om het actieve exemplaar te configureren of te beheren. De IMDS biedt toegang tot tijdelijke, regelmatig gedraaide referenties. Deze referenties verwijderen de noodzaak om harde code te schrijven of gevoelige referenties handmatig of programmatisch te distribueren naar exemplaren. De IMDS wordt lokaal gekoppeld aan elk EC2-exemplaar. Het wordt uitgevoerd op een speciaal 'link local' IP-adres van 169.254.169.254. Dit IP-adres is alleen toegankelijk voor software die wordt uitgevoerd op het exemplaar. Versie 2 van de IMDS voegt nieuwe beveiligingen toe voor de volgende typen beveiligingsproblemen. Deze beveiligingsproblemen kunnen worden gebruikt om toegang te krijgen tot de IMDS.
- Firewalls voor websitetoepassingen openen
- Omgekeerde proxy's openen
- SSRF-beveiligingsproblemen (aanvraagvervalsing aan de serverzijde)
- Open Layer 3 firewalls en NETWORK Address Translation (NAT) Security Hub raadt u aan uw EC2-exemplaren te configureren met IMDSv2.
Ernst: Hoog
EC2-subnetten mogen niet automatisch openbare IP-adressen toewijzen
Beschrijving: Met dit besturingselement wordt gecontroleerd of de toewijzing van openbare IP-adressen in Amazon Virtual Private Cloud (Amazon VPC)-subnetten 'MapPublicIpOnLaunch' is ingesteld op 'FALSE'. Het besturingselement wordt doorgegeven als de vlag is ingesteld op ONWAAR. Alle subnetten hebben een kenmerk dat bepaalt of een netwerkinterface die in het subnet is gemaakt, automatisch een openbaar IPv4-adres ontvangt. Exemplaren die worden gestart in subnetten waarvoor dit kenmerk is ingeschakeld, hebben een openbaar IP-adres toegewezen aan hun primaire netwerkinterface.
Ernst: gemiddeld
Zorg ervoor dat er een filter en alarm voor logboekgegevens aanwezig zijn voor configuratiewijzigingen in AWS-configuratie
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor het detecteren van wijzigingen in de configuraties van CloudTrail. Het bewaken van wijzigingen in de configuratie van AWS zorgt voor een duurzame zichtbaarheid van configuratie-items binnen het AWS-account.
Ernst: Laag
Zorg ervoor dat er een metrische logboekfilter en -alarm aanwezig zijn voor verificatiefouten in de AWS Management Console
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor mislukte consoleverificatiepogingen. Het bewaken van mislukte consoleaanmeldingen kan de doorlooptijd verminderen om een poging te detecteren om een referentie te brute forceren. Dit kan een indicator bieden, zoals bron-IP, die kan worden gebruikt in een andere gebeurteniscorrelatie.
Ernst: Laag
Zorg ervoor dat er een metrische logboekfilter en -alarm aanwezig zijn voor wijzigingen in Netwerktoegangsbeheerlijsten (NACL)
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. ACL's worden gebruikt als een staatloos pakketfilter om inkomend en uitgaand verkeer voor subnetten binnen een VPC te beheren. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in ACL's. Als u wijzigingen in ACL's bewaakt, zorgt u ervoor dat AWS-resources en -services niet onbedoeld worden weergegeven.
Ernst: Laag
Zorg ervoor dat er een filter en alarm voor logboekgegevens bestaat voor wijzigingen in netwerkgateways
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Netwerkgateways zijn vereist voor het verzenden/ontvangen van verkeer naar een bestemming buiten een VPC. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in netwerkgateways. Door wijzigingen in netwerkgateways te bewaken, zorgt u ervoor dat al het inkomend/uitgaand verkeer de VPC-rand via een beheerd pad doorkruist.
Ernst: Laag
Zorg ervoor dat er een filter en alarm voor logboekgegevens aanwezig zijn voor cloudTrail-configuratiewijzigingen
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor het detecteren van wijzigingen in de configuraties van CloudTrail.
Door wijzigingen in de configuratie van CloudTrail te bewaken, zorgt u voor een duurzame zichtbaarheid van activiteiten die worden uitgevoerd in het AWS-account.
Ernst: Laag
Zorg ervoor dat er een filter en alarm voor logboekgegevens bestaat voor het uitschakelen of gepland verwijderen van door de klant gemaakte CMK's
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor door de klant gemaakte CMK's, die de status hebben gewijzigd in uitgeschakeld of gepland verwijderen. Gegevens die zijn versleuteld met uitgeschakelde of verwijderde sleutels, zijn niet meer toegankelijk.
Ernst: Laag
Zorg ervoor dat er een metrische logboekfilter en -waarschuwing bestaat voor wijzigingen in het IAM-beleid
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een filter voor metrische gegevens en waarschuwingen vast te stellen dat wijzigingen zijn aangebracht in IAM-beleid (Identity and Access Management). Door wijzigingen in IAM-beleid te controleren, blijven verificatie- en autorisatiecontroles intact.
Ernst: Laag
Zorg ervoor dat er een filter voor metrische logboekgegevens en -waarschuwingen bestaan voor aanmelding bij de Beheerconsole zonder MFA
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te laten komen voor consoleaanmeldingen die niet worden beveiligd door meervoudige verificatie (MFA). Bewaking voor aanmeldingen met één factor-console vergroot de zichtbaarheid van accounts die niet worden beveiligd door MFA.
Ernst: Laag
Zorg ervoor dat er een filter voor metrische logboekgegevens en waarschuwingen bestaan voor wijzigingen in de routetabel
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Routeringstabellen worden gebruikt om netwerkverkeer tussen subnetten en naar netwerkgateways te routeren. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor wijzigingen in routetabellen. Door wijzigingen in routetabellen te bewaken, zorgt u ervoor dat al het VPC-verkeer via een verwacht pad loopt.
Ernst: Laag
Zorg ervoor dat er een metrische logboekfilter en -waarschuwing bestaat voor wijzigingen in het S3-bucketbeleid
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in S3-bucketbeleid. Het bewaken van wijzigingen in S3-bucketbeleid kan de tijd verminderen om machtigingen voor gevoelige S3-buckets te detecteren en te corrigeren.
Ernst: Laag
Zorg ervoor dat er een metrische logboekfilter en -waarschuwing bestaat voor wijzigingen in de beveiligingsgroep
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Beveiligingsgroepen zijn een stateful pakketfilter waarmee inkomend en uitgaand verkeer binnen een VPC wordt bepaald. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen in wijzigingen in beveiligingsgroepen. Door wijzigingen in de beveiligingsgroep te bewaken, zorgt u ervoor dat resources en services niet per ongeluk worden weergegeven.
Ernst: Laag
Zorg ervoor dat er een filter en alarm voor logboekgegevens bestaat voor niet-geautoriseerde API-aanroepen
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor niet-geautoriseerde API-aanroepen. Het bewaken van niet-geautoriseerde API-aanroepen helpt toepassingsfouten te onthullen en kan de tijd verminderen om schadelijke activiteiten te detecteren.
Ernst: Laag
Zorg ervoor dat er een filter voor metrische logboekgegevens en -waarschuwingen bestaan voor het gebruik van 'root'-account
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het wordt aanbevolen om een metrische filter en alarm vast te stellen voor aanmeldingspogingen in de hoofdmap.
Bewaking voor aanmeldingen van hoofdaccounts biedt inzicht in het gebruik van een volledig bevoegd account en een mogelijkheid om het gebruik ervan te verminderen.
Ernst: Laag
Zorg ervoor dat er een filter voor metrische logboekgegevens en -waarschuwingen bestaan voor VPC-wijzigingen
Beschrijving: Realtime bewaking van API-aanroepen kan worden bereikt door CloudTrail-logboeken naar CloudWatch-logboeken te leiden en bijbehorende metrische filters en waarschuwingen tot stand te brengen. Het is mogelijk om meer dan één VPC binnen een account te hebben, daarnaast is het ook mogelijk om een peerverbinding te maken tussen 2 VPN's, waardoor netwerkverkeer tussen VPN's kan worden gerouteerd. Het wordt aanbevolen om een metrische filter en waarschuwing tot stand te brengen voor wijzigingen in VPN's. Door wijzigingen in IAM-beleid te controleren, blijven verificatie- en autorisatiecontroles intact.
Ernst: Laag
Zorg ervoor dat geen beveiligingsgroepen inkomend verkeer van 0.0.0.0/0 naar poort 3389 toestaan
Beschrijving: Beveiligingsgroepen bieden stateful filtering van inkomend/uitgaand netwerkverkeer naar AWS-resources. Het wordt aanbevolen dat geen beveiligingsgroep onbeperkte toegang tot inkomend verkeer toestaat op poort 3389. Als u niet-verbonden connectiviteit met externe consoleservices, zoals RDP, verwijdert, vermindert u de blootstelling van een server aan risico's.
Ernst: Hoog
RDS-databases en -clusters mogen geen standaardpoort voor de database-engine gebruiken
Beschrijving: Met dit besturingselement wordt gecontroleerd of het RDS-cluster of -exemplaar een andere poort gebruikt dan de standaardpoort van de database-engine. Als u een bekende poort gebruikt om een RDS-cluster of -exemplaar te implementeren, kan een aanvaller informatie over het cluster of exemplaar raden. De aanvaller kan deze informatie gebruiken in combinatie met andere informatie om verbinding te maken met een RDS-cluster of -exemplaar of om aanvullende informatie over uw toepassing te verkrijgen. Wanneer u de poort wijzigt, moet u ook de bestaande verbindingsreeks s bijwerken die zijn gebruikt om verbinding te maken met de oude poort. Controleer ook de beveiligingsgroep van het DB-exemplaar om ervoor te zorgen dat deze een regel voor inkomend verkeer bevat die connectiviteit op de nieuwe poort toestaat.
Ernst: Laag
RDS-exemplaren moeten worden geïmplementeerd in een VPC
Beschrijving: VPN's bieden een aantal netwerkbesturingselementen om de toegang tot RDS-resources te beveiligen. Deze besturingselementen omvatten VPC-eindpunten, netwerk-ACL's en beveiligingsgroepen. Als u wilt profiteren van deze besturingselementen, raden we u aan ec2-klassieke RDS-exemplaren te verplaatsen naar EC2-VPC.
Ernst: Laag
S3-buckets moeten aanvragen vereisen voor het gebruik van Secure Socket Layer
Beschrijving: Het is raadzaam aanvragen te vereisen voor het gebruik van SECURE Socket Layer (SSL) in alle Amazon S3-buckets. S3-buckets moeten beleidsregels hebben waarvoor alle aanvragen zijn vereist ('Actie: S3:*') om alleen overdracht van gegevens via HTTPS te accepteren in het S3-resourcebeleid, aangegeven met de voorwaardesleutel 'aws:SecureTransport'.
Ernst: gemiddeld
Beveiligingsgroepen mogen inkomend verkeer van 0.0.0.0/0 naar poort 22 niet toestaan
Beschrijving: Om de blootstelling van de server te verminderen, is het raadzaam om onbeperkte toegang tot inkomend verkeer naar poort 22 niet toe te staan.
Ernst: Hoog
Beveiligingsgroepen mogen geen onbeperkte toegang tot poorten met een hoog risico toestaan
Beschrijving: Met dit besturingselement wordt gecontroleerd of onbeperkt binnenkomend verkeer voor de beveiligingsgroepen toegankelijk is voor de opgegeven poorten met het hoogste risico. Dit besturingselement wordt doorgegeven wanneer geen van de regels in een beveiligingsgroep inkomend verkeer toestaat van 0.0.0.0/0 voor die poorten. Onbeperkte toegang (0.0.0.0.0/0) verhoogt de kansen voor schadelijke activiteiten, zoals hacken, denial-of-service-aanvallen en verlies van gegevens. Beveiligingsgroepen bieden stateful filtering van inkomend en uitgaand netwerkverkeer naar AWS-resources. Er mag geen beveiligingsgroep onbeperkte toegang tot inkomend verkeer toestaan tot de volgende poorten:
- 3389 (RDP)
- 20, 21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 110 (POP3)
- 143 (IMAP)
- 3306 (MySQL)
- 8080 (proxy)
- 1433, 1434 (MSSQL)
- 9200 of 9300 (Elasticsearch)
- 5601 (Kibana)
- 25 (SMTP)
- 445 (CIFS)
- 135 (RPC)
- 4333 (ahsp)
- 5432 (postgresql)
- 5500 (fcp-addr-srvr1)
Ernst: gemiddeld
Beveiligingsgroepen mogen alleen onbeperkt binnenkomend verkeer toestaan voor geautoriseerde poorten
Beschrijving: Met dit besturingselement wordt gecontroleerd of de beveiligingsgroepen die in gebruik zijn onbeperkt binnenkomend verkeer toestaan. Optioneel controleert de regel of de poortnummers worden vermeld in de parameter 'authorizedTcpPorts'.
- Als het poortnummer van de beveiligingsgroepsregel onbeperkt binnenkomend verkeer toestaat, maar het poortnummer is opgegeven in 'authorizedTcpPorts', wordt het besturingselement doorgegeven. De standaardwaarde voor 'authorizedTcpPorts' is 80, 443.
- Als het poortnummer van de beveiligingsgroepsregel onbeperkt binnenkomend verkeer toestaat, maar het poortnummer niet is opgegeven in de invoerparameter authorizedTcpPorts, mislukt het besturingselement.
- Als de parameter niet wordt gebruikt, mislukt het besturingselement voor een beveiligingsgroep met een onbeperkte regel voor binnenkomend verkeer. Beveiligingsgroepen bieden stateful filtering van inkomend en uitgaand netwerkverkeer naar AWS. Beveiligingsgroepsregels moeten voldoen aan het principe van minimale bevoegde toegang. Onbeperkte toegang (IP-adres met achtervoegsel /0) verhoogt de kans op schadelijke activiteiten, zoals hacken, denial-of-service-aanvallen en verlies van gegevens. Tenzij een poort specifiek is toegestaan, moet de poort onbeperkte toegang weigeren.
Ernst: Hoog
Ongebruikte EC2-EOPS moeten worden verwijderd
Beschrijving: Elastische IP-adressen die zijn toegewezen aan een VPC, moeten worden gekoppeld aan Amazon EC2-exemplaren of in-use elastische netwerkinterfaces (ENI's).
Ernst: Laag
Ongebruikte lijsten voor netwerktoegangsbeheer moeten worden verwijderd
Beschrijving: Met dit besturingselement wordt gecontroleerd of er ongebruikte netwerktoegangsbeheerlijsten (ACL's) zijn. Het besturingselement controleert de itemconfiguratie van de resource AWS::EC2::NetworkAcl en bepaalt de relaties van de netwerk-ACL. Als de enige relatie de VPC van de netwerk-ACL is, mislukt het besturingselement. Als er andere relaties worden weergegeven, wordt het besturingselement doorgegeven.
Ernst: Laag
De standaardbeveiligingsgroep van VPC moet al het verkeer beperken
Beschrijving: Beveiligingsgroep moet al het verkeer beperken om de blootstelling aan resources te verminderen.
Ernst: Laag