Zalecenia dotyczące zabezpieczeń dla zasobów usług Amazon Web Services (AWS)
W tym artykule wymieniono wszystkie zalecenia, które można zobaczyć w Microsoft Defender dla Chmury, jeśli połączysz konto usług Amazon Web Services (AWS) przy użyciu strony Ustawienia środowiska. Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji.
Aby dowiedzieć się więcej o akcjach, które można wykonać w odpowiedzi na te zalecenia, zobacz Korygowanie zaleceń w Defender dla Chmury.
Wskaźnik bezpieczeństwa jest oparty na liczbie ukończonych zaleceń dotyczących zabezpieczeń. Aby zdecydować, które zalecenia należy rozwiązać jako pierwsze, przyjrzyj się ważności poszczególnych rekomendacji i jej potencjalnemu wpływowi na wskaźnik bezpieczeństwa.
Zalecenia dotyczące usług AWS Compute
Wystąpienia usługi Amazon EC2 zarządzane przez program Systems Manager powinny mieć stan zgodności poprawek ZGODNY po zainstalowaniu poprawki
Opis: Ta kontrola sprawdza, czy stan zgodności zgodności z poprawkami programu Amazon EC2 Systems Manager jest zgodny, czy NON_COMPLIANT po zainstalowaniu poprawki w wystąpieniu. Sprawdza tylko wystąpienia zarządzane przez menedżera poprawek programu AWS Systems Manager. Nie sprawdza, czy poprawka została zastosowana w ramach 30-dniowego limitu określonego przez wymaganie PCI DSS "6.2". Nie sprawdza również, czy zastosowane poprawki zostały sklasyfikowane jako poprawki zabezpieczeń. Należy utworzyć grupy poprawek z odpowiednimi ustawieniami punktu odniesienia i upewnić się, że systemy w zakresie są zarządzane przez te grupy poprawek w Menedżerze systemów. Aby uzyskać więcej informacji na temat grup poprawek, zobacz AwS Systems Manager User Guide (Podręcznik użytkownika programu AWS Systems Manager).
Ważność: średni rozmiar
System Amazon EFS powinien być skonfigurowany do szyfrowania danych plików magazynowanych przy użyciu usługi AWS KMS
Opis: Ta kontrolka sprawdza, czy system plików Amazon Elastic File System jest skonfigurowany do szyfrowania danych plików przy użyciu usługi AWS KMS. Sprawdzanie kończy się niepowodzeniem w następujących przypadkach: *"Encrypted" jest ustawiona na wartość "false" w odpowiedzi DescribeFileSystems. Klucz "KmsKeyId" w odpowiedzi DescribeFileSystems nie jest zgodny z parametrem KmsKeyId dla funkcji efs-encrypted-check. Należy pamiętać, że ta kontrolka nie używa parametru "KmsKeyId" dla funkcji efs-encrypted-check. Sprawdza tylko wartość "Encrypted". W przypadku dodatkowej warstwy zabezpieczeń poufnych danych w systemie Amazon EFS należy utworzyć zaszyfrowane systemy plików. System Amazon EFS obsługuje szyfrowanie dla magazynowanych systemów plików. Szyfrowanie danych magazynowanych można włączyć podczas tworzenia systemu plików Amazon EFS. Aby dowiedzieć się więcej na temat szyfrowania Amazon EFS, zobacz Szyfrowanie danych w systemie Amazon EFS w podręczniku użytkownika systemu plików Amazon Elastic.
Ważność: średni rozmiar
Woluminy amazon EFS powinny znajdować się w planach tworzenia kopii zapasowych
Opis: Ta kontrolka sprawdza, czy systemy plików Amazon Elastic File System (Amazon EFS) są dodawane do planów tworzenia kopii zapasowych w usłudze AWS Backup. Kontrola kończy się niepowodzeniem, jeśli systemy plików Amazon EFS nie są uwzględnione w planach tworzenia kopii zapasowych. Uwzględnienie systemów plików EFS w planach tworzenia kopii zapasowych pomaga chronić dane przed usunięciem i utratą danych.
Ważność: średni rozmiar
Należy włączyć ochronę usuwania modułu równoważenia obciążenia aplikacji
Opis: Ta kontrolka sprawdza, czy usługa Application Load Balancer ma włączoną ochronę usuwania. Kontrolka kończy się niepowodzeniem, jeśli ochrona przed usunięciem nie jest skonfigurowana. Włącz ochronę przed usuwaniem, aby chronić moduł równoważenia obciążenia aplikacji przed usunięciem.
Ważność: średni rozmiar
Automatyczne skalowanie grup skojarzonych z modułem równoważenia obciążenia powinno używać kontroli kondycji
Opis: Automatyczne skalowanie grup skojarzonych z modułem równoważenia obciążenia korzysta z kontroli kondycji elastycznego równoważenia obciążenia. PCI DSS nie wymaga równoważenia obciążenia ani konfiguracji o wysokiej dostępności. Jest to zalecane przez najlepsze rozwiązania dotyczące platformy AWS.
Ważność: Niska
Konta platformy AWS powinny mieć włączoną automatyczną aprowizację usługi Azure Arc
Opis: Aby uzyskać pełną widoczność zawartości zabezpieczeń z usługi Microsoft Defender dla serwerów, wystąpienia usługi EC2 powinny być połączone z usługą Azure Arc. Aby upewnić się, że wszystkie kwalifikujące się wystąpienia usługi EC2 automatycznie otrzymają usługę Azure Arc, włącz automatyczne aprowizowanie z Defender dla Chmury na poziomie konta platformy AWS. Dowiedz się więcej o usługach Azure Arc i Microsoft Defender for Servers.
Ważność: Wysoka
Dystrybucje usługi CloudFront powinny mieć skonfigurowane tryb failover źródła
Opis: Ta kontrolka sprawdza, czy dystrybucja usługi Amazon CloudFront jest skonfigurowana z grupą pochodzenia, która ma co najmniej dwa źródła. Tryb failover źródła usługi CloudFront może zwiększyć dostępność. Tryb failover źródła automatycznie przekierowuje ruch do pomocniczego źródła, jeśli źródło podstawowe jest niedostępne lub zwraca określone kody stanu odpowiedzi HTTP.
Ważność: średni rozmiar
Adresy URL repozytorium źródłowego Repozytorium GitHub lub Bitbucket powinny używać protokołu OAuth
Opis: Ta kontrolka sprawdza, czy adres URL źródłowego repozytorium GitHub lub Bitbucket zawiera osobiste tokeny dostępu lub nazwę użytkownika i hasło. Poświadczenia uwierzytelniania nigdy nie powinny być przechowywane ani przesyłane w postaci zwykłego tekstu ani pojawiać się w adresie URL repozytorium. Zamiast osobistych tokenów dostępu lub nazwy użytkownika i hasła należy użyć protokołu OAuth, aby udzielić autoryzacji na potrzeby uzyskiwania dostępu do repozytoriów GitHub lub Bitbucket. Użycie osobistych tokenów dostępu lub nazwy użytkownika i hasła może spowodować uwidocznienie poświadczeń niezamierzonym narażeniu danych i nieautoryzowanemu dostępowi.
Ważność: Wysoka
Zmienne środowiskowe projektu CodeBuild nie powinny zawierać poświadczeń
Opis: Ta kontrolka sprawdza, czy projekt zawiera zmienne środowiskowe AWS_ACCESS_KEY_ID i AWS_SECRET_ACCESS_KEY.
Poświadczenia AWS_ACCESS_KEY_ID uwierzytelniania i AWS_SECRET_ACCESS_KEY nigdy nie powinny być przechowywane w postaci zwykłego tekstu, ponieważ może to prowadzić do niezamierzonego ujawnienia danych i nieautoryzowanego dostępu.
Ważność: Wysoka
Klastry akceleratora bazy danych DynamoDB (DAX) powinny być szyfrowane w spoczynku
Opis: Ta kontrolka sprawdza, czy klaster języka DAX jest zaszyfrowany w spoczynku. Szyfrowanie danych magazynowanych zmniejsza ryzyko, że dane przechowywane na dysku są dostępne przez użytkownika nieuwierzytelnionego na platformie AWS. Szyfrowanie dodaje kolejny zestaw kontroli dostępu, aby ograniczyć możliwość nieautoryzowanego dostępu użytkowników do danych. Na przykład uprawnienia interfejsu API są wymagane do odszyfrowywania danych, zanim będzie można je odczytać.
Ważność: średni rozmiar
Tabele bazy danych DynamoDB powinny automatycznie skalować pojemność z zapotrzebowaniem
Opis: Ta kontrolka sprawdza, czy tabela Amazon DynamoDB może skalować pojemność odczytu i zapisu zgodnie z potrzebami. Ta kontrolka przechodzi, jeśli w tabeli jest używany tryb pojemności na żądanie lub tryb aprowizacji ze skonfigurowanym automatycznym skalowaniem. Skalowanie pojemności z zapotrzebowaniem pozwala uniknąć wyjątków ograniczania przepustowości, co pomaga zachować dostępność aplikacji.
Ważność: średni rozmiar
Wystąpienia usługi EC2 powinny być połączone z usługą Azure Arc
Opis: Połączenie wystąpienia usługi EC2 do usługi Azure Arc, aby zapewnić pełną widoczność zawartości zabezpieczeń usługi Microsoft Defender for Servers. Dowiedz się więcej o usłudze Azure Arc i usłudze Microsoft Defender dla serwerów w środowisku chmury hybrydowej.
Ważność: Wysoka
Wystąpienia USŁUGI EC2 powinny być zarządzane przez menedżera systemów AWS
Opis: Stan zgodności poprawek menedżera systemów Amazon EC2 to "ZGODNE" lub "NON_COMPLIANT" po instalacji poprawek w wystąpieniu. Sprawdzane są tylko wystąpienia zarządzane przez menedżera poprawek programu AWS Systems Manager. Poprawki, które zostały zastosowane w limicie 30-dniowym określonym przez wymaganie PCI DSS "6", nie są sprawdzane.
Ważność: średni rozmiar
Problemy z konfiguracją usługi EDR należy rozwiązać w usłudze EC2s
Opis: Aby chronić maszyny wirtualne przed najnowszymi zagrożeniami i lukami w zabezpieczeniach, rozwiąż wszystkie zidentyfikowane problemy z konfiguracją zainstalowanego rozwiązania wykrywania i reagowania na punkty końcowe (EDR).
Uwaga: obecnie to zalecenie dotyczy tylko zasobów z włączonym Ochrona punktu końcowego w usłudze Microsoft Defender (MDE).
Ważność: Wysoka
Rozwiązanie EDR powinno być zainstalowane w usłudze EC2s
Opis: Aby chronić usługi EC2, zainstaluj rozwiązanie Do wykrywania i reagowania na punkty końcowe (EDR). EDR pomagają zapobiegać, wykrywać, badać i reagować na zaawansowane zagrożenia. Wdrażanie Ochrona punktu końcowego w usłudze Microsoft Defender za pomocą usługi Microsoft Defender dla serwerów. Jeśli zasób jest klasyfikowany jako "W złej kondycji", nie ma zainstalowanego obsługiwanego rozwiązania EDR. Jeśli masz zainstalowane rozwiązanie EDR, które nie jest wykrywalne przez to zalecenie, możesz je wykluczyć.
Ważność: Wysoka
Wystąpienia zarządzane przez menedżera systemów powinny mieć stan zgodności skojarzenia ZGODNY
Opis: Ta kontrola sprawdza, czy stan zgodności skojarzenia programu AWS Systems Manager jest zgodny, czy NON_COMPLIANT po uruchomieniu skojarzenia w wystąpieniu. Kontrolka przechodzi, jeśli stan zgodności skojarzenia to ZGODNE. Skojarzenie programu State Manager to konfiguracja przypisana do wystąpień zarządzanych. Konfiguracja definiuje stan, który ma być utrzymywany w wystąpieniach. Na przykład skojarzenie może określać, że oprogramowanie antywirusowe musi być zainstalowane i uruchomione na wystąpieniach lub że niektóre porty muszą być zamknięte. Po utworzeniu co najmniej jednego skojarzenia programu State Manager informacje o stanie zgodności są natychmiast dostępne w konsoli programu lub w odpowiedzi na polecenia interfejsu wiersza polecenia platformy AWS lub odpowiednie operacje interfejsu API programu Systems Manager. W przypadku skojarzeń zgodność "Konfiguracja" pokazuje stany Zgodne lub Niezgodne oraz poziom ważności przypisany do skojarzenia, taki jak Krytyczny lub Średni. Aby dowiedzieć się więcej na temat zgodności skojarzeń programu State Manager, zobacz About State Manager association compliance (Informacje o zgodności skojarzeń programu State Manager) w podręczniku użytkownika programu AWS Systems Manager. Należy skonfigurować wystąpienia usługi EC2 w zakresie dla skojarzenia menedżera systemów. Należy również skonfigurować punkt odniesienia poprawek dla oceny zabezpieczeń dostawcy poprawek i ustawić datę automatycznego stosowania zgodnie z wymaganiami PCI DSS 3.2.1 6.2. Aby uzyskać więcej wskazówek dotyczących tworzenia skojarzenia, zobacz Tworzenie skojarzenia w podręczniku użytkownika programu AWS Systems Manager. Aby uzyskać więcej informacji na temat pracy z stosowaniem poprawek w programie Systems Manager, zobacz AwS Systems Manager Patch Manager w podręczniku użytkownika programu AWS Systems Manager.
Ważność: Niska
Funkcje lambda powinny mieć skonfigurowaną kolejkę utraconych komunikatów
Opis: Ta kontrolka sprawdza, czy funkcja lambda jest skonfigurowana przy użyciu kolejki utraconych komunikatów. Kontrolka kończy się niepowodzeniem, jeśli funkcja Lambda nie jest skonfigurowana z kolejką utraconych komunikatów. Alternatywą dla miejsca docelowego awarii jest skonfigurowanie funkcji z kolejką utraconych komunikatów w celu zapisania odrzuconych zdarzeń w celu dalszego przetwarzania. Kolejka utraconych komunikatów działa tak samo jak miejsce docelowe awarii. Jest używany, gdy zdarzenie zakończy się niepowodzeniem, wszystkie próby przetwarzania lub wygaśnie bez przetwarzania. Kolejka utraconych komunikatów pozwala spojrzeć wstecz na błędy lub nieudane żądania do funkcji Lambda w celu debugowania lub identyfikowania nietypowego zachowania. Z punktu widzenia zabezpieczeń ważne jest, aby zrozumieć, dlaczego funkcja nie powiodła się, i upewnić się, że funkcja nie usuwa danych ani nie narusza zabezpieczeń danych w wyniku. Jeśli na przykład funkcja nie może komunikować się z zasobem bazowym, może to być objaw ataku typu "odmowa usługi" (DoS) w innym miejscu w sieci.
Ważność: średni rozmiar
Funkcje lambda powinny używać obsługiwanych środowisk uruchomieniowych
Opis: Ta kontrolka sprawdza, czy ustawienia funkcji lambda dla środowisk uruchomieniowych są zgodne z oczekiwanymi wartościami ustawionymi dla obsługiwanych środowisk uruchomieniowych dla każdego języka. Ta kontrolka sprawdza następujące środowiska uruchomieniowe: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1lambda runtimes są tworzone w ramach kombinacji systemów operacyjnych, języka programowania i bibliotek oprogramowania, które podlegają konserwacji i aktualizacjom zabezpieczeń. Gdy składnik środowiska uruchomieniowego nie jest już obsługiwany w przypadku aktualizacji zabezpieczeń, lambda oznacza przestarzałe środowisko uruchomieniowe. Mimo że nie można tworzyć funkcji używających przestarzałego środowiska uruchomieniowego, funkcja jest nadal dostępna do przetwarzania zdarzeń wywołania. Upewnij się, że funkcje lambda są aktualne i nie używaj nieaktualnych środowisk środowiska uruchomieniowego. Aby dowiedzieć się więcej o obsługiwanych środowiskach uruchomieniowych sprawdzanych przez tę kontrolę w obsługiwanych językach, zobacz AwS Lambda runtimes (Środowiska uruchomieniowe lambda platformy AWS) w przewodniku dewelopera usługi AWS Lambda.
Ważność: średni rozmiar
Porty zarządzania wystąpień usługi EC2 powinny być chronione za pomocą kontroli dostępu do sieci just in time
Opis: Microsoft Defender dla Chmury zidentyfikowano pewne nadmiernie permissywne reguły ruchu przychodzącego dla portów zarządzania w sieci. Włącz kontrolę dostępu just in time, aby chronić wystąpienia przed atakami siłowymi opartymi na Internecie. Dowiedz się więcej.
Ważność: Wysoka
Należy usunąć nieużywane grupy zabezpieczeń USŁUGI EC2
Opis: Grupy zabezpieczeń powinny być dołączone do wystąpień usługi Amazon EC2 lub do ENI. Znalezienie dobrej kondycji może wskazywać, że istnieją nieużywane grupy zabezpieczeń Amazon EC2.
Ważność: Niska
Zalecenia dotyczące kontenera platformy AWS
[Wersja zapoznawcza] Obrazy kontenerów w rejestrze platformy AWS powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Opis: Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowe wyniki dla każdego zeskanowanego obrazu. Skanowanie i korygowanie luk w zabezpieczeniach obrazów kontenerów w rejestrze pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń związanych z bezpieczeństwem i zapewnia zgodność ze standardami branżowymi.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach
[Wersja zapoznawcza] Kontenery uruchomione na platformie AWS powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Opis: Defender dla Chmury tworzy spis wszystkich obciążeń kontenerów aktualnie uruchomionych w klastrach Kubernetes i udostępnia raporty luk w zabezpieczeniach dla tych obciążeń, pasując do używanych obrazów i raportów o lukach w zabezpieczeniach utworzonych dla obrazów rejestru. Skanowanie i korygowanie luk w zabezpieczeniach obciążeń kontenerów ma kluczowe znaczenie dla zapewnienia niezawodnego i bezpiecznego łańcucha dostaw oprogramowania, zmniejszenia ryzyka zdarzeń bezpieczeństwa i zapewnienia zgodności ze standardami branżowymi.
Ważność: Wysoka
Typ: Ocena luk w zabezpieczeniach
Klastry EKS powinny przyznać wymagane uprawnienia platformy AWS do Microsoft Defender dla Chmury
Opis: Usługa Microsoft Defender for Containers zapewnia ochronę klastrów EKS. Aby monitorować klaster pod kątem luk w zabezpieczeniach i zagrożeń, usługa Defender for Containers potrzebuje uprawnień dla konta platformy AWS. Te uprawnienia służą do włączania rejestrowania płaszczyzny sterowania kubernetes w klastrze i ustanawiania niezawodnego potoku między klastrem a zapleczem Defender dla Chmury w chmurze. Dowiedz się więcej o funkcjach zabezpieczeń Microsoft Defender dla Chmury dla środowisk konteneryzowanych.
Ważność: Wysoka
Klastry EKS powinny mieć zainstalowane rozszerzenie usługi Microsoft Defender dla usługi Azure Arc
Opis: Rozszerzenie klastra usługi Microsoft Defender zapewnia możliwości zabezpieczeń klastrów EKS. Rozszerzenie zbiera dane z klastra i jego węzłów w celu identyfikowania luk w zabezpieczeniach i zagrożeń. Rozszerzenie współpracuje z platformą Kubernetes z obsługą usługi Azure Arc. Dowiedz się więcej o funkcjach zabezpieczeń Microsoft Defender dla Chmury dla środowisk konteneryzowanych.
Ważność: Wysoka
Usługa Microsoft Defender for Containers powinna być włączona w łącznikach platformy AWS
Opis: Usługa Microsoft Defender for Containers zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla środowisk konteneryzowanych i generuje alerty dotyczące podejrzanych działań. Te informacje umożliwiają wzmocnienie zabezpieczeń klastrów Kubernetes i korygowanie problemów z zabezpieczeniami.
Ważne: po włączeniu usługi Microsoft Defender for Containers i wdrożeniu usługi Azure Arc w klastrach EKS rozpocznie się ochrona — i opłaty . Jeśli usługa Azure Arc nie zostanie wdrożona w klastrze, usługa Defender for Containers nie będzie jej chronić i nie będą naliczane żadne opłaty za ten plan usługi Microsoft Defender dla tego klastra.
Ważność: Wysoka
Zalecenia dotyczące płaszczyzny danych
Wszystkie zalecenia dotyczące zabezpieczeń płaszczyzny danych platformy Kubernetes są obsługiwane dla platformy AWS po włączeniu usługi Azure Policy dla platformy Kubernetes.
Zalecenia dotyczące danych platformy AWS
Klastry Amazon Aurora powinny mieć włączone wycofywanie
Opis: Ta kontrolka sprawdza, czy klastry Amazon Aurora mają włączone wycofywanie. Kopie zapasowe ułatwiają szybsze odzyskiwanie po zdarzeniu zabezpieczeń. Wzmacniają one również odporność systemów. Wycofywanie aurora skraca czas odzyskiwania bazy danych do punktu w czasie. Nie wymaga to przywrócenia bazy danych. Aby uzyskać więcej informacji na temat wycofywania w programie Aurora, zobacz Backtracking an Aurora DB cluster in the Amazon Aurora User Guide (Wycofywanie klastra Aurora DB w podręczniku użytkownika amazon Aurora).
Ważność: średni rozmiar
Migawki amazon EBS nie powinny być publicznie przywracane
Opis: Migawki amazon EBS nie powinny być publicznie przywracane przez wszystkich, chyba że jawnie dozwolone, aby uniknąć przypadkowego ujawnienia danych. Ponadto uprawnienia do zmiany konfiguracji usługi Amazon EBS powinny być ograniczone tylko do autoryzowanych kont platformy AWS.
Ważność: Wysoka
Definicje zadań usługi Amazon ECS powinny mieć bezpieczne tryby sieciowe i definicje użytkowników
Opis: Ta kontrolka sprawdza, czy aktywna definicja zadania usługi Amazon ECS, która ma tryb sieci hosta, ma również definicje kontenera uprzywilejowanego lub użytkownika. Kontrolka kończy się niepowodzeniem dla definicji zadań, które mają tryb sieciowy hosta i definicje kontenera, w których privileged=false lub jest pusty, a user=root lub jest pusty. Jeśli definicja zadania ma podwyższony poziom uprawnień, jest to spowodowane tym, że klient zdecydował się na wykonanie tej konfiguracji. Ta kontrolka sprawdza nieoczekiwaną eskalację uprawnień, gdy definicja zadania ma włączoną sieć hosta, ale klient nie zdecydował się na podniesienie uprawnień.
Ważność: Wysoka
Domeny usługi Amazon Elasticsearch Service powinny szyfrować dane wysyłane między węzłami
Opis: Ta kontrolka sprawdza, czy domeny Amazon ES mają włączone szyfrowanie typu node-to-node. Protokół HTTPS (TLS) może służyć do zapobiegania podsłuchiwanie potencjalnych osób atakujących lub manipulowanie ruchem sieciowym przy użyciu ataków typu person-in-the-middle lub podobnych. Dozwolone powinny być tylko szyfrowane połączenia za pośrednictwem protokołu HTTPS (TLS). Włączenie szyfrowania węzła do węzła dla domen Amazon ES gwarantuje, że komunikacja wewnątrz klastra jest szyfrowana podczas przesyłania. Może istnieć kara za wydajność skojarzona z tą konfiguracją. Przed włączeniem tej opcji należy pamiętać i przetestować kompromis wydajności.
Ważność: średni rozmiar
Domeny usługi Amazon Elasticsearch Service powinny mieć włączone szyfrowanie magazynowane
Opis: Ważne jest, aby umożliwić szyfrowanie pozostałym domenom Amazon ES w celu ochrony poufnych danych
Ważność: średni rozmiar
Baza danych usługi Amazon RDS powinna być szyfrowana przy użyciu klucza zarządzanego przez klienta
Opis: Ta kontrola identyfikuje bazy danych usług pulpitu zdalnego, które są szyfrowane przy użyciu domyślnych kluczy usługi KMS, a nie z kluczami zarządzanymi przez klienta. W ramach wiodącej praktyki użyj kluczy zarządzanych przez klienta, aby zaszyfrować dane w bazach danych usług pulpitu zdalnego i zachować kontrolę nad kluczami i danymi w poufnych obciążeniach.
Ważność: średni rozmiar
Wystąpienie usługi Amazon RDS powinno być skonfigurowane z ustawieniami automatycznej kopii zapasowej
Opis: Ta kontrola identyfikuje wystąpienia usług pulpitu zdalnego, które nie są ustawiane przy użyciu ustawienia automatycznego tworzenia kopii zapasowej. Jeśli automatyczne tworzenie kopii zapasowej jest ustawione, rdS tworzy migawkę woluminu magazynu wystąpienia bazy danych, tworząc kopię zapasową całego wystąpienia bazy danych, a nie tylko pojedyncze bazy danych, które zapewniają odzyskiwanie do punktu w czasie. Automatyczne tworzenie kopii zapasowej odbywa się w określonym przedziale czasu tworzenia kopii zapasowej i przechowuje kopie zapasowe przez ograniczony okres, zgodnie z definicją w okresie przechowywania. Zaleca się ustawienie automatycznych kopii zapasowych dla krytycznych serwerów usług pulpitu zdalnego, które ułatwiają proces przywracania danych.
Ważność: średni rozmiar
Klastry Amazon Redshift powinny mieć włączone rejestrowanie inspekcji
Opis: Ta kontrolka sprawdza, czy klaster Amazon Redshift ma włączone rejestrowanie inspekcji. Rejestrowanie inspekcji amazon Redshift zawiera dodatkowe informacje o połączeniach i działaniach użytkowników w klastrze. Te dane mogą być przechowywane i zabezpieczone w usłudze Amazon S3 i mogą być pomocne w inspekcjach zabezpieczeń i badaniach. Aby uzyskać więcej informacji, zobacz Rejestrowanie inspekcji bazy danych w Przewodniku zarządzania klastrem Amazon Redshift.
Ważność: średni rozmiar
Klastry Amazon Redshift powinny mieć włączone automatyczne migawki
Opis: Ta kontrolka sprawdza, czy klastry Amazon Redshift mają włączone automatyczne migawki. Sprawdza również, czy okres przechowywania migawki jest większy niż lub równy siedmiu. Kopie zapasowe ułatwiają szybsze odzyskiwanie po zdarzeniu zabezpieczeń. Wzmacniają one odporność systemów. Amazon Redshift domyślnie wykonuje okresowe migawki. Ta kontrolka sprawdza, czy automatyczne migawki są włączone i przechowywane przez co najmniej siedem dni. Aby uzyskać więcej informacji na temat automatycznych migawek usługi Amazon Redshift, zobacz Zautomatyzowane migawki w przewodniku zarządzania klastrami Amazon Redshift.
Ważność: średni rozmiar
Klastry Amazon Redshift powinny uniemożliwiać dostęp publiczny
Opis: Zalecamy klastry Amazon Redshift, aby uniknąć dostępności publicznej, oceniając pole "publiclyAccessible" w elemencie konfiguracji klastra.
Ważność: Wysoka
Usługa Amazon Redshift powinna mieć włączone automatyczne uaktualnienia do wersji głównych
Opis: Ta kontrolka sprawdza, czy automatyczne uaktualnienia wersji głównej są włączone dla klastra Amazon Redshift. Włączenie automatycznych uaktualnień wersji głównych gwarantuje, że podczas okna obsługi są instalowane najnowsze aktualizacje wersji głównej klastrów Amazon Redshift. Te aktualizacje mogą obejmować poprawki zabezpieczeń i poprawki błędów. Aktualizowanie instalacji poprawek jest ważnym krokiem w zabezpieczaniu systemów.
Ważność: średni rozmiar
Kolejki amazon SQS powinny być szyfrowane w spoczynku
Opis: Ta kontrolka sprawdza, czy kolejki amazon SQS są szyfrowane w spoczynku. Szyfrowanie po stronie serwera (SSE) umożliwia przesyłanie poufnych danych w zaszyfrowanych kolejkach. Aby chronić zawartość komunikatów w kolejkach, usługa SSE używa kluczy zarządzanych w usłudze AWS KMS. Aby uzyskać więcej informacji, zobacz Szyfrowanie magazynowane w Przewodniku dewelopera usługi Amazon Simple Queue Service.
Ważność: średni rozmiar
Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana pod kątem krytycznych zdarzeń klastra
Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS, która ma włączone powiadomienia dla następujących typów źródłowych, par klucz-wartość kategorii zdarzeń. DBCluster: ["konserwacja" i "niepowodzenie". Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.
Ważność: Niska
Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana pod kątem krytycznych zdarzeń wystąpienia bazy danych
Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS z włączonymi powiadomieniami dla następującego typu źródła. pary klucz-wartość kategorii zdarzeń. DBInstance: ["konserwacja", "zmiana konfiguracji" i "niepowodzenie". Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.
Ważność: Niska
Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana dla krytycznych zdarzeń grupy parametrów bazy danych
Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS z włączonymi powiadomieniami dla następującego typu źródła. pary klucz-wartość kategorii zdarzeń. DBParameterGroup: ["configuration","change"]. Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.
Ważność: Niska
Subskrypcja powiadomień o zdarzeniach usług pulpitu zdalnego powinna być skonfigurowana pod kątem krytycznych zdarzeń grupy zabezpieczeń bazy danych
Opis: Ta kontrolka sprawdza, czy istnieje subskrypcja zdarzeń usługi Amazon RDS z włączonymi powiadomieniami dla następujących par klucz-wartość kategorii zdarzeń. DBSecurityGroup: ["configuration","change","failure"]. Powiadomienia o zdarzeniach usług pulpitu zdalnego używają usługi Amazon SNS do informowania o zmianach dostępności lub konfiguracji zasobów usług pulpitu zdalnego. Te powiadomienia umożliwiają szybką reakcję. Aby uzyskać więcej informacji na temat powiadomień o zdarzeniach usług pulpitu zdalnego, zobacz Korzystanie z powiadomienia o zdarzeniu usługi Amazon RDS w Podręczniku użytkownika usługi Amazon RDS.
Ważność: Niska
Interfejs API Gateway REST i rejestrowanie interfejsu API Protokołu WebSocket powinny być włączone
Opis: Ta kontrolka sprawdza, czy wszystkie etapy interfejsu API REST usługi Amazon API Gateway lub interfejsu API Protokołu WebSocket mają włączone rejestrowanie. Kontrolka kończy się niepowodzeniem, jeśli rejestrowanie nie jest włączone dla wszystkich metod etapu lub jeśli poziom rejestrowania nie jest ani BŁĘDEM, ani INFORMACJAMI. Etapy interfejsu API REST lub WebSocket API powinny mieć włączone odpowiednie dzienniki. Usługa API Gateway REST i rejestrowanie wykonywania interfejsu API Protokołu WebSocket udostępnia szczegółowe rekordy żądań wysyłanych do etapów interfejsu API REST usługi API Gateway i interfejsu API WebSocket. Etapy obejmują odpowiedzi zaplecza integracji interfejsu API, odpowiedzi autoryzatora lambda i identyfikator requestId dla punktów końcowych integracji platformy AWS.
Ważność: średni rozmiar
Dane pamięci podręcznej interfejsu API REST usługi API API REST powinny być szyfrowane w spoczynku
Opis: Ta kontrolka sprawdza, czy wszystkie metody w etapach interfejsu API REST usługi API Gateway z włączoną pamięcią podręczną są szyfrowane. Kontrolka kończy się niepowodzeniem, jeśli jakakolwiek metoda na etapie interfejsu API REST usługi API Gateway jest skonfigurowana do buforowania, a pamięć podręczna nie jest szyfrowana. Szyfrowanie danych magazynowanych zmniejsza ryzyko, że dane przechowywane na dysku są dostępne przez użytkownika nieuwierzytelnionego na platformie AWS. Dodaje kolejny zestaw kontroli dostępu, aby ograniczyć nieautoryzowanym użytkownikom dostęp do danych. Na przykład uprawnienia interfejsu API są wymagane do odszyfrowywania danych, zanim będzie można je odczytać. Pamięci podręczne interfejsu API REST usługi API API REST powinny być szyfrowane w spoczynku w celu uzyskania dodatkowej warstwy zabezpieczeń.
Ważność: średni rozmiar
Etapy interfejsu API REST usługi API Gateway należy skonfigurować do używania certyfikatów SSL na potrzeby uwierzytelniania zaplecza
Opis: Ta kontrolka sprawdza, czy etapy interfejsu API REST usługi Amazon API Gateway mają skonfigurowane certyfikaty SSL. Systemy zaplecza używają tych certyfikatów do uwierzytelniania żądań przychodzących z usługi API Gateway. Etapy interfejsu API REST usługi API Gateway należy skonfigurować przy użyciu certyfikatów SSL, aby umożliwić systemom zaplecza uwierzytelnianie żądań pochodzących z usługi API Gateway.
Ważność: średni rozmiar
Etapy interfejsu API REST usługi API Gateway powinny mieć włączone śledzenie X-Ray platformy AWS
Opis: Ta kontrolka sprawdza, czy aktywne śledzenie usługi AWS X-Ray jest włączone dla etapów interfejsu API REST usługi Amazon API Gateway. Śledzenie aktywne X-Ray umożliwia szybsze reagowanie na zmiany wydajności w podstawowej infrastrukturze. Zmiany wydajności mogą spowodować brak dostępności interfejsu API. Śledzenie aktywne X-Ray zapewnia metryki w czasie rzeczywistym żądań użytkowników przepływających przez operacje interfejsu API REST usługi API Gateway i połączone usługi.
Ważność: Niska
Brama interfejsu API powinna być skojarzona z internetową listą ACL zapory aplikacji internetowej platformy AWS
Opis: Ta kontrolka sprawdza, czy na etapie bramy interfejsu API jest używana lista kontroli dostępu do sieci Web zapory aplikacji internetowej (ACL) platformy AWS. Ta kontrolka kończy się niepowodzeniem, jeśli internetowa lista ACL zapory aplikacji internetowej platformy AWS nie jest dołączona do etapu bramy interfejsu API REST. Zapora aplikacji internetowej AWS to zapora aplikacji internetowej, która pomaga chronić aplikacje internetowe i interfejsy API przed atakami. Umożliwia skonfigurowanie listy ACL, która jest zestawem reguł, które zezwalają, blokują lub liczą żądania internetowe na podstawie konfigurowalnych reguł zabezpieczeń sieci Web i zdefiniowanych warunków. Upewnij się, że etap bramy interfejsu API jest skojarzony z listą ACL internetowej zapory aplikacji internetowej platformy AWS, aby chronić ją przed złośliwymi atakami.
Ważność: średni rozmiar
Rejestrowanie aplikacji i klasycznych modułów równoważenia obciążenia powinno być włączone
Opis: Ta kontrolka sprawdza, czy usługa Application Load Balancer i klasyczny moduł równoważenia obciążenia mają włączone rejestrowanie. Kontrolka kończy się niepowodzeniem, jeśli access_logs.s3.enabled ma wartość false.
Usługa Elastic Load Balancing udostępnia dzienniki dostępu, które przechwytują szczegółowe informacje o żądaniach wysyłanych do modułu równoważenia obciążenia. Każdy dziennik zawiera informacje, takie jak czas odebrania żądania, adres IP klienta, opóźnienia, ścieżki żądań i odpowiedzi serwera. Te dzienniki dostępu umożliwiają analizowanie wzorców ruchu i rozwiązywanie problemów.
Aby dowiedzieć się więcej, zobacz Dzienniki dostępu dla klasycznego modułu równoważenia obciążenia w podręczniku użytkownika dla klasycznych modułów równoważenia obciążenia.
Ważność: średni rozmiar
Dołączone woluminy EBS powinny być szyfrowane w spoczynku
Opis: Ta kontrolka sprawdza, czy woluminy EBS, które znajdują się w stanie dołączonym, są szyfrowane. Aby przejść tę kontrolę, woluminy EBS muszą być używane i szyfrowane. Jeśli wolumin EBS nie jest dołączony, nie podlega to kontroli. W przypadku dodatkowej warstwy zabezpieczeń poufnych danych w woluminach EBS należy włączyć szyfrowanie EBS magazynowane. Szyfrowanie Amazon EBS oferuje proste rozwiązanie szyfrowania dla zasobów EBS, które nie wymaga tworzenia, konserwacji i zabezpieczania własnej infrastruktury zarządzania kluczami. Używa ona kluczy głównych klienta usługi AWS KMS (CMK) podczas tworzenia zaszyfrowanych woluminów i migawek. Aby dowiedzieć się więcej na temat szyfrowania Amazon EBS, zobacz Szyfrowanie Amazon EBS w przewodniku użytkownika usługi Amazon EC2 dla wystąpień systemu Linux.
Ważność: średni rozmiar
Wystąpienia replikacji usługi AWS Database Migration Service nie powinny być publiczne
Opis: Aby chronić replikowane wystąpienia przed zagrożeniami. Wystąpienie replikacji prywatnej powinno mieć prywatny adres IP, do którego nie można uzyskać dostępu poza siecią replikacji. Wystąpienie replikacji powinno mieć prywatny adres IP, gdy źródłowe i docelowe bazy danych znajdują się w tej samej sieci, a sieć jest połączona z wystąpieniem replikacji VPC przy użyciu sieci VPN, awS Direct Połączenie lub komunikacji równorzędnej VPC. Należy również upewnić się, że dostęp do konfiguracji wystąpienia usługi AWS DMS jest ograniczony tylko do autoryzowanych użytkowników. W tym celu należy ograniczyć uprawnienia zarządzania dostępem i tożsamościami użytkowników do modyfikowania ustawień i zasobów usługi AWS DMS.
Ważność: Wysoka
Klasyczne odbiorniki modułu równoważenia obciążenia powinny być skonfigurowane z kończeniem żądań PROTOKOŁU HTTPS lub TLS
Opis: Ta kontrolka sprawdza, czy odbiorniki klasycznego modułu równoważenia obciążenia są skonfigurowane przy użyciu protokołu HTTPS lub TLS dla połączeń frontonu (klienta do modułu równoważenia obciążenia). Kontrolka ma zastosowanie, jeśli klasyczny moduł równoważenia obciążenia ma odbiorniki. Jeśli klasyczny moduł równoważenia obciążenia nie ma skonfigurowanego odbiornika, kontrolka nie zgłasza żadnych wyników. Kontrolka przechodzi, jeśli klasyczne odbiorniki usługi Load Balancer są skonfigurowane z protokołem TLS lub HTTPS dla połączeń frontonu. Kontrolka kończy się niepowodzeniem, jeśli odbiornik nie jest skonfigurowany z protokołem TLS lub HTTPS dla połączeń frontonu. Przed rozpoczęciem korzystania z modułu równoważenia obciążenia należy dodać co najmniej jeden odbiornik. Odbiornik to proces, który używa skonfigurowanego protokołu i portu do sprawdzania żądań połączenia. Odbiorniki mogą obsługiwać protokoły HTTP i HTTPS/TLS. Zawsze należy używać odbiornika HTTPS lub TLS, aby moduł równoważenia obciążenia działał podczas szyfrowania i odszyfrowywania podczas przesyłania.
Ważność: średni rozmiar
Klasyczne moduły równoważenia obciążenia powinny mieć włączone opróżnianie połączeń
Opis: Ta kontrolka sprawdza, czy klasyczne moduły równoważenia obciążenia mają włączone opróżnianie połączeń. Włączenie opróżniania połączeń w klasycznych modułach równoważenia obciążenia gwarantuje, że moduł równoważenia obciążenia przestanie wysyłać żądania do wystąpień, które są wyrejestrowane lub w złej kondycji. Utrzymuje otwarte istniejące połączenia. Jest to przydatne w przypadku wystąpień w grupach automatycznego skalowania, aby upewnić się, że połączenia nie są nagle przerywane.
Ważność: średni rozmiar
Dystrybucje usługi CloudFront powinny mieć włączoną zaporę aplikacji internetowej platformy AWS
Opis: Ta kontrolka sprawdza, czy dystrybucje usługi CloudFront są skojarzone z zaporą aplikacji internetowej AWS lub listami ACL sieci Web platformy AWS WAFv2. Kontrolka kończy się niepowodzeniem, jeśli dystrybucja nie jest skojarzona z listą ACL sieci Web. Zapora aplikacji internetowej AWS to zapora aplikacji internetowej, która pomaga chronić aplikacje internetowe i interfejsy API przed atakami. Umożliwia skonfigurowanie zestawu reguł nazywanych listą kontroli dostępu do sieci Web (web ACL), które zezwalają, blokują lub liczą żądania internetowe na podstawie konfigurowalnych reguł zabezpieczeń sieci Web i zdefiniowanych warunków. Upewnij się, że dystrybucja usługi CloudFront jest skojarzona z listą ACL internetowej zapory aplikacji internetowej platformy AWS, aby chronić ją przed złośliwymi atakami.
Ważność: średni rozmiar
Dystrybucje CloudFront powinny mieć włączoną funkcję rejestrowania
Opis: Ta kontrola sprawdza, czy rejestrowanie dostępu do serwera jest włączone w dystrybucjach CloudFront. Kontrola kończy się niepowodzeniem, jeśli rejestrowanie dostępu nie jest włączone dla dystrybucji. Dzienniki dostępu cloudFront zawierają szczegółowe informacje o każdym żądaniu użytkownika odbieranych przez usługę CloudFront. Każdy dziennik zawiera informacje, takie jak data i godzina odebrania żądania, adres IP przeglądarki, która złożyła żądanie, źródło żądania i numer portu żądania z przeglądarki. Te dzienniki są przydatne w przypadku aplikacji, takich jak inspekcje zabezpieczeń i dostępu oraz badanie śledcze. Aby uzyskać więcej informacji na temat analizowania dzienników dostępu, zobacz Querying Amazon CloudFront logs (Wykonywanie zapytań dotyczących dzienników usługi Amazon CloudFront) w podręczniku użytkownika amazonthe.
Ważność: średni rozmiar
Dystrybucje CloudFront powinny wymagać szyfrowania podczas przesyłania
Opis: Ta kontrolka sprawdza, czy dystrybucja usługi Amazon CloudFront wymaga, aby osoby przeglądające korzystały bezpośrednio z protokołu HTTPS, czy używa przekierowania. Kontrolka kończy się niepowodzeniem, jeśli parametr ViewerProtocolPolicy ma ustawioną wartość allow-all dla parametru defaultCacheBehavior lub cacheBehaviors. Protokół HTTPS (TLS) może służyć do zapobiegania potencjalnym osobom atakującym korzystania z ataków typu person-in-the-middle lub podobnych ataków w celu podsłuchiwania ruchu sieciowego lub manipulowania nim. Dozwolone powinny być tylko szyfrowane połączenia za pośrednictwem protokołu HTTPS (TLS). Szyfrowanie danych przesyłanych może mieć wpływ na wydajność. Należy przetestować aplikację za pomocą tej funkcji, aby zrozumieć profil wydajności i wpływ protokołu TLS.
Ważność: średni rozmiar
Dzienniki usługi CloudTrail powinny być szyfrowane podczas magazynowania przy użyciu zestawów CMKs usługi KMS
Opis: Zalecamy skonfigurowanie usługi CloudTrail do korzystania z usługi SSE-KMS. Skonfigurowanie usługi CloudTrail do korzystania z usługi SSE-KMS zapewnia większą poufność kontroli danych dziennika, ponieważ dany użytkownik musi mieć uprawnienia do odczytu S3 w odpowiednim zasobniku dziennika i musi mieć przyznane uprawnienie odszyfrowywania przez zasady klucza zarządzanego przez klienta.
Ważność: średni rozmiar
Połączenie iony do klastrów Amazon Redshift powinny być szyfrowane podczas przesyłania
Opis: Ta kontrolka sprawdza, czy połączenia z klastrami Amazon Redshift są wymagane do korzystania z szyfrowania podczas przesyłania. Sprawdzanie nie powiedzie się, jeśli parametr klastra Amazon Redshift require_SSL nie jest ustawiony na 1. Protokół TLS może służyć do zapobiegania potencjalnym osobom atakującym korzystania z osób w środku lub podobnych ataków w celu podsłuchiwania lub manipulowania ruchem sieciowym. Powinny być dozwolone tylko szyfrowane połączenia za pośrednictwem protokołu TLS. Szyfrowanie danych przesyłanych może mieć wpływ na wydajność. Należy przetestować aplikację za pomocą tej funkcji, aby zrozumieć profil wydajności i wpływ protokołu TLS.
Ważność: średni rozmiar
Połączenie iony do domen Elasticsearch powinny być szyfrowane przy użyciu protokołu TLS 1.2
Opis: Ta kontrolka sprawdza, czy połączenia z domenami elasticsearch są wymagane do korzystania z protokołu TLS 1.2. Sprawdzanie nie powiedzie się, jeśli domena Elasticsearch TLSSecurityPolicy nie jest Policy-Min-TLS-1-2-2019-07. Protokół HTTPS (TLS) może służyć do zapobiegania potencjalnym osobom atakującym korzystania z ataków typu person-in-the-middle lub podobnych ataków w celu podsłuchiwania ruchu sieciowego lub manipulowania nim. Dozwolone powinny być tylko szyfrowane połączenia za pośrednictwem protokołu HTTPS (TLS). Szyfrowanie danych przesyłanych może mieć wpływ na wydajność. Należy przetestować aplikację za pomocą tej funkcji, aby zrozumieć profil wydajności i wpływ protokołu TLS. Protokół TLS 1.2 zapewnia kilka ulepszeń zabezpieczeń w porównaniu z poprzednimi wersjami protokołu TLS.
Ważność: średni rozmiar
Tabele DynamoDB powinny mieć włączone odzyskiwanie do punktu w czasie
Opis: Ta kontrolka sprawdza, czy odzyskiwanie do punktu w czasie (PITR) jest włączone dla tabeli Amazon DynamoDB. Kopie zapasowe ułatwiają szybsze odzyskiwanie po zdarzeniu zabezpieczeń. Wzmacniają one również odporność systemów. Odzyskiwanie do punktu w czasie bazy danych DynamoDB automatyzuje tworzenie kopii zapasowych dla tabel DynamoDB. Skraca czas odzyskiwania po przypadkowych operacjach usuwania lub zapisu. Tabele dynamoDB z włączoną usługą PITR można przywrócić do dowolnego punktu w czasie w ciągu ostatnich 35 dni.
Ważność: średni rozmiar
Należy włączyć domyślne szyfrowanie EBS
Opis: Ta kontrolka sprawdza, czy szyfrowanie na poziomie konta jest domyślnie włączone dla usługi Amazon Elastic Block Store (Amazon EBS). Kontrolka kończy się niepowodzeniem, jeśli szyfrowanie na poziomie konta nie jest włączone. Po włączeniu szyfrowania dla konta woluminy Amazon EBS i kopie migawek są szyfrowane w spoczynku. Spowoduje to dodanie kolejnej warstwy ochrony danych. Aby uzyskać więcej informacji, zobacz Szyfrowanie domyślnie w podręczniku użytkownika usługi Amazon EC2 dla wystąpień systemu Linux. Należy pamiętać, że następujące typy wystąpień nie obsługują szyfrowania: R1, C1 i M1.
Ważność: średni rozmiar
Środowiska Elastic BeansTalk powinny mieć włączone ulepszone raportowanie kondycji
Opis: Ta kontrolka sprawdza, czy ulepszone raportowanie kondycji jest włączone dla środowisk AWS Elastic Beanstalk. Funkcja Elastic Beanstalk ulepszone raportowanie kondycji umożliwia szybsze reagowanie na zmiany w kondycji podstawowej infrastruktury. Te zmiany mogą spowodować brak dostępności aplikacji. Funkcja Elastic Beanstalk ulepszonego raportowania kondycji udostępnia deskryptor stanu, aby ocenić ważność zidentyfikowanych problemów i zidentyfikować możliwe przyczyny do zbadania. Agent kondycji Elastic Beanstalk, dołączony do obsługiwanych obrazów Amazon Machine Images (AMI), ocenia dzienniki i metryki wystąpień środowiska EC2.
Ważność: Niska
Aktualizacje platformy zarządzanej elastic Beanstalk powinny być włączone
Opis: Ta kontrolka sprawdza, czy aktualizacje platformy zarządzanej są włączone dla środowiska Elastic Beanstalk. Włączenie aktualizacji platformy zarządzanej gwarantuje, że są zainstalowane najnowsze dostępne poprawki, aktualizacje i funkcje środowiska. Aktualizowanie instalacji poprawek jest ważnym krokiem w zabezpieczaniu systemów.
Ważność: Wysoka
Usługa Elastic Load Balancer nie powinna mieć certyfikatu ACM wygasłego ani wygasającego w ciągu 90 dni.
Opis: Ta kontrola identyfikuje elastyczne moduły równoważenia obciążenia (ELB), które używają certyfikatów usługi ACM wygasły lub wygasają w ciągu 90 dni. Menedżer certyfikatów platformy AWS (ACM) to preferowane narzędzie do aprowizowania i wdrażania certyfikatów serwera oraz zarządzania nimi. Za pomocą usługi ACM możesz zażądać certyfikatu lub wdrożyć istniejący certyfikat ACM lub certyfikat zewnętrzny w zasobach platformy AWS. Najlepszym rozwiązaniem jest ponowne importowanie wygasających/wygasłych certyfikatów przy zachowaniu skojarzeń ELB oryginalnego certyfikatu.
Ważność: Wysoka
Rejestrowanie błędów domeny elasticsearch w dziennikach usługi CloudWatch powinno być włączone
Opis: Ta kontrolka sprawdza, czy domeny elasticsearch są skonfigurowane do wysyłania dzienników błędów do dzienników usługi CloudWatch. Należy włączyć dzienniki błędów dla domen elasticsearch i wysłać te dzienniki do dzienników CloudWatch na potrzeby przechowywania i odpowiedzi. Dzienniki błędów domeny mogą pomóc w inspekcji zabezpieczeń i dostępu oraz mogą pomóc w diagnozowaniu problemów z dostępnością.
Ważność: średni rozmiar
Domeny elasticsearch powinny być skonfigurowane z co najmniej trzema dedykowanymi węzłami głównymi
Opis: Ta kontrolka sprawdza, czy domeny elasticsearch są skonfigurowane z co najmniej trzema dedykowanymi węzłami głównymi. Ta kontrolka kończy się niepowodzeniem, jeśli domena nie używa dedykowanych węzłów głównych. Ta kontrolka przechodzi, jeśli domeny elasticsearch mają pięć dedykowanych węzłów głównych. Jednak użycie więcej niż trzech węzłów głównych może być niepotrzebne w celu ograniczenia ryzyka dostępności i spowoduje zwiększenie kosztów. Domena Elasticsearch wymaga co najmniej trzech dedykowanych węzłów głównych w celu zapewnienia wysokiej dostępności i odporności na uszkodzenia. Zasoby dedykowanego węzła głównego mogą być przeciążone podczas wdrożeń niebieski/zielonych węzłów danych, ponieważ istnieje więcej węzłów do zarządzania. Wdrożenie domeny Elasticsearch z co najmniej trzema dedykowanymi węzłami głównymi zapewnia wystarczającą pojemność zasobu węzła głównego i operacje klastra w przypadku awarii węzła.
Ważność: średni rozmiar
Domeny elasticsearch powinny mieć co najmniej trzy węzły danych
Opis: Ta kontrolka sprawdza, czy domeny elasticsearch są skonfigurowane z co najmniej trzema węzłami danych i strefąAwarenessEnabled ma wartość true. Domena Elasticsearch wymaga co najmniej trzech węzłów danych w celu zapewnienia wysokiej dostępności i odporności na uszkodzenia. Wdrożenie domeny Elasticsearch z co najmniej trzema węzłami danych zapewnia operacje klastra w przypadku awarii węzła.
Ważność: średni rozmiar
Domeny Elasticsearch powinny mieć włączone rejestrowanie inspekcji
Opis: Ta kontrolka sprawdza, czy domeny elasticsearch mają włączone rejestrowanie inspekcji. Ta kontrolka kończy się niepowodzeniem, jeśli domena Elasticsearch nie ma włączonego rejestrowania inspekcji. Dzienniki inspekcji są wysoce konfigurowalne. Umożliwiają one śledzenie aktywności użytkowników w klastrach Elasticsearch, w tym sukcesów i niepowodzeń uwierzytelniania, żądań do usługi OpenSearch, zmian indeksu i przychodzących zapytań wyszukiwania.
Ważność: średni rozmiar
Należy skonfigurować rozszerzone monitorowanie dla wystąpień i klastrów bazy danych usług pulpitu zdalnego
Opis: Ta kontrolka sprawdza, czy ulepszone monitorowanie jest włączone dla wystąpień usługi RDS DB. W usłudze Amazon RDS rozszerzone monitorowanie umożliwia szybsze reagowanie na zmiany wydajności w podstawowej infrastrukturze. Te zmiany wydajności mogą spowodować brak dostępności danych. Rozszerzone monitorowanie zapewnia metryki w czasie rzeczywistym systemu operacyjnego, na których działa wystąpienie usługi RDS DB. Agent jest instalowany na wystąpieniu. Agent może uzyskać metryki dokładniej niż jest to możliwe w warstwie funkcji hypervisor. Rozszerzone metryki monitorowania są przydatne, gdy chcesz zobaczyć, jak różne procesy lub wątki w wystąpieniu bazy danych używają procesora CPU. Aby uzyskać więcej informacji, zobacz Rozszerzone monitorowanie w podręczniku użytkownika usługi Amazon RDS.
Ważność: Niska
Upewnij się, że włączono rotację utworzonych przez klienta zestawów cmks
Opis: usługa AWS usługa zarządzania kluczami (KMS) umożliwia klientom obracanie klucza zapasowego, który jest kluczowym materiałem przechowywanym w usłudze KMS powiązanym z identyfikatorem klucza klucza głównego klienta utworzonego przez klienta (CMK). Jest to klucz zapasowy używany do wykonywania operacji kryptograficznych, takich jak szyfrowanie i odszyfrowywanie. Automatyczna rotacja kluczy zachowuje obecnie wszystkie wcześniejsze klucze zapasowe, dzięki czemu odszyfrowywanie zaszyfrowanych danych może odbywać się w sposób niewidoczny. Zaleca się włączenie rotacji kluczy cmK. Rotacja kluczy szyfrowania pomaga zmniejszyć potencjalny wpływ naruszonego klucza, ponieważ dane zaszyfrowane przy użyciu nowego klucza nie mogą być dostępne przy użyciu poprzedniego klucza, który mógł zostać ujawniony.
Ważność: średni rozmiar
Upewnij się, że rejestrowanie dostępu do zasobnika S3 jest włączone w zasobniku CloudTrail S3
Opis: Rejestrowanie dostępu do zasobnika S3 generuje dziennik zawierający rekordy dostępu upewnij się, że rejestrowanie dostępu do zasobnika S3 jest włączone w zasobniku CloudTrail S3 dla każdego żądania skierowanego do zasobnika S3. Rekord dziennika dostępu zawiera szczegółowe informacje o żądaniu, takie jak typ żądania, zasoby określone w żądaniu zadziałały oraz godzina i data przetworzenia żądania. Zaleca się włączenie rejestrowania dostępu do zasobnika w zasobniku CloudTrail S3. Włączenie rejestrowania zasobnika S3 na docelowych zasobnikach S3 umożliwia przechwycenie wszystkich zdarzeń, które mogą mieć wpływ na obiekty w zasobnikach docelowych. Konfigurowanie dzienników do umieszczenia w oddzielnym zasobniku umożliwia dostęp do informacji dziennika, które mogą być przydatne w przepływach pracy reagowania na zdarzenia i zabezpieczenia.
Ważność: Niska
Upewnij się, że zasobnik S3 używany do przechowywania dzienników usługi CloudTrail nie jest publicznie dostępny
Opis: CloudTrail rejestruje rekord każdego wywołania interfejsu API wykonanego na koncie platformy AWS. Te pliki dziennika są przechowywane w zasobniku S3. Zaleca się, aby zasady zasobnika lub lista kontroli dostępu (ACL) były stosowane do zasobnika S3, które rejestruje usługa CloudTrail, aby zapobiec publicznemu dostępowi do dzienników cloudTrail. Zezwolenie na publiczny dostęp do zawartości dziennika CloudTrail może pomóc przeciwnikowi w identyfikowaniu słabych stron w użyciu lub konfiguracji konta, którego dotyczy problem.
Ważność: Wysoka
Zarządzanie dostępem i tożsamościami nie powinno mieć wygasłych certyfikatów SSL/TLS
Opis: Ta kontrola identyfikuje wygasłe certyfikaty SSL/TLS. Aby włączyć połączenia HTTPS z witryną internetową lub aplikacją na platformie AWS, potrzebny jest certyfikat serwera SSL/TLS. Certyfikaty serwera można przechowywać i wdrażać przy użyciu usługi ACM lub IAM. Usunięcie wygasłych certyfikatów SSL/TLS eliminuje ryzyko przypadkowego wdrożenia nieprawidłowego certyfikatu w zasobie, takim jak AWS Elastic Load Balancer (ELB), co może zaszkodzić wiarygodności aplikacji/witryny internetowej za ELB. Ta kontrola generuje alerty, jeśli istnieją wygasłe certyfikaty SSL/TLS przechowywane w usłudze AWS IAM. Najlepszym rozwiązaniem jest usunięcie wygasłych certyfikatów.
Ważność: Wysoka
Zaimportowane certyfikaty usługi ACM należy odnowić po określonym przedziale czasu
Opis: Ta kontrolka sprawdza, czy certyfikaty usługi ACM na Twoim koncie są oznaczone do wygaśnięcia w ciągu 30 dni. Sprawdza zarówno zaimportowane certyfikaty, jak i certyfikaty udostępniane przez Menedżera certyfikatów platformy AWS. Usługa ACM może automatycznie odnawiać certyfikaty korzystające z weryfikacji DNS. W przypadku certyfikatów korzystających z weryfikacji poczty e-mail należy odpowiedzieć na adres e-mail weryfikacji domeny. Usługa ACM nie odnawia również automatycznie importowanych certyfikatów. Zaimportowane certyfikaty należy odnowić ręcznie. Aby uzyskać więcej informacji na temat odnawiania zarządzanego certyfikatów usługi ACM, zobacz Zarządzanie odnawianiem certyfikatów usługi ACM w podręczniku użytkownika Menedżera certyfikatów platformy AWS.
Ważność: średni rozmiar
Należy zbadać nadmiernie aprowizowane tożsamości na kontach, aby zmniejszyć indeks pełzania uprawnień (PCI)
Opis: Należy zbadać nadmierną aprowizację tożsamości na kontach w celu zmniejszenia indeksu pełzania uprawnień (PCI) i ochrony infrastruktury. Zmniejsz pci, usuwając nieużywane przypisania uprawnień wysokiego ryzyka. Wysoka wartość PCI odzwierciedla ryzyko związane z tożsamościami z uprawnieniami, które przekraczają normalne lub wymagane użycie.
Ważność: średni rozmiar
Automatyczne uaktualnienia wersji pomocniczej usług pulpitu zdalnego powinny być włączone
Opis: Ta kontrolka sprawdza, czy dla wystąpienia bazy danych usług pulpitu zdalnego są włączone automatyczne uaktualnienia wersji pomocniczej. Włączenie automatycznych uaktualnień wersji pomocniczych gwarantuje, że zainstalowano najnowsze aktualizacje wersji pomocniczej systemu zarządzania relacyjnymi bazami danych (RDBMS). Te uaktualnienia mogą obejmować poprawki zabezpieczeń i poprawki błędów. Aktualizowanie instalacji poprawek jest ważnym krokiem w zabezpieczaniu systemów.
Ważność: Wysoka
Migawki klastra usług pulpitu zdalnego i migawki bazy danych powinny być szyfrowane w spoczynku
Opis: Ta kontrolka sprawdza, czy migawki bazy danych usług pulpitu zdalnego są szyfrowane. Ta kontrolka jest przeznaczona dla wystąpień usługi RDS DB. Może jednak również generować wyniki dla migawek wystąpień bazy danych Aurora DB, wystąpień Bazy danych Neptuna i klastrów Amazon DocumentDB. Jeśli te wyniki nie są przydatne, możesz je pominąć. Szyfrowanie danych magazynowanych zmniejsza ryzyko, że nieuwierzytelniony użytkownik uzyskuje dostęp do danych przechowywanych na dysku. Dane w migawkach usług pulpitu zdalnego powinny być szyfrowane w spoczynku w celu uzyskania dodatkowej warstwy zabezpieczeń.
Ważność: średni rozmiar
Klastry usług pulpitu zdalnego powinny mieć włączoną ochronę przed usuwaniem
Opis: Ta kontrolka sprawdza, czy klastry usług pulpitu zdalnego mają włączoną ochronę usuwania. Ta kontrolka jest przeznaczona dla wystąpień usługi RDS DB. Jednak może również generować wyniki dla wystąpień aurora DB, wystąpień bazy danych Neptune DB i klastrów Amazon DocumentDB. Jeśli te wyniki nie są przydatne, możesz je pominąć. Włączenie ochrony przed usunięciem klastra to kolejna warstwa ochrony przed przypadkowym usunięciem lub usunięciem bazy danych przez nieautoryzowaną jednostkę. Po włączeniu ochrony przed usunięciem nie można usunąć klastra usług pulpitu zdalnego. Aby żądanie usunięcia powiodło się, należy wyłączyć ochronę usuwania.
Ważność: Niska
Klastry usługi RDS DB powinny być skonfigurowane dla wielu Strefy dostępności
Opis: Klastry bazy danych usług pulpitu zdalnego powinny być skonfigurowane dla wielu przechowywanych danych. Wdrożenie na wiele Strefy dostępności umożliwia zautomatyzowanie Strefy dostępności w celu zapewnienia dostępności trybu failover w przypadku problemu z dostępnością strefy dostępności i podczas regularnych zdarzeń konserwacji usług pulpitu zdalnego.
Ważność: średni rozmiar
Klastry bazy danych usług pulpitu zdalnego powinny być skonfigurowane do kopiowania tagów do migawek
Opis: Identyfikacja i spis zasobów IT jest kluczowym aspektem ładu i zabezpieczeń. Musisz mieć widoczność wszystkich klastrów usługi RDS DB, aby można było ocenić ich stan zabezpieczeń i działać na potencjalnych obszarach słabości. Migawki powinny być oznakowane w taki sam sposób, jak ich nadrzędne klastry baz danych usług pulpitu zdalnego. Włączenie tego ustawienia gwarantuje, że migawki dziedziczą tagi swoich nadrzędnych klastrów baz danych.
Ważność: Niska
Wystąpienia usługi RDS DB powinny być skonfigurowane do kopiowania tagów do migawek
Opis: Ta kontrolka sprawdza, czy wystąpienia bazy danych usług pulpitu zdalnego są skonfigurowane do kopiowania wszystkich tagów do migawek podczas tworzenia migawek. Identyfikacja i spis zasobów IT jest kluczowym aspektem ładu i zabezpieczeń. Musisz mieć widoczność wszystkich wystąpień bazy danych usług pulpitu zdalnego, aby można było ocenić ich stan zabezpieczeń i podjąć działania w potencjalnych obszarach słabości. Migawki powinny być oznakowane w taki sam sposób, jak ich nadrzędne wystąpienia bazy danych usług pulpitu zdalnego. Włączenie tego ustawienia gwarantuje, że migawki dziedziczą tagi ich nadrzędnych wystąpień bazy danych.
Ważność: Niska
Wystąpienia usługi RDS DB należy skonfigurować z wieloma Strefy dostępności
Opis: Ta kontrolka sprawdza, czy dla wystąpień usługi RDS DB włączono wysoką dostępność. Wystąpienia usługi RDS DB należy skonfigurować dla wielu Strefy dostępności (AZ). Zapewnia to dostępność przechowywanych danych. Wdrożenia z wieloma az umożliwiają automatyczne przechodzenie w tryb failover, jeśli występuje problem z dostępnością strefy dostępności i podczas regularnej konserwacji usług pulpitu zdalnego.
Ważność: średni rozmiar
Wystąpienia usługi RDS DB powinny mieć włączoną ochronę przed usuwaniem
Opis: Ta kontrolka sprawdza, czy wystąpienia bazy danych usług pulpitu zdalnego korzystające z jednego z wymienionych aparatów baz danych mają włączoną ochronę przed usuwaniem. Włączenie ochrony przed usunięciem wystąpienia to kolejna warstwa ochrony przed przypadkowym usunięciem lub usunięciem bazy danych przez nieautoryzowaną jednostkę. Po włączeniu ochrony przed usunięciem nie można usunąć wystąpienia bazy danych usług pulpitu zdalnego. Aby żądanie usunięcia powiodło się, należy wyłączyć ochronę usuwania.
Ważność: Niska
Wystąpienia usługi RDS DB powinny mieć włączone szyfrowanie magazynowane
Opis: Ta kontrolka sprawdza, czy szyfrowanie magazynu jest włączone dla wystąpień usługi Amazon RDS DB. Ta kontrolka jest przeznaczona dla wystąpień usługi RDS DB. Jednak może również generować wyniki dla wystąpień aurora DB, wystąpień bazy danych Neptune DB i klastrów Amazon DocumentDB. Jeśli te wyniki nie są przydatne, możesz je pominąć. W przypadku dodatkowej warstwy zabezpieczeń poufnych danych w wystąpieniach usługi RDS DB należy skonfigurować wystąpienia bazy danych usług pulpitu zdalnego do szyfrowania w spoczynku. Aby zaszyfrować wystąpienia bazy danych usług pulpitu zdalnego i migawki magazynowane, włącz opcję szyfrowania dla wystąpień bazy danych usług pulpitu zdalnego. Dane zaszyfrowane w spoczynku obejmują podstawowy magazyn dla wystąpień bazy danych, automatyczne kopie zapasowe, repliki do odczytu i migawki. Wystąpienia zaszyfrowanej bazy danych usług pulpitu zdalnego używają otwartego algorytmu szyfrowania AES-256 do szyfrowania danych na serwerze hostujących wystąpienia usługi RDS DB. Po zaszyfrowaniu danych usługa Amazon RDS obsługuje uwierzytelnianie dostępu i odszyfrowywania danych w sposób niewidoczny z minimalnym wpływem na wydajność. Nie musisz modyfikować aplikacji klienckich bazy danych w celu używania szyfrowania. Szyfrowanie usługi Amazon RDS jest obecnie dostępne dla wszystkich aparatów baz danych i typów magazynu. Szyfrowanie usługi Amazon RDS jest dostępne dla większości klas wystąpień bazy danych. Aby dowiedzieć się więcej o klasach wystąpień bazy danych, które nie obsługują szyfrowania usługi Amazon RDS, zobacz Szyfrowanie zasobów usługi Amazon RDS w podręczniku użytkownika usługi Amazon RDS.
Ważność: średni rozmiar
Wystąpienia usługi RDS DB powinny uniemożliwiać dostęp publiczny
Opis: Zalecamy również upewnienie się, że dostęp do konfiguracji wystąpienia usług pulpitu zdalnego jest ograniczony tylko do autoryzowanych użytkowników, ograniczając uprawnienia użytkowników do zarządzania dostępem i tożsamościami do modyfikowania ustawień i zasobów wystąpień usług pulpitu zdalnego.
Ważność: Wysoka
Migawki usług pulpitu zdalnego powinny uniemożliwiać dostęp publiczny
Opis: Zalecamy zezwolenie tylko autoryzowanym podmiotom zabezpieczeń na dostęp do migawki i zmianę konfiguracji usługi Amazon RDS.
Ważność: Wysoka
Usuwanie nieużywanych wpisów tajnych menedżera wpisów tajnych
Opis: Ta kontrolka sprawdza, czy dostęp do wpisów tajnych był uzyskiwany w ciągu określonej liczby dni. Wartość domyślna to 90 dni. Jeśli dostęp do wpisu tajnego nie był uzyskiwany w ciągu zdefiniowanej liczby dni, ta kontrolka kończy się niepowodzeniem. Usuwanie nieużywanych wpisów tajnych jest równie ważne, jak rotacja wpisów tajnych. Nieużywane wpisy tajne mogą być nadużywane przez ich byłych użytkowników, którzy nie potrzebują już dostępu do tych wpisów tajnych. Ponadto, ponieważ więcej użytkowników uzyskuje dostęp do wpisu tajnego, ktoś mógł źle pracować i wyciekł go do nieautoryzowanej jednostki, co zwiększa ryzyko nadużyć. Usunięcie nieużywanych wpisów tajnych pomaga odwołać dostęp tajny od użytkowników, którzy już ich nie potrzebują. Pomaga również zmniejszyć koszty korzystania z menedżera wpisów tajnych. W związku z tym ważne jest rutynowe usuwanie nieużywanych wpisów tajnych.
Ważność: średni rozmiar
Zasobniki S3 powinny mieć włączoną replikację między regionami
Opis: Włączenie replikacji między regionami S3 zapewnia dostępność wielu wersji danych w różnych regionach. Dzięki temu można chronić zasobnik S3 przed atakami DDoS i zdarzeniami uszkodzenia danych.
Ważność: Niska
Zasobniki S3 powinny mieć włączone szyfrowanie po stronie serwera
Opis: Włącz szyfrowanie po stronie serwera, aby chronić dane w zasobnikach S3. Szyfrowanie danych może uniemożliwić dostęp do poufnych danych w przypadku naruszenia zabezpieczeń danych.
Ważność: średni rozmiar
Wpisy tajne menedżera wpisów tajnych skonfigurowanych z automatycznym obracaniem powinno się pomyślnie obracać
Opis: Ta kontrolka sprawdza, czy wpis tajny menedżera wpisów tajnych platformy AWS został pomyślnie obracany na podstawie harmonogramu rotacji. Kontrolka kończy się niepowodzeniem, jeśli wartość RotationOccurringAsScheduled ma wartość false. Kontrolka nie ocenia wpisów tajnych, które nie mają skonfigurowanej rotacji. Menedżer wpisów tajnych pomaga zwiększyć poziom zabezpieczeń organizacji. Wpisy tajne obejmują poświadczenia bazy danych, hasła i klucze interfejsu API innych firm. Menedżer wpisów tajnych umożliwia centralne przechowywanie wpisów tajnych, automatyczne szyfrowanie wpisów tajnych, kontrolowanie dostępu do wpisów tajnych oraz bezpieczne i automatyczne obracanie wpisów tajnych. Menedżer wpisów tajnych może obracać wpisy tajne. Rotacja służy do zastępowania długoterminowych wpisów tajnych krótkoterminowymi. Rotacja wpisów tajnych ogranicza czas, przez jaki nieautoryzowany użytkownik może używać naruszonego wpisu tajnego. Z tego powodu należy często wymieniać wpisy tajne. Oprócz konfigurowania wpisów tajnych do automatycznego obracania, należy upewnić się, że te wpisy tajne zostaną pomyślnie obracane na podstawie harmonogramu rotacji. Aby dowiedzieć się więcej na temat rotacji, zobacz Rotacja wpisów tajnych menedżera wpisów tajnych platformy AWS w podręczniku użytkownika menedżera wpisów tajnych platformy AWS.
Ważność: średni rozmiar
Wpisy tajne menedżera wpisów tajnych powinny być obracane w ciągu określonej liczby dni
Opis: Ta kontrolka sprawdza, czy wpisy tajne zostały obrócone co najmniej raz w ciągu 90 dni. Rotacja wpisów tajnych może pomóc zmniejszyć ryzyko nieautoryzowanego użycia wpisów tajnych na koncie platformy AWS. Przykłady obejmują poświadczenia bazy danych, hasła, klucze interfejsu API innych firm, a nawet dowolny tekst. Jeśli nie zmienisz wpisów tajnych przez długi czas, wpisy tajne będą bardziej narażone na naruszenie zabezpieczeń. W miarę jak coraz więcej użytkowników uzyskuje dostęp do wpisu tajnego, może stać się bardziej prawdopodobne, że ktoś błędnie potraktował go i wyciekł do nieautoryzowanej jednostki. Wpisy tajne można wyciekać za pośrednictwem dzienników i danych pamięci podręcznej. Można je udostępniać do celów debugowania, a nie zmieniać ani odwoływać po zakończeniu debugowania. Ze wszystkich tych powodów wpisy tajne powinny być często obracane. Wpisy tajne można skonfigurować pod kątem automatycznej rotacji w programie AWS Secrets Manager. Dzięki automatycznej rotacji można zastąpić długoterminowe wpisy tajne krótkoterminowymi, co znacznie zmniejsza ryzyko naruszenia zabezpieczeń. Usługa Security Hub zaleca włączenie rotacji dla wpisów tajnych menedżera wpisów tajnych. Aby dowiedzieć się więcej na temat rotacji, zobacz Rotacja wpisów tajnych menedżera wpisów tajnych platformy AWS w podręczniku użytkownika menedżera wpisów tajnych platformy AWS.
Ważność: średni rozmiar
Tematy SNS powinny być szyfrowane podczas magazynowania przy użyciu usługi AWS KMS
Opis: Ta kontrolka sprawdza, czy temat SNS jest szyfrowany w spoczynku przy użyciu usługi AWS KMS. Szyfrowanie danych magazynowanych zmniejsza ryzyko, że dane przechowywane na dysku są dostępne przez użytkownika nieuwierzytelnionego na platformie AWS. Dodaje również kolejny zestaw kontroli dostępu, aby ograniczyć możliwość nieautoryzowanego dostępu użytkowników do danych. Na przykład uprawnienia interfejsu API są wymagane do odszyfrowywania danych, zanim będzie można je odczytać. Tematy SNS powinny być szyfrowane w spoczynku w celu uzyskania dodatkowej warstwy zabezpieczeń. Aby uzyskać więcej informacji, zobacz Szyfrowanie magazynowane w przewodniku dla deweloperów usługi Amazon Simple Notification Service.
Ważność: średni rozmiar
Rejestrowanie przepływu VPC powinno być włączone we wszystkich sieciach VPN
Opis: Dzienniki przepływu VPC zapewniają wgląd w ruch sieciowy przechodzący przez VPC i mogą służyć do wykrywania nietypowego ruchu lub szczegółowych informacji podczas zdarzeń zabezpieczeń.
Ważność: średni rozmiar
Zalecenia dotyczące usługi AWS IdentityAndAccess
Domeny usługi Amazon Elasticsearch powinny znajdować się w VPC
Opis: VPC nie może zawierać domen z publicznym punktem końcowym. Uwaga: nie ocenia to konfiguracji routingu podsieci VPC w celu określenia dostępności publicznej.
Ważność: Wysoka
Uprawnienia usługi Amazon S3 przyznane innym kontom platformy AWS w zasadach zasobników powinny być ograniczone
Opis: Implementacja dostępu do najniższych uprawnień ma zasadnicze znaczenie dla zmniejszenia ryzyka zabezpieczeń i wpływu błędów lub złośliwych intencji. Jeśli zasady zasobnika S3 zezwalają na dostęp z kont zewnętrznych, może to spowodować eksfiltrację danych przez zagrożenie wewnętrzne lub osobę atakującą. Parametr "blacklistedactionpatterns" umożliwia pomyślną ocenę reguły dla zasobników S3. Parametr udziela dostępu do kont zewnętrznych dla wzorców akcji, które nie są uwzględnione na liście "blacklistedactionpatterns".
Ważność: Wysoka
Unikaj korzystania z konta "root"
Opis: Konto "root" ma nieograniczony dostęp do wszystkich zasobów na koncie platformy AWS. Zdecydowanie zaleca się unikanie korzystania z tego konta. Konto "root" to najbardziej uprzywilejowane konto platformy AWS. Minimalizacja użycia tego konta i przyjęcie zasady najniższych uprawnień do zarządzania dostępem zmniejszy ryzyko przypadkowych zmian i niezamierzonego ujawnienia wysoce uprzywilejowanych poświadczeń.
Ważność: Wysoka
Klucze usługi KMS platformy AWS nie powinny być przypadkowo usuwane
Opis: Ta kontrolka sprawdza, czy klucze usługi KMS są zaplanowane do usunięcia. Kontrolka kończy się niepowodzeniem, jeśli klucz usługi KMS ma zostać usunięty. Nie można odzyskać kluczy usługi KMS po usunięciu. Dane zaszyfrowane za pomocą klucza usługi KMS również są trwale nieodwracalne, jeśli klucz usługi KMS zostanie usunięty. Jeśli istotne dane zostały zaszyfrowane w kluczu usługi KMS zaplanowanym do usunięcia, rozważ odszyfrowywanie danych lub ponowne szyfrowanie danych w ramach nowego klucza usługi KMS, chyba że celowo wykonasz wymazywanie kryptograficzne. Jeśli klucz usługi KMS jest zaplanowany do usunięcia, wymuszany jest obowiązkowy okres oczekiwania, aby umożliwić czas na odwrócenie usunięcia, jeśli został on zaplanowany w błędzie. Domyślny okres oczekiwania wynosi 30 dni, ale można go zmniejszyć do tak krótkiego, jak siedem dni, gdy klucz usługi KMS jest zaplanowany na usunięcie. W okresie oczekiwania można anulować zaplanowane usunięcie, a klucz usługi KMS nie zostanie usunięty. Aby uzyskać więcej informacji na temat usuwania kluczy usługi KMS, zobacz Usuwanie kluczy usługi KMS w przewodniku dewelopera usługi AWS usługa zarządzania kluczami.
Ważność: Wysoka
Należy włączyć klasyczne globalne rejestrowanie listy ACL internetowej zapory aplikacji internetowej platformy AWS
Opis: Ta kontrolka sprawdza, czy rejestrowanie jest włączone dla globalnej listy ACL internetowej zapory aplikacji internetowej platformy AWS. Ta kontrolka kończy się niepowodzeniem, jeśli rejestrowanie nie jest włączone dla listy ACL sieci Web. Rejestrowanie jest ważną częścią utrzymania niezawodności, dostępności i wydajności zapory aplikacji internetowej AWS globalnie. Jest to wymaganie biznesowe i zgodności w wielu organizacjach i umożliwia rozwiązywanie problemów z zachowaniem aplikacji. Zawiera również szczegółowe informacje o ruchu analizowanym przez internetową listę ACL dołączoną do zapory aplikacji internetowej platformy AWS.
Ważność: średni rozmiar
Dystrybucje CloudFront powinny mieć skonfigurowany domyślny obiekt główny
Opis: Ta kontrolka sprawdza, czy dystrybucja amazon CloudFront jest skonfigurowana do zwracania określonego obiektu, który jest domyślnym obiektem głównym. Kontrolka kończy się niepowodzeniem, jeśli dystrybucja CloudFront nie ma skonfigurowanego domyślnego obiektu głównego. Użytkownik może czasami żądać głównego adresu URL dystrybucji zamiast obiektu w dystrybucji. W takim przypadku określenie domyślnego obiektu głównego może pomóc uniknąć uwidaczniania zawartości dystrybucji sieci Web.
Ważność: Wysoka
Dystrybucje CloudFront powinny mieć włączoną tożsamość dostępu do źródła
Opis: Ta kontrolka sprawdza, czy skonfigurowano dystrybucję usługi Amazon CloudFront z typem źródła Amazon S3. Kontrolka kończy się niepowodzeniem, jeśli nie skonfigurowano interfejsu OAI. Rozwiązanie CloudFront OAI uniemożliwia użytkownikom bezpośredni dostęp do zawartości zasobnika S3. Gdy użytkownicy uzyskują bezpośredni dostęp do zasobnika S3, skutecznie pomijają dystrybucję CloudFront i wszelkie uprawnienia stosowane do bazowej zawartości zasobnika S3.
Ważność: średni rozmiar
Walidacja pliku dziennika CloudTrail powinna być włączona
Opis: Aby zapewnić dodatkowe sprawdzanie integralności dzienników cloudTrail, zalecamy włączenie walidacji plików we wszystkich cloudTrails.
Ważność: Niska
Należy włączyć usługę CloudTrail
Opis: AWS CloudTrail to usługa internetowa, która rejestruje wywołania interfejsu API platformy AWS dla twojego konta i dostarcza pliki dziennika. Nie wszystkie usługi domyślnie włączają rejestrowanie dla wszystkich interfejsów API i zdarzeń. Należy zaimplementować wszelkie dodatkowe ścieżki inspekcji inne niż CloudTrail i przejrzeć dokumentację każdej usługi w usługach CloudTrail Supported Services i Integrations.
Ważność: Wysoka
Szlaki cloudTrail powinny być zintegrowane z dziennikami usługi CloudWatch
Opis: Oprócz przechwytywania dzienników CloudTrail w określonym zasobniku S3 na potrzeby długoterminowej analizy można przeprowadzić analizę w czasie rzeczywistym, konfigurując usługę CloudTrail w celu wysyłania dzienników do dzienników usługi CloudWatch. W przypadku ścieżki włączonej we wszystkich regionach na koncie usługa CloudTrail wysyła pliki dziennika ze wszystkich tych regionów do grupy dzienników dzienników usługi CloudWatch. Zalecamy, aby dzienniki CloudTrail były wysyłane do dzienników usługi CloudWatch, aby upewnić się, że aktywność konta platformy AWS jest przechwytywana, monitorowana i odpowiednio zaniepokojona. Wysyłanie dzienników usługi CloudTrail do dzienników usługi CloudWatch ułatwia rejestrowanie aktywności w czasie rzeczywistym i historyczne na podstawie użytkownika, interfejsu API, zasobu i adresu IP oraz umożliwia ustanawianie alarmów i powiadomień dotyczących nietypowych lub poufności aktywności konta.
Ważność: Niska
Rejestrowanie bazy danych powinno być włączone
Opis: Ta kontrolka sprawdza, czy następujące dzienniki usługi Amazon RDS są włączone i wysyłane do dzienników usługi CloudWatch:
- Oracle: (alert, inspekcja, śledzenie, odbiornik)
- PostgreSQL: (Postgresql, uaktualnianie)
- MySQL: (Audit, Error, General, SlowQuery)
- MariaDB: (Audit, Error, General, SlowQuery)
- SQL Server: (błąd, agent)
- Aurora: (Audit, Error, General, SlowQuery)
- Aurora-MySQL: (Audit, Error, General, SlowQuery)
- Aurora-PostgreSQL: (Postgresql, Upgrade). Bazy danych usług pulpitu zdalnego powinny mieć włączone odpowiednie dzienniki. Rejestrowanie bazy danych zawiera szczegółowe rekordy żądań wysyłanych do usług pulpitu zdalnego. Dzienniki bazy danych mogą pomóc w inspekcji zabezpieczeń i dostępu oraz mogą pomóc w diagnozowaniu problemów z dostępnością.
Ważność: średni rozmiar
Wyłączanie bezpośredniego dostępu do Internetu dla wystąpień notesów usługi Amazon SageMaker
Opis: Bezpośredni dostęp do Internetu powinien być wyłączony dla wystąpienia notesu SageMaker. Spowoduje to sprawdzenie, czy pole "DirectInternetAccess" jest wyłączone dla wystąpienia notesu. Wystąpienie powinno być skonfigurowane przy użyciu VPC, a ustawienie domyślne powinno być wyłączone — dostęp do Internetu za pośrednictwem VPC. Aby umożliwić dostęp do Internetu do trenowania lub hostowania modeli z notesu, upewnij się, że usługa VPC ma bramę translatora adresów sieciowych, a grupa zabezpieczeń zezwala na połączenia wychodzące. Upewnij się, że dostęp do konfiguracji programu SageMaker jest ograniczony tylko do autoryzowanych użytkowników i ogranicza uprawnienia użytkowników do zarządzania dostępem i tożsamościami w celu modyfikowania ustawień i zasobów programu SageMaker.
Ważność: Wysoka
Nie należy konfigurować kluczy dostępu podczas początkowej konfiguracji użytkownika dla wszystkich użytkowników usługi IAM, którzy mają hasło konsoli
Opis: Konsola platformy AWS domyślnie określa pole wyboru tworzenia kluczy dostępu do włączenia. Powoduje to niepotrzebne generowanie wielu kluczy dostępu. Oprócz niepotrzebnych poświadczeń generuje również niepotrzebne prace związane z zarządzaniem inspekcją i rotacją tych kluczy. Wymaganie podjęcia przez użytkownika dodatkowych kroków po utworzeniu profilu daje silniejsze wskazanie intencji, że klucze dostępu są [a] niezbędne do pracy i [b] po ustanowieniu klucza dostępu na koncie, w których klucze mogą być używane gdzieś w organizacji.
Ważność: średni rozmiar
Upewnij się, że utworzono rolę pomocy technicznej w celu zarządzania zdarzeniami za pomocą pomocy technicznej platformy AWS
Opis: PLATFORMA AWS udostępnia centrum pomocy technicznej, które może służyć do powiadamiania i reagowania na zdarzenia, a także pomocy technicznej i obsługi klienta. Utwórz rolę zarządzania dostępem i tożsamościami, aby umożliwić autoryzowanym użytkownikom zarządzanie zdarzeniami za pomocą pomocy technicznej platformy AWS. Implementując najmniejsze uprawnienia do kontroli dostępu, rola zarządzania dostępem i tożsamościami wymaga odpowiednich zasad zarządzania dostępem do Centrum pomocy technicznej w celu zarządzania zdarzeniami przy użyciu pomocy technicznej platformy AWS.
Ważność: Niska
Upewnij się, że klucze dostępu są obracane co 90 dni lub mniej
Opis: Klucze dostępu składają się z identyfikatora klucza dostępu i klucza dostępu wpisu tajnego, które są używane do podpisywania żądań programowych wysyłanych do platformy AWS. Użytkownicy platformy AWS potrzebują własnych kluczy dostępu, aby wykonywać wywołania programowe do platformy AWS z interfejsu wiersza polecenia platformy AWS (AWS Cli), narzędzi dla programu Windows PowerShell, zestawów SDK platformy AWS lub bezpośrednich wywołań HTTP przy użyciu interfejsów API dla poszczególnych usług AWS. Zaleca się regularne obracanie wszystkich kluczy dostępu. Rotacja kluczy dostępu zmniejsza okno możliwości użycia klucza dostępu skojarzonego z naruszonym lub zakończonym kontem. Klucze dostępu powinny być obracane w celu zapewnienia, że nie można uzyskać dostępu do danych przy użyciu starego klucza, który mógł zostać utracony, złamany lub skradziony.
Ważność: średni rozmiar
Upewnij się, że konfiguracja platformy AWS jest włączona we wszystkich regionach
Opis: AWS Config to usługa internetowa, która wykonuje zarządzanie konfiguracją obsługiwanych zasobów platformy AWS na koncie i dostarcza pliki dziennika. Zarejestrowane informacje obejmują element konfiguracji (zasób platformy AWS), relacje między elementami konfiguracji (zasobami platformy AWS), wszelkie zmiany konfiguracji między zasobami. Zaleca się włączenie konfiguracji platformy AWS we wszystkich regionach.
Historia elementów konfiguracji platformy AWS przechwycona przez usługę AWS Config umożliwia analizę zabezpieczeń, śledzenie zmian zasobów i inspekcję zgodności.
Ważność: średni rozmiar
Upewnij się, że usługa CloudTrail jest włączona we wszystkich regionach
Opis: AWS CloudTrail to usługa internetowa, która rejestruje wywołania interfejsu API platformy AWS dla twojego konta i dostarcza pliki dziennika. Zarejestrowane informacje obejmują tożsamość obiektu wywołującego interfejs API, czas wywołania interfejsu API, źródłowy adres IP obiektu wywołującego interfejs API, parametry żądania i elementy odpowiedzi zwracane przez usługę AWS. Usługa CloudTrail udostępnia historię wywołań interfejsu API platformy AWS dla konta, w tym wywołań interfejsu API wykonanych za pośrednictwem konsoli zarządzania, zestawów SDK, narzędzi wiersza polecenia i usług AWS wyższego poziomu (takich jak CloudFormation). Historia wywołań interfejsu API platformy AWS utworzona przez usługę CloudTrail umożliwia analizę zabezpieczeń, śledzenie zmian zasobów i inspekcję zgodności. Dodatkowo:
- zapewnienie, że istnieje szlak obejmujący wiele regionów, upewni się, że wykryto nieoczekiwaną aktywność w innych nieużywanych regionach
- upewnienie się, że istnieje dziennik obejmujący wiele regionów, zapewni włączenie "rejestrowania usługi globalnej" domyślnie w celu przechwycenia rejestrowania zdarzeń generowanych w usługach globalnych platformy AWS
- w przypadku dziennika obejmującego wiele regionów, upewniając się, że zdarzenia zarządzania skonfigurowane dla wszystkich typów operacji odczytu/zapisu zapewniają rejestrowanie operacji zarządzania wykonywanych na wszystkich zasobach na koncie platformy AWS
Ważność: Wysoka
Upewnij się, że poświadczenia nieużywane przez 90 dni lub nowsze są wyłączone
Opis: Użytkownicy usługi AWS IAM mogą uzyskiwać dostęp do zasobów platformy AWS przy użyciu różnych typów poświadczeń, takich jak hasła lub klucze dostępu. Zaleca się usunięcie lub dezaktywowanie wszystkich poświadczeń, które zostały nieużywane w ciągu 90 lub większej liczby dni. Wyłączenie lub usunięcie niepotrzebnych poświadczeń zmniejsza okno możliwości użycia poświadczeń skojarzonych z naruszonym lub porzuconym kontem.
Ważność: średni rozmiar
Upewnij się, że zasady haseł IAM wygasają hasła w ciągu 90 dni lub mniej
Opis: Zasady haseł zarządzania dostępem i tożsamościami mogą wymagać rotacji lub wygaśnięcia haseł po określonej liczbie dni. Zaleca się, aby zasady haseł wygasały po upływie 90 dni lub mniej. Zmniejszenie okresu istnienia hasła zwiększa odporność konta na próby logowania siłowego. Ponadto wymaganie regularnych zmian haseł pomaga w następujących scenariuszach:
- Hasła mogą być czasami skradzione lub naruszone bez Twojej wiedzy. Może się to zdarzyć za pośrednictwem naruszenia zabezpieczeń systemu, luki w zabezpieczeniach oprogramowania lub zagrożenia wewnętrznego.
- Niektóre firmowe i rządowe filtry internetowe lub serwery proxy mają możliwość przechwytywania i rejestrowania ruchu, nawet jeśli jest zaszyfrowany.
- Wiele osób używa tego samego hasła w wielu systemach, takich jak służbowa, e-mail i osobista.
- Naruszone stacje robocze użytkowników końcowych mogą mieć rejestrator naciśnięć klawiszy.
Ważność: Niska
Upewnij się, że zasady haseł IAM uniemożliwiają ponowne użycie hasła
Opis: zasady haseł IAM mogą uniemożliwić ponowne użycie danego hasła przez tego samego użytkownika. Zaleca się, aby zasady haseł zapobiegały ponownemu używaniu haseł. Zapobieganie ponownemu używaniu hasła zwiększa odporność konta na próby logowania siłowego.
Ważność: Niska
Upewnij się, że zasady haseł IAM wymagają co najmniej jednej małej litery
Opis: Zasady haseł są częściowo używane do wymuszania wymagań dotyczących złożoności hasła. Zasady haseł IAM mogą służyć do zapewnienia, że hasło składa się z różnych zestawów znaków. Zaleca się, aby zasady haseł wymagały co najmniej jednej małej litery. Ustawienie zasad złożoności hasła zwiększa odporność konta na próby logowania siłowego.
Ważność: średni rozmiar
Upewnij się, że zasady haseł IAM wymagają co najmniej jednej liczby
Opis: Zasady haseł są częściowo używane do wymuszania wymagań dotyczących złożoności hasła. Zasady haseł IAM mogą służyć do zapewnienia, że hasło składa się z różnych zestawów znaków. Zalecane jest, aby zasady haseł wymagały co najmniej jednej liczby. Ustawienie zasad złożoności hasła zwiększa odporność konta na próby logowania siłowego.
Ważność: średni rozmiar
Upewnij się, że zasady haseł IAM wymagają co najmniej jednego symbolu
Opis: Zasady haseł są częściowo używane do wymuszania wymagań dotyczących złożoności hasła. Zasady haseł IAM mogą służyć do zapewnienia, że hasło składa się z różnych zestawów znaków. Zalecane jest, aby zasady haseł wymagały co najmniej jednego symbolu. Ustawienie zasad złożoności hasła zwiększa odporność konta na próby logowania siłowego.
Ważność: średni rozmiar
Upewnij się, że zasady haseł IAM wymagają co najmniej jednej wielkiej litery
Opis: Zasady haseł są częściowo używane do wymuszania wymagań dotyczących złożoności hasła. Zasady haseł IAM mogą służyć do zapewnienia, że hasło składa się z różnych zestawów znaków. Zaleca się, aby zasady haseł wymagały co najmniej jednej wielkiej litery. Ustawienie zasad złożoności hasła zwiększa odporność konta na próby logowania siłowego.
Ważność: średni rozmiar
Upewnij się, że zasady haseł IAM wymagają minimalnej długości 14 lub większej
Opis: Zasady haseł są częściowo używane do wymuszania wymagań dotyczących złożoności hasła. Zasady haseł IAM mogą służyć do zapewnienia, że hasło jest co najmniej danej długości. Zalecane jest, aby zasady haseł wymagały minimalnej długości hasła "14". Ustawienie zasad złożoności hasła zwiększa odporność konta na próby logowania siłowego.
Ważność: średni rozmiar
Upewnij się, że uwierzytelnianie wieloskładnikowe (MFA) jest włączone dla wszystkich użytkowników usługi IAM, którzy mają hasło konsoli
Opis: Uwierzytelnianie wieloskładnikowe (MFA) dodaje dodatkową warstwę ochrony na podstawie nazwy użytkownika i hasła. Po włączeniu uwierzytelniania wieloskładnikowego, gdy użytkownik zaloguje się do witryny internetowej platformy AWS, zostanie wyświetlony monit o podanie nazwy użytkownika i hasła, a także kodu uwierzytelniania z urządzenia usługi AWS MFA. Zaleca się włączenie uwierzytelniania wieloskładnikowego dla wszystkich kont z hasłem konsoli. Włączenie uwierzytelniania wieloskładnikowego zapewnia zwiększone zabezpieczenia dostępu do konsoli, ponieważ wymaga uwierzytelniania podmiotu zabezpieczeń do posiadania urządzenia, które emituje klucz z uwzględnieniem czasu i ma wiedzę na temat poświadczeń.
Ważność: średni rozmiar
Należy włączyć funkcję GuardDuty
Opis: Aby zapewnić dodatkową ochronę przed włamaniami, funkcja GuardDuty powinna być włączona na koncie i regionie platformy AWS. Uwaga: Funkcja GuardDuty może nie być kompletnym rozwiązaniem dla każdego środowiska.
Ważność: średni rozmiar
Sprzętowa usługa MFA powinna być włączona dla konta "głównego"
Opis: konto główne jest najbardziej uprzywilejowanym użytkownikiem na koncie. Uwierzytelnianie wieloskładnikowe dodaje dodatkową warstwę ochrony na podstawie nazwy użytkownika i hasła. Po włączeniu uwierzytelniania wieloskładnikowego, gdy użytkownik zaloguje się do witryny internetowej platformy AWS, zostanie wyświetlony monit o podanie nazwy użytkownika i hasła oraz kodu uwierzytelniania z urządzenia usługi AWS MFA. W przypadku poziomu 2 zaleca się ochronę konta głównego przy użyciu sprzętowej uwierzytelniania wieloskładnikowego. Sprzętowa uwierzytelnianie wieloskładnikowe ma mniejszą powierzchnię ataków niż wirtualna uwierzytelnianie wieloskładnikowe. Na przykład sprzętowa uwierzytelnianie wieloskładnikowe nie cierpi na powierzchnię ataku wprowadzoną przez smartfon mobilny, na którym znajduje się wirtualna usługa MFA. W przypadku wielu kont korzystających ze sprzętowego uwierzytelniania wieloskładnikowego wiele kont może utworzyć problem z zarządzaniem urządzeniami logistycznymi. W takim przypadku rozważ selektywne wdrożenie tego zalecenia poziomu 2 dla najwyższych kont zabezpieczeń. Następnie możesz zastosować zalecenie poziomu 1 do pozostałych kont.
Ważność: Niska
Uwierzytelnianie IAM powinno być skonfigurowane dla klastrów usług pulpitu zdalnego
Opis: Ta kontrolka sprawdza, czy klaster bazy danych usług pulpitu zdalnego ma włączone uwierzytelnianie bazy danych IAM. Uwierzytelnianie bazy danych IAM umożliwia uwierzytelnianie bez hasła w wystąpieniach bazy danych. Uwierzytelnianie używa tokenu uwierzytelniania. Ruch sieciowy do i z bazy danych jest szyfrowany przy użyciu protokołu SSL. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie bazy danych IAM w przewodniku użytkownika amazon Aurora.
Ważność: średni rozmiar
Uwierzytelnianie IAM powinno być skonfigurowane dla wystąpień usług pulpitu zdalnego
Opis: Ta kontrolka sprawdza, czy wystąpienie bazy danych usług pulpitu zdalnego ma włączone uwierzytelnianie bazy danych IAM. Uwierzytelnianie bazy danych IAM umożliwia uwierzytelnianie wystąpień bazy danych przy użyciu tokenu uwierzytelniania zamiast hasła. Ruch sieciowy do i z bazy danych jest szyfrowany przy użyciu protokołu SSL. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie bazy danych IAM w przewodniku użytkownika amazon Aurora.
Ważność: średni rozmiar
Zasady zarządzane przez klienta zarządzania dostępem i tożsamościami nie powinny zezwalać na akcje odszyfrowywania we wszystkich kluczach usługi KMS
Opis: sprawdza, czy domyślna wersja zasad zarządzanych przez klienta IAM zezwala podmiotom zabezpieczeń na używanie akcji odszyfrowywania usługi AWS KMS we wszystkich zasobach. Ta kontrolka używa Zelkova, zautomatyzowanego aparatu rozumowania, aby zweryfikować i ostrzegać o zasadach, które mogą udzielić szerokiego dostępu do wpisów tajnych na kontach platformy AWS. Ta kontrolka kończy się niepowodzeniem, jeśli akcje "kms:Decrypt" lub "kms:ReEncryptFrom" są dozwolone we wszystkich kluczach usługi KMS. Kontrolka ocenia zarówno dołączone, jak i niezałączone zasady zarządzane przez klienta. Nie sprawdza zasad wbudowanych ani zasad zarządzanych przez platformę AWS. Dzięki usłudze AWS KMS możesz kontrolować, kto może używać kluczy usługi KMS i uzyskiwać dostęp do zaszyfrowanych danych. Zasady zarządzania dostępem i tożsamościami definiują, które akcje (użytkownik, grupa lub rola) mogą wykonywać na których zasobach. Zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń platforma AWS zaleca, aby zezwolić na najmniejsze uprawnienia. Innymi słowy, należy przyznać tożsamości tylko uprawnienia "kms:Decrypt" lub "kms:ReEncryptFrom" i tylko dla kluczy wymaganych do wykonania zadania. W przeciwnym razie użytkownik może używać kluczy, które nie są odpowiednie dla Twoich danych. Zamiast udzielać uprawnień wszystkim kluczom, określ minimalny zestaw kluczy, które użytkownicy muszą uzyskać dostęp do zaszyfrowanych danych. Następnie zaprojektuj zasady, które umożliwiają użytkownikom używanie tylko tych kluczy. Na przykład nie zezwalaj na uprawnienie "kms:Decrypt" dla wszystkich kluczy usługi KMS. Zamiast tego zezwól na "kms:Decrypt" tylko na klucze w określonym regionie dla twojego konta. Przyjmując zasadę najniższych uprawnień, można zmniejszyć ryzyko niezamierzonego ujawnienia danych.
Ważność: średni rozmiar
Utworzone zasady zarządzania dostępem i tożsamościami klientów nie powinny zezwalać na akcje z symbolami wieloznacznymi dla usług
Opis: Ta kontrolka sprawdza, czy utworzone zasady oparte na tożsamościach IAM mają instrukcje Zezwalaj używające symbolu wieloznakowego * w celu udzielenia uprawnień do wszystkich akcji w dowolnej usłudze. Kontrolka kończy się niepowodzeniem, jeśli jakakolwiek instrukcja zasad zawiera wartość "Effect": "Allow" z "Action": "Service:*". Na przykład następująca instrukcja w zasadach powoduje niepowodzenie wyszukiwania.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:*',
'Resource': '*'
}
Kontrolka również kończy się niepowodzeniem, jeśli używasz polecenia "Effect": "Allow" z elementem "NotAction": "service:". W takim przypadku element NotAction zapewnia dostęp do wszystkich akcji w usłudze AWS, z wyjątkiem akcji określonych w notAction. Ta kontrola dotyczy tylko zasad zarządzania dostępem i tożsamościami zarządzanych przez klienta. Nie dotyczy zasad zarządzania dostępem i tożsamościami zarządzanych przez platformę AWS. Po przypisaniu uprawnień do usług AWS ważne jest, aby ograniczyć zakres dozwolonych akcji zarządzania dostępem i tożsamościami w zasadach zarządzania dostępem i tożsamościami. Należy ograniczyć akcje zarządzania dostępem i tożsamościami tylko do tych akcji, które są potrzebne. Ułatwia to aprowizację uprawnień najniższych uprawnień. Nadmierne zasady permissive mogą prowadzić do eskalacji uprawnień, jeśli zasady są dołączone do podmiotu zabezpieczeń IAM, który może nie wymagać uprawnień. W niektórych przypadkach możesz zezwolić na akcje IAM, które mają podobny prefiks, takie jak DescribeFlowLogs i DescribeAvailabilityZones. W tych autoryzowanych przypadkach można dodać sufiks wieloznaczny do wspólnego prefiksu. Na przykład ec2:Describe.
Ta kontrolka przechodzi w przypadku użycia prefiksu akcji zarządzanie dostępem i tożsamościami z sufiksem wieloznacznymi. Na przykład następująca instrukcja w zasadach powoduje przekazanie wyników.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:Describe*',
'Resource': '*'
}
W przypadku grupowania powiązanych akcji zarządzania dostępem i tożsamościami w ten sposób można również uniknąć przekroczenia limitów rozmiaru zasad zarządzania dostępem i tożsamościami.
Ważność: Niska
Zasady zarządzania dostępem i tożsamościami powinny być dołączone tylko do grup lub ról
Opis: domyślnie użytkownicy, grupy i role zarządzania dostępem i tożsamościami nie mają dostępu do zasobów platformy AWS. Zasady zarządzania dostępem i tożsamościami to środki, za pomocą których uprawnienia są przyznawane użytkownikom, grupom lub rolam. Zaleca się stosowanie zasad zarządzania dostępem i tożsamościami bezpośrednio do grup i ról, ale nie do użytkowników. Przypisywanie uprawnień na poziomie grupy lub roli zmniejsza złożoność zarządzania dostępem w miarę wzrostu liczby użytkowników. Zmniejszenie złożoności zarządzania dostępem może z kolei zmniejszyć możliwość niezamierzonego odbierania lub zachowywania nadmiernych uprawnień podmiotu zabezpieczeń.
Ważność: Niska
Zasady zarządzania dostępem i tożsamościami zezwalające na pełne uprawnienia administracyjne ":" nie powinny być tworzone
Opis: Zasady zarządzania dostępem i tożsamościami to środki, za pomocą których uprawnienia są przyznawane użytkownikom, grupom lub rolam. Zaleca się i uważa się standardową poradę zabezpieczeń, aby przyznać najmniejsze uprawnienia, udzielając tylko uprawnień wymaganych do wykonania zadania. Określ, co użytkownicy muszą zrobić, a następnie utworzyć zasady, które umożliwiają użytkownikom wykonywanie tylko tych zadań, zamiast zezwalać na pełne uprawnienia administracyjne. Jest to bezpieczniejsze, aby rozpocząć od minimalnego zestawu uprawnień i przyznać dodatkowe uprawnienia w razie potrzeby, zamiast rozpoczynać od uprawnień, które są zbyt łagodne, a następnie próbuje je zaostrzyć później. Zapewnienie pełnych uprawnień administracyjnych zamiast ograniczać do minimalnego zestawu uprawnień wymaganych przez użytkownika do uwidaczniania zasobów potencjalnie niechcianych akcji. Zasady zarządzania dostępem i tożsamościami, które mają instrukcję "Effect": "Allow" z elementem "Action": "" over "Resource": "" należy usunąć.
Ważność: Wysoka
Podmioty zabezpieczeń zarządzania dostępem i tożsamościami nie powinny mieć zasad wbudowanych zarządzania dostępem i tożsamościami, które zezwalają na akcje odszyfrowywania we wszystkich kluczach usługi KMS
Opis: sprawdza, czy zasady wbudowane osadzone w tożsamościach IAM (rola, użytkownik lub grupa) zezwalają na akcje odszyfrowywania usługi AWS KMS we wszystkich kluczach usługi KMS. Ta kontrolka używa Zelkova, zautomatyzowanego aparatu rozumowania, aby zweryfikować i ostrzegać o zasadach, które mogą udzielić szerokiego dostępu do wpisów tajnych na kontach platformy AWS. Ta kontrolka kończy się niepowodzeniem, jeśli akcje "kms:Decrypt" lub "kms:ReEncryptFrom" są dozwolone we wszystkich kluczach usługi KMS w zasadach wbudowanych. Dzięki usłudze AWS KMS możesz kontrolować, kto może używać kluczy usługi KMS i uzyskiwać dostęp do zaszyfrowanych danych. Zasady zarządzania dostępem i tożsamościami definiują, które akcje (użytkownik, grupa lub rola) mogą wykonywać na których zasobach. Zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń platforma AWS zaleca, aby zezwolić na najmniejsze uprawnienia. Innymi słowy, należy udzielić tożsamościom tylko potrzebnych im uprawnień i tylko dla kluczy wymaganych do wykonania zadania. W przeciwnym razie użytkownik może używać kluczy, które nie są odpowiednie dla Twoich danych. Zamiast udzielać uprawnień do wszystkich kluczy, określ minimalny zestaw kluczy, które użytkownicy muszą uzyskać dostęp do zaszyfrowanych danych. Następnie zaprojektuj zasady, które umożliwiają użytkownikom używanie tylko tych kluczy. Na przykład nie zezwalaj na uprawnienie "kms:Decrypt" dla wszystkich kluczy usługi KMS. Zamiast tego zezwalaj na nie tylko na kluczach w określonym regionie dla twojego konta. Przyjmując zasadę najniższych uprawnień, można zmniejszyć ryzyko niezamierzonego ujawnienia danych.
Ważność: średni rozmiar
Funkcje lambda powinny ograniczać dostęp publiczny
Opis: Zasady oparte na zasobach funkcji lambda powinny ograniczać dostęp publiczny. To zalecenie nie sprawdza dostępu przez podmioty zabezpieczeń wewnętrznych. Upewnij się, że dostęp do funkcji jest ograniczony do autoryzowanych podmiotów zabezpieczeń tylko przy użyciu zasad opartych na zasobach z najmniejszymi uprawnieniami.
Ważność: Wysoka
Uwierzytelnianie wieloskładnikowe powinno być włączone dla wszystkich użytkowników zarządzania dostępem i tożsamościami
Opis: wszyscy użytkownicy IAM powinni mieć włączone uwierzytelnianie wieloskładnikowe (MFA).
Ważność: średni rozmiar
Uwierzytelnianie wieloskładnikowe powinno być włączone dla konta "głównego"
Opis: konto główne jest najbardziej uprzywilejowanym użytkownikiem na koncie. Uwierzytelnianie wieloskładnikowe dodaje dodatkową warstwę ochrony na podstawie nazwy użytkownika i hasła. Po włączeniu uwierzytelniania wieloskładnikowego, gdy użytkownik zaloguje się do witryny internetowej platformy AWS, zostanie wyświetlony monit o podanie nazwy użytkownika i hasła oraz kodu uwierzytelniania z urządzenia usługi AWS MFA. W przypadku korzystania z wirtualnej uwierzytelniania wieloskładnikowego dla kont głównych zaleca się, aby używane urządzenie nie było urządzeniem osobistym. Zamiast tego należy użyć dedykowanego urządzenia przenośnego (tabletu lub telefonu), którym zarządzasz, aby zachować opłaty i zabezpieczyć niezależnie od poszczególnych urządzeń osobistych. Zmniejsza to ryzyko utraty dostępu do uwierzytelniania wieloskładnikowego z powodu utraty urządzenia, handlu urządzeniami lub jeśli osoba będąca właścicielem urządzenia nie jest już zatrudniona w firmie.
Ważność: Niska
Zasady haseł dla użytkowników IAM powinny mieć silne konfiguracje
Opis: sprawdza, czy zasady haseł konta dla użytkowników IAM używają następujących minimalnych konfiguracji.
- RequireUppercaseCharacters — wymaga co najmniej jednego znaku wielkiej litery w haśle. (Wartość domyślna = true)
- RequireLowercaseCharacters — wymaga co najmniej jednego małego znaku w haśle. (Wartość domyślna = true)
- RequireNumbers — wymagaj co najmniej jednej liczby w haśle. (Wartość domyślna = true)
- MinimumPasswordLength — minimalna długość hasła. (Wartość domyślna = 7 lub dłużej)
- PasswordReusePrevention — liczba haseł przed ponownym użyciem. (Ustawienie domyślne = 4)
- MaxPasswordAge — liczba dni przed wygaśnięciem hasła. (Ustawienie domyślne = 90)
Ważność: średni rozmiar
Klucz dostępu do konta głównego nie powinien istnieć
Opis: Konto główne jest najbardziej uprzywilejowanym użytkownikiem na koncie platformy AWS. Klucze dostępu platformy AWS zapewniają dostęp programowy do danego konta platformy AWS. Zaleca się usunięcie wszystkich kluczy dostępu skojarzonych z kontem głównym. Usuwanie kluczy dostępu skojarzonych z wektorami limitów kont głównych, za pomocą których można naruszyć bezpieczeństwo konta. Ponadto usunięcie kluczy dostępu głównego zachęca do tworzenia i używania kont opartych na rolach, które są najmniej uprzywilejowane.
Ważność: Wysoka
Ustawienie Blokuj dostęp publiczny S3 powinno być włączone
Opis: włączenie ustawienia Blokuj dostęp publiczny dla zasobnika S3 może pomóc zapobiec wyciekom poufnych danych i chronić zasobnik przed złośliwymi akcjami.
Ważność: średni rozmiar
Ustawienie Blokuj dostęp publiczny S3 powinno być włączone na poziomie zasobnika
Opis: Ta kontrolka sprawdza, czy zasobniki S3 mają zastosowane bloki dostępu publicznego na poziomie zasobnika. Ta kontrolka kończy się niepowodzeniem, jeśli którekolwiek z następujących ustawień ma wartość false:
- ignorePublicAcls
- blockPublicPolicy
- blockPublicAcls
- restrictPublicBuckets Blokuj dostęp publiczny na poziomie zasobnika S3 zapewnia kontrolki, aby zapewnić, że obiekty nigdy nie mają dostępu publicznego. Dostęp publiczny jest udzielany zasobnikom i obiektom za pośrednictwem list kontroli dostępu (ACL), zasad zasobników lub obu tych elementów. Jeśli nie zamierzasz mieć publicznie dostępnych zasobników S3, należy skonfigurować funkcję dostępu publicznego na poziomie zasobnika Amazon S3.
Ważność: Wysoka
Publiczne dostęp do odczytu zasobników S3 powinien zostać usunięty
Opis: Usunięcie publicznego dostępu do odczytu do zasobnika S3 może pomóc w ochronie danych i zapobiec naruszeniu zabezpieczeń danych.
Ważność: Wysoka
Należy usunąć dostęp do publicznego zapisu zasobników S3
Opis: Zezwolenie na publiczny dostęp do zapisu w zasobniku S3 może pozostawić cię podatnym na złośliwe działania, takie jak przechowywanie danych kosztem, szyfrowanie plików okupu lub używanie zasobnika do obsługi złośliwego oprogramowania.
Ważność: Wysoka
Wpisy tajne menedżera wpisów tajnych powinny mieć włączoną automatyczną rotację
Opis: Ta kontrolka sprawdza, czy wpis tajny przechowywany w menedżerze wpisów tajnych platformy AWS jest skonfigurowany z automatycznym obracaniem. Menedżer wpisów tajnych pomaga zwiększyć poziom zabezpieczeń organizacji. Wpisy tajne obejmują poświadczenia bazy danych, hasła i klucze interfejsu API innych firm. Menedżer wpisów tajnych umożliwia centralne przechowywanie wpisów tajnych, automatyczne szyfrowanie wpisów tajnych, kontrolowanie dostępu do wpisów tajnych oraz bezpieczne i automatyczne obracanie wpisów tajnych. Menedżer wpisów tajnych może obracać wpisy tajne. Rotacja służy do zastępowania długoterminowych wpisów tajnych krótkoterminowymi. Rotacja wpisów tajnych ogranicza czas, przez jaki nieautoryzowany użytkownik może używać naruszonego wpisu tajnego. Z tego powodu należy często wymieniać wpisy tajne. Aby dowiedzieć się więcej na temat rotacji, zobacz Rotacja wpisów tajnych menedżera wpisów tajnych platformy AWS w podręczniku użytkownika menedżera wpisów tajnych platformy AWS.
Ważność: średni rozmiar
Zatrzymane wystąpienia usługi EC2 należy usunąć po określonym przedziale czasu
Opis: Ta kontrolka sprawdza, czy jakiekolwiek wystąpienia usługi EC2 zostały zatrzymane przez więcej niż dozwoloną liczbę dni. Wystąpienie usługi EC2 nie powiedzie się, czy zostało zatrzymane przez dłuższy niż maksymalny dozwolony okres, który domyślnie wynosi 30 dni. Niepowodzenie ustalenia wskazuje, że wystąpienie usługi EC2 nie działa przez dłuższy czas. Powoduje to zagrożenie bezpieczeństwa, ponieważ wystąpienie usługi EC2 nie jest aktywnie utrzymywane (analizowane, poprawiane, aktualizowane). Jeśli zostanie ona później uruchomiona, brak odpowiedniej konserwacji może spowodować nieoczekiwane problemy w środowisku platformy AWS. Aby bezpiecznie zachować wystąpienie usługi EC2 w czasie w stanie nieuruchomieniu, należy uruchomić je okresowo w celu konserwacji, a następnie zatrzymać je po konserwacji. W idealnym przypadku jest to zautomatyzowany proces.
Ważność: średni rozmiar
Tożsamości z nadmierną aprowizowaną usługą AWS powinny mieć tylko niezbędne uprawnienia (wersja zapoznawcza)
Opis: Zaaprowizowana aktywna tożsamość to tożsamość, która ma dostęp do uprawnień, które nie zostały użyte. Zaaprowizowane aktywne tożsamości, zwłaszcza w przypadku kont innych niż ludzkie, które mają zdefiniowane akcje i obowiązki, mogą zwiększyć promień wybuchu w przypadku naruszenia bezpieczeństwa użytkownika, klucza lub zasobu. Usuń niepotrzebne uprawnienia i ustanów procesy przeglądu, aby uzyskać najmniej uprzywilejowane uprawnienia.
Ważność: średni rozmiar
Nieużywane tożsamości w środowisku platformy AWS powinny zostać usunięte (wersja zapoznawcza)
Opis: Nieaktywne tożsamości to ludzkie i nieludzkie jednostki, które nie wykonały żadnej akcji na żadnym zasobie w ciągu ostatnich 90 dni. Nieaktywne tożsamości zarządzania dostępem i tożsamościami z uprawnieniami wysokiego ryzyka na koncie platformy AWS mogą być podatne na ataki, jeśli pozostawiono je bez zmian i pozostaw organizacje otwarte na niewłaściwe użycie poświadczeń lub wykorzystanie. Proaktywne wykrywanie nieużywanych tożsamości i reagowanie na nieużywane tożsamości pomaga zapobiec uzyskiwaniu dostępu do zasobów platformy AWS przez nieautoryzowane jednostki.
Ważność: średni rozmiar
Zalecenia dotyczące sieci platformy AWS
Usługa Amazon EC2 powinna być skonfigurowana do używania punktów końcowych VPC
Opis: Ta kontrolka sprawdza, czy dla każdego VPC jest tworzony punkt końcowy usługi dla usługi Amazon EC2. Kontrolka kończy się niepowodzeniem, jeśli VPC nie ma punktu końcowego VPC utworzonego dla usługi Amazon EC2. Aby poprawić stan zabezpieczeń maszyny wirtualnej VPC, możesz skonfigurować usługę Amazon EC2 do korzystania z punktu końcowego VPC interfejsu. Punkty końcowe interfejsu są obsługiwane przez usługę AWS PrivateLink, czyli technologię, która umożliwia prywatną dostęp do operacji interfejsu API usługi Amazon EC2. Ogranicza cały ruch sieciowy między VPC i Amazon EC2 do sieci Amazon. Ponieważ punkty końcowe są obsługiwane tylko w tym samym regionie, nie można utworzyć punktu końcowego między serwerem VPC a usługą w innym regionie. Zapobiega to niezamierzonym wywołaniom interfejsu API usługi Amazon EC2 do innych regionów. Aby dowiedzieć się więcej na temat tworzenia punktów końcowych VPC dla usługi Amazon EC2, zobacz Punkty końcowe usługi Amazon EC2 i interfejsu VPC w przewodniku użytkownika usługi Amazon EC2 dla wystąpień systemu Linux.
Ważność: średni rozmiar
Usługi Amazon ECS nie powinny mieć przypisanych automatycznie publicznych adresów IP
Opis: Publiczny adres IP jest adresem IP dostępnym z Internetu. Jeśli uruchomisz wystąpienia usługi Amazon ECS z publicznym adresem IP, wystąpienia usługi Amazon ECS będą dostępne z Internetu. Usługi Amazon ECS nie powinny być publicznie dostępne, ponieważ może to umożliwić niezamierzony dostęp do serwerów aplikacji kontenera.
Ważność: Wysoka
Węzły główne klastra usługi Amazon EMR nie powinny mieć publicznych adresów IP
Opis: Ta kontrolka sprawdza, czy węzły główne w klastrach Amazon EMR mają publiczne adresy IP. Kontrolka kończy się niepowodzeniem, jeśli węzeł główny ma publiczne adresy IP skojarzone z dowolnym z jego wystąpień. Publiczne adresy IP są wyznaczone w polu PublicIp konfiguracji NetworkInterfaces dla wystąpienia. Ta kontrolka sprawdza tylko klastry Amazon EMR, które znajdują się w stanie RUNNING lub WAITING.
Ważność: Wysoka
Klastry Amazon Redshift powinny używać rozszerzonego routingu VPC
Opis: Ta kontrolka sprawdza, czy klaster Amazon Redshift ma włączoną usługę EnhancedVpcRouting. Ulepszony routing VPC wymusza cały ruch COPY i UNLOAD między klastrem a repozytoriami danych w celu przejścia przez VPC. Następnie można użyć funkcji VPC, takich jak grupy zabezpieczeń i listy kontroli dostępu do sieci, aby zabezpieczyć ruch sieciowy. Dzienniki przepływu VPC można również użyć do monitorowania ruchu sieciowego.
Ważność: Wysoka
Moduł równoważenia obciążenia aplikacji należy skonfigurować tak, aby przekierowywał wszystkie żądania HTTP do protokołu HTTPS
Opis: Aby wymusić szyfrowanie podczas przesyłania, należy użyć akcji przekierowania z modułami równoważenia obciążenia aplikacji w celu przekierowania żądań HTTP klienta do żądania HTTPS na porcie 443.
Ważność: średni rozmiar
Moduły równoważenia obciążenia aplikacji należy skonfigurować tak, aby usuwały nagłówki HTTP
Opis: Ta kontrolka ocenia moduły równoważenia obciążenia aplikacji platformy AWS (ALB), aby upewnić się, że są skonfigurowane do upuszczania nieprawidłowych nagłówków HTTP. Kontrolka kończy się niepowodzeniem, jeśli wartość routing.http.drop_invalid_header_fields.enabled jest ustawiona na wartość false. Domyślnie alb nie są skonfigurowane do porzucania nieprawidłowych wartości nagłówka HTTP. Usunięcie tych wartości nagłówka zapobiega atakom desync HTTP.
Ważność: średni rozmiar
Konfigurowanie funkcji lambda do VPC
Opis: Ta kontrolka sprawdza, czy funkcja lambda znajduje się w VPC. Nie ocenia konfiguracji routingu podsieci VPC w celu określenia dostępności publicznej. Należy pamiętać, że jeśli Lambda@Edge zostanie znaleziona na koncie, ta kontrolka generuje wyniki niepowodzenia. Aby zapobiec tym ustaleniam, możesz wyłączyć tę kontrolkę.
Ważność: Niska
Wystąpienia usługi EC2 nie powinny mieć publicznego adresu IP
Opis: Ta kontrolka sprawdza, czy wystąpienia usługi EC2 mają publiczny adres IP. Kontrolka kończy się niepowodzeniem, jeśli pole "publicIp" znajduje się w elemencie konfiguracji wystąpienia usługi EC2. Ta kontrolka dotyczy tylko adresów IPv4. Publiczny adres IPv4 to adres IP dostępny z Internetu. Jeśli uruchomisz wystąpienie przy użyciu publicznego adresu IP, wystąpienie usługi EC2 będzie dostępne z Internetu. Prywatny adres IPv4 to adres IP, który nie jest dostępny z Internetu. Prywatne adresy IPv4 można używać do komunikacji między wystąpieniami usługi EC2 w tej samej sieci VPC lub w połączonej sieci prywatnej. Adresy IPv6 są globalnie unikatowe i dlatego są dostępne z Internetu. Jednak domyślnie wszystkie podsieci mają atrybut adresowania IPv6 ustawiony na wartość false. Aby uzyskać więcej informacji na temat protokołu IPv6, zobacz Adresowanie IP w VPC w podręczniku użytkownika usługi Amazon VPC . Jeśli masz uzasadniony przypadek użycia do obsługi wystąpień USŁUGI EC2 z publicznymi adresami IP, możesz pominąć wyniki tej kontroli. Aby uzyskać więcej informacji na temat opcji architektury frontonu, zobacz blog dotyczący architektury platformy AWS lub serię This Is My Architecture (To jest moja architektura).
Ważność: Wysoka
Wystąpienia usługi EC2 nie powinny używać wielu enI
Opis: Ta kontrolka sprawdza, czy wystąpienie usługi EC2 używa wielu elastycznych interfejsów sieciowych (ENI) lub elastycznych kart sieci szkieletowych (EFA). Ta kontrolka przechodzi w przypadku użycia pojedynczej karty sieciowej. Kontrolka zawiera opcjonalną listę parametrów identyfikującą dozwolone enI. Wiele enI może powodować wystąpienia z dwoma homed, co oznacza, że wystąpienia, które mają wiele podsieci. Może to zwiększyć złożoność zabezpieczeń sieci i wprowadzić niezamierzone ścieżki sieciowe i dostęp.
Ważność: Niska
Wystąpienia usługi EC2 powinny używać usługi IMDSv2
Opis: Ta kontrolka sprawdza, czy wersja metadanych wystąpienia usługi EC2 jest skonfigurowana przy użyciu usługi metadanych wystąpienia w wersji 2 (IMDSv2). Kontrolka przechodzi, jeśli parametr "HttpTokens" jest ustawiony na wartość "required" dla usługi IMDSv2. Kontrolka kończy się niepowodzeniem, jeśli wartość "HttpTokens" jest ustawiona na wartość "optional". Metadane wystąpienia służą do konfigurowania uruchomionego wystąpienia lub zarządzania nim. ImDS zapewnia dostęp do tymczasowych, często obracanych poświadczeń. Te poświadczenia usuwają potrzebę kodowania twardego lub dystrybuowania poufnych poświadczeń do wystąpień ręcznie lub programowo. ImDS jest dołączany lokalnie do każdego wystąpienia usługi EC2. Jest on uruchamiany na specjalnym adresie IP "link lokalny" 169.254.169.254. Ten adres IP jest dostępny tylko przez oprogramowanie, które działa w wystąpieniu. Wersja 2 usługi IMDS dodaje nowe zabezpieczenia dla następujących typów luk w zabezpieczeniach. Te luki w zabezpieczeniach mogą służyć do próby uzyskania dostępu do imDS.
- Otwieranie zapór aplikacji witryny internetowej
- Otwieranie odwrotnych serwerów proxy
- Luki w zabezpieczeniach żądania po stronie serwera (SSRF)
- Open Layer 3 firewalls and network address translation (NAT) Security Hub zaleca skonfigurowanie wystąpień USŁUGI EC2 za pomocą usługi IMDSv2.
Ważność: Wysoka
Podsieci EC2 nie powinny automatycznie przypisywać publicznych adresów IP
Opis: Ta kontrolka sprawdza, czy przypisanie publicznych adresów IP w podsieciach Amazon Virtual Private Cloud (Amazon VPC) ma ustawioną wartość "MapPublicIpOnLaunch". Kontrolka przechodzi, jeśli flaga jest ustawiona na "FAŁSZ". Wszystkie podsieci mają atrybut określający, czy interfejs sieciowy utworzony w podsieci automatycznie odbiera publiczny adres IPv4. Wystąpienia uruchamiane w podsieciach z włączonym tym atrybutem mają publiczny adres IP przypisany do podstawowego interfejsu sieciowego.
Ważność: średni rozmiar
Upewnij się, że istnieje filtr metryki dziennika i alarm dla zmian konfiguracji konfiguracji platformy AWS
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Zaleca się ustanowienie filtru metryki i alarmu w celu wykrywania zmian w konfiguracjach usługi CloudTrail. Monitorowanie zmian w konfiguracji konfiguracji platformy AWS pomaga zapewnić trwały wgląd elementów konfiguracji na koncie platformy AWS.
Ważność: Niska
Upewnij się, że istnieje filtr metryki dziennika i alarm dla błędów uwierzytelniania w konsoli zarządzania platformy AWS
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Zaleca się ustanowienie filtru metryki i alarmu w przypadku nieudanych prób uwierzytelniania konsoli. Monitorowanie nieudanych logowań konsoli może skrócić czas realizacji w celu wykrycia próby wymuszenia próby wymuszenia poświadczenia, co może dostarczyć wskaźnik, taki jak źródłowy adres IP, który może być używany w innej korelacji zdarzeń.
Ważność: Niska
Upewnij się, że istnieje filtr metryki dziennika i alarm dla zmian w listach kontroli dostępu do sieci (NACL)
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Listy NACLs są używane jako bezstanowy filtr pakietów do kontrolowania ruchu przychodzącego i wychodzącego dla podsieci w ramach VPC. Zaleca się ustanowienie filtru metryki i alarmu dla zmian wprowadzonych w listach NACLs. Monitorowanie zmian w listach NACLs pomaga zagwarantować, że zasoby i usługi platformy AWS nie są przypadkowo uwidocznione.
Ważność: Niska
Upewnij się, że istnieje filtr metryki dziennika i alarm dla zmian w bramach sieci
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Bramy sieci są wymagane do wysyłania/odbierania ruchu do miejsca docelowego poza siecią VPC. Zaleca się ustanowienie filtru metryki i alarmu w przypadku zmian w bramach sieci. Monitorowanie zmian w bramach sieciowych pomaga zapewnić, że cały ruch przychodzący/wychodzący przechodzi przez obramowanie VPC za pośrednictwem kontrolowanej ścieżki.
Ważność: Niska
Upewnij się, że istnieje filtr metryki dziennika i alarm dla zmian konfiguracji cloudTrail
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Zaleca się ustanowienie filtru metryki i alarmu w celu wykrywania zmian w konfiguracjach usługi CloudTrail.
Monitorowanie zmian w konfiguracji usługi CloudTrail pomaga zapewnić trwały wgląd w działania wykonywane na koncie platformy AWS.
Ważność: Niska
Upewnij się, że istnieje filtr metryki dziennika i alarm dotyczący wyłączania lub zaplanowanego usuwania utworzonych przez klienta zestawów cmKs
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Zaleca się ustanowienie filtru metryki i alarmu dla utworzonych przez klienta zestawów CMKs, które zmieniły stan na wyłączone lub zaplanowane usunięcie. Dane zaszyfrowane przy użyciu wyłączonych lub usuniętych kluczy nie będą już dostępne.
Ważność: Niska
Upewnij się, że istnieje filtr metryki dziennika i alarm dla zmian zasad zarządzania dostępem i tożsamościami
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Zaleca się ustanowienie zmian filtru metryki i alarmu w zasadach zarządzania tożsamościami i dostępem (IAM). Monitorowanie zmian zasad zarządzania dostępem i tożsamościami pomaga zapewnić, że mechanizmy kontroli uwierzytelniania i autoryzacji pozostaną nienaruszone.
Ważność: Niska
Upewnij się, że istnieje filtr metryki dziennika i alarm dla logowania w konsoli zarządzania bez uwierzytelniania wieloskładnikowego
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Zaleca się ustanowienie filtru metryki i alarmu dla identyfikatorów logowania konsoli, które nie są chronione przez uwierzytelnianie wieloskładnikowe (MFA). Monitorowanie logowania do konsoli jednoskładnikowej zwiększa wgląd w konta, które nie są chronione przez usługę MFA.
Ważność: Niska
Upewnij się, że istnieje filtr metryk dziennika i alarm dla zmian tabeli tras
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Tabele routingu służą do kierowania ruchu sieciowego między podsieciami i do bram sieciowych. Zaleca się ustanowienie filtru metryki i alarmu dla zmian w tabelach tras. Monitorowanie zmian w tabelach tras pomaga zapewnić, że cały ruch VPC przepływa przez oczekiwaną ścieżkę.
Ważność: Niska
Upewnij się, że istnieje filtr metryk dziennika i alarm dla zmian zasad zasobnika S3
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Zaleca się ustanowienie filtru metryki i alarmu dla zmian zasad zasobnika S3. Monitorowanie zmian w zasadach zasobników S3 może skrócić czas wykrywania i poprawiania zasad dotyczących poufnych zasobników S3.
Ważność: Niska
Upewnij się, że istnieje filtr metryki dziennika i alarm dla zmian grupy zabezpieczeń
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Grupy zabezpieczeń to stanowy filtr pakietów, który kontroluje ruch przychodzący i wychodzący w ramach VPC. Zaleca się ustanowienie filtru metryki i alarmu w grupach zabezpieczeń. Monitorowanie zmian w grupie zabezpieczeń pomaga zagwarantować, że zasoby i usługi nie są przypadkowo uwidocznione.
Ważność: Niska
Upewnij się, że istnieje filtr metryki dziennika i alarm dla nieautoryzowanych wywołań interfejsu API
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Zaleca się ustanowienie filtru metryki i alarmu dla nieautoryzowanych wywołań interfejsu API. Monitorowanie nieautoryzowanych wywołań interfejsu API pomaga ujawnić błędy aplikacji i może skrócić czas wykrywania złośliwych działań.
Ważność: Niska
Upewnij się, że istnieje filtr metryki dziennika i alarm dotyczący użycia konta "root"
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Zaleca się ustanowienie filtru metryki i alarmu dla prób logowania głównego.
Monitorowanie identyfikatorów logowania konta głównego zapewnia wgląd w korzystanie z w pełni uprzywilejowanego konta i możliwość zmniejszenia jego użycia.
Ważność: Niska
Upewnij się, że istnieje filtr metryki dziennika i alarm dla zmian VPC
Opis: Monitorowanie wywołań interfejsu API w czasie rzeczywistym można osiągnąć, kierując dzienniki CloudTrail do dzienników CloudWatch i ustanawiając odpowiednie filtry metryk i alarmy. Istnieje możliwość posiadania więcej niż jednego wirtualnego wywołania procedury na koncie, ponadto istnieje również możliwość utworzenia połączenia równorzędnego między 2 wirtualnymi kontrolerami sieciowymi umożliwiającymi kierowanie ruchu sieciowego między wirtualnymi kontrolerami sieci. Zaleca się ustanowienie filtru metryki i alarmu dla zmian wprowadzonych w sieciACH VPN. Monitorowanie zmian zasad zarządzania dostępem i tożsamościami pomaga zapewnić, że mechanizmy kontroli uwierzytelniania i autoryzacji pozostaną nienaruszone.
Ważność: Niska
Upewnij się, że żadne grupy zabezpieczeń nie zezwalają na ruch przychodzący z wersji 0.0.0.0/0 do portu 3389
Opis: Grupy zabezpieczeń zapewniają stanowe filtrowanie ruchu sieciowego ruchu przychodzącego/wychodzącego do zasobów platformy AWS. Zaleca się, aby żadna grupa zabezpieczeń nie zezwalała na nieograniczony dostęp przychodzący do portu 3389. Usunięcie nieskrępowanej łączności z zdalnymi usługami konsoli, takimi jak RDP, zmniejsza narażenie serwera na ryzyko.
Ważność: Wysoka
Bazy danych i klastry usług pulpitu zdalnego nie powinny używać domyślnego portu aparatu bazy danych
Opis: Ta kontrolka sprawdza, czy klaster usług pulpitu zdalnego lub wystąpienie używa portu innego niż domyślny port aparatu bazy danych. Jeśli używasz znanego portu do wdrożenia klastra lub wystąpienia usług pulpitu zdalnego, osoba atakująca może odgadnąć informacje o klastrze lub wystąpieniu. Osoba atakująca może używać tych informacji w połączeniu z innymi informacjami, aby nawiązać połączenie z klastrem usług pulpitu zdalnego lub wystąpieniem lub uzyskać dodatkowe informacje o aplikacji. Po zmianie portu należy również zaktualizować istniejące parametry połączenia, które zostały użyte do nawiązania połączenia ze starym portem. Należy również sprawdzić grupę zabezpieczeń wystąpienia bazy danych, aby upewnić się, że zawiera regułę ruchu przychodzącego zezwalającą na łączność na nowym porcie.
Ważność: Niska
Wystąpienia usług pulpitu zdalnego powinny być wdrażane w VPC
Opis: VpCs zapewniają szereg mechanizmów kontroli sieci w celu zabezpieczenia dostępu do zasobów usług pulpitu zdalnego. Te kontrolki obejmują punkty końcowe VPC, listy ACL sieci i grupy zabezpieczeń. Aby skorzystać z tych kontrolek, zalecamy przeniesienie wystąpień usług pulpitu zdalnego EC2-Classic do ec2-VPC.
Ważność: Niska
Zasobniki S3 powinny wymagać żądań używania protokołu Secure Socket Layer
Opis: Zalecamy wymaganie od żądań używania protokołu Secure Socket Layer (SSL) we wszystkich zasobnikach usługi Amazon S3. Zasobniki S3 powinny mieć zasady, które wymagają wszystkich żądań ('Action: S3:*'), aby akceptowały tylko przesyłanie danych za pośrednictwem protokołu HTTPS w zasadach zasobów S3, wskazywane przez klucz warunku "aws:SecureTransport".
Ważność: średni rozmiar
Grupy zabezpieczeń nie powinny zezwalać na ruch przychodzący z wersji 0.0.0.0/0 do portu 22
Opis: Aby zmniejszyć narażenie serwera, zaleca się, aby nie zezwalać na nieograniczony dostęp przychodzący do portu "22".
Ważność: Wysoka
Grupy zabezpieczeń nie powinny zezwalać na nieograniczony dostęp do portów z wysokim ryzykiem
Opis: Ta kontrolka sprawdza, czy nieograniczony ruch przychodzący dla grup zabezpieczeń jest dostępny dla określonych portów, które mają największe ryzyko. Ta kontrolka przechodzi, gdy żadna z reguł w grupie zabezpieczeń nie zezwala na ruch przychodzący z 0.0.0.0/0 dla tych portów. Nieograniczony dostęp (0.0.0.0/0) zwiększa możliwości złośliwego działania, takie jak ataki hakerskie, ataki typu "odmowa usługi" i utrata danych. Grupy zabezpieczeń zapewniają stanowe filtrowanie ruchu przychodzącego i wychodzącego ruchu sieciowego do zasobów platformy AWS. Żadna grupa zabezpieczeń nie powinna zezwalać na nieograniczony dostęp przychodzący do następujących portów:
- 3389 (RDP)
- 20, 21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 110 (POP3)
- 143 (IMAP)
- 3306 (MySQL)
- 8080 (serwer proxy)
- 1433, 1434 (MSSQL)
- 9200 lub 9300 (Elasticsearch)
- 5601 (Kibana)
- 25 (SMTP)
- 445 (CIFS)
- 135 (RPC)
- 4333 (ahsp)
- 5432 (postgresql)
- 5500 (fcp-addr-srvr1)
Ważność: średni rozmiar
Grupy zabezpieczeń powinny zezwalać tylko na nieograniczony ruch przychodzący dla autoryzowanych portów
Opis: Ta kontrolka sprawdza, czy grupy zabezpieczeń, które są używane zezwalają na nieograniczony ruch przychodzący. Opcjonalnie reguła sprawdza, czy numery portów są wyświetlane w parametrze "authorizedTcpPorts".
- Jeśli numer portu reguły grupy zabezpieczeń zezwala na nieograniczony ruch przychodzący, ale numer portu jest określony w "authorizedTcpPorts", kontrolka przechodzi. Wartość domyślna "authorizedTcpPorts" to 80, 443.
- Jeśli numer portu reguły grupy zabezpieczeń zezwala na nieograniczony ruch przychodzący, ale numer portu nie jest określony w parametrze wejściowym authorizedTcpPorts, kontrolka kończy się niepowodzeniem.
- Jeśli parametr nie jest używany, kontrolka kończy się niepowodzeniem dla każdej grupy zabezpieczeń, która ma nieograniczoną regułę ruchu przychodzącego. Grupy zabezpieczeń zapewniają stanowe filtrowanie ruchu przychodzącego i wychodzącego do platformy AWS. Reguły grupy zabezpieczeń powinny być zgodne z zasadą najmniej uprzywilejowanego dostępu. Nieograniczony dostęp (adres IP z sufiksem /0) zwiększa możliwość złośliwych działań, takich jak hacking, ataki typu "odmowa usługi" i utrata danych. Jeśli port nie jest w szczególności dozwolony, port powinien blokować nieograniczony dostęp.
Ważność: Wysoka
Należy usunąć nieużywane adresy EIPS EC2
Opis: Elastyczne adresy IP przydzielone do VPC powinny być dołączone do wystąpień usługi Amazon EC2 lub elastycznych interfejsów sieciowych (ENI).
Ważność: Niska
Należy usunąć nieużywane listy kontroli dostępu do sieci
Opis: Ta kontrolka sprawdza, czy istnieją nieużywane listy kontroli dostępu do sieci (ACL). Kontrolka sprawdza konfigurację elementu zasobu "AWS::EC2::NetworkAcl" i określa relacje listy ACL sieci. Jeśli jedyną relacją jest VPC listy ACL sieci, kontrolka kończy się niepowodzeniem. Jeśli zostaną wyświetlone inne relacje, kontrolka przejdzie pomyślnie.
Ważność: Niska
Domyślna grupa zabezpieczeń VPC powinna ograniczać cały ruch
Opis: Grupa zabezpieczeń powinna ograniczyć cały ruch, aby zmniejszyć narażenie na zasoby.
Ważność: Niska