Рекомендации по безопасности для ресурсов Amazon Web Services (AWS)

Статья
03/20/2024

В этой статье перечислены все рекомендации, которые могут отображаться в Microsoft Defender для облака при подключении учетной записи Amazon Web Services (AWS) с помощью страницы параметров среды. Рекомендации, которые отображаются в вашей среде, основаны на ресурсах, которые вы защищаете, и на настраиваемой конфигурации.

Дополнительные сведения о действиях, которые можно предпринять в ответ на эти рекомендации, см. в разделе "Исправление рекомендаций" в Defender для облака.

Оценка безопасности зависит от количества завершенных рекомендаций по безопасности. Чтобы решить, какие рекомендации необходимо сначала устранить, ознакомьтесь с серьезностью каждой рекомендации и ее потенциальным воздействием на оценку безопасности.

Описание. Этот элемент управления проверка, включены ли кластеры Amazon Aurora. Резервные копии помогают быстро восстановить работоспособность после инцидента безопасности. Они также позволяют повысить устойчивость ваших систем. Обратное отслеживание Aurora сокращает время восстановления базы данных до точки во времени. Для этого не требуется восстановление базы данных. Дополнительные сведения об обратном отслеживании в Aurora см. в разделе Backtracking an Aurora DB cluster (Обратное отслеживание в кластере Aurora DB) в руководстве пользователя Amazon Aurora.

Серьезность: средний

Моментальные снимки Amazon EBS не должны быть общедоступными для восстановления

Описание. Моментальные снимки Amazon EBS не должны быть общедоступными для всех, если не разрешено явно, чтобы избежать случайного воздействия данных. Кроме того, разрешение на изменение конфигураций Amazon EBS должно быть предоставлено только уполномоченным учетным записям AWS.

Серьезность: высокий уровень

У определений задач ECS должны быть защищенные сетевые режимы и определения пользователей

Описание. Этот элемент управления проверка, имеет ли активное определение задачи Amazon ECS с сетевым режимом узла также имеет привилегированные или пользовательские определения контейнеров. Элемент управления завершается ошибкой для определений задач, которые используют режим сети узла и определения контейнеров, где параметр privileged=false (или пустое значение) и user=root (или пустое значение). Если определение задачи имеет повышенные привилегии, это связано с тем, что клиент, в частности, принял участие в этой конфигурации. Этот элемент управления проверка для неожиданной эскалации привилегий, если определение задачи включило сеть узлов, но клиент не принял участие в повышенных привилегиях.

Серьезность: высокий уровень

Домены Amazon Elasticsearch Service должны шифровать данные, передаваемые между узлами

Описание. Этот элемент управления проверка, имеют ли домены Amazon ES шифрование с узлом на узел. Протокол HTTPS (TLS) можно использовать для предотвращения несанкционированного перехвата или управления сетевым трафиком с помощью атак "злоумышленник в середине" или аналогичных атак. Разрешены только зашифрованные подключения по протоколу HTTPS (TLS). Включение шифрования между узлами для доменов Amazon ES гарантирует, что обмен данными внутри кластера будет шифроваться. С этой конфигурацией может быть связано снижение производительности. Прежде чем включать этот параметр, необходимо изучить и протестировать допустимые потери производительности.

Серьезность: средний

Для доменов Amazon Elasticsearch Service должно быть включено шифрование неактивных данных

Описание. Важно включить шифрование остальных доменов Amazon ES для защиты конфиденциальных данных

Серьезность: средний

База данных Amazon RDS должна быть зашифрована с помощью управляемого клиентом ключа

Описание. Этот проверка определяет базы данных RDS, зашифрованные ключами KMS по умолчанию, а не ключами, управляемыми клиентом. В качестве ведущей практики используйте управляемые клиентом ключи, чтобы шифровать данные в базах данных RDS и поддерживать контроль над ключами и данными на конфиденциальных рабочих нагрузках.

Серьезность: средний

Экземпляр Amazon RDS должен быть настроен с параметрами автоматического резервного копирования

Описание. Этот проверка определяет экземпляры RDS, которые не задаются с параметром автоматического резервного копирования. При настройке автоматического резервного копирования RDS создает моментальный снимок тома хранилища экземпляра базы данных, резервное копирование всего экземпляра базы данных и не только отдельных баз данных, которые обеспечивают восстановление на определенный момент времени. Автоматическое резервное копирование происходит во время указанного периода резервного копирования и сохраняет резервные копии в течение ограниченного периода времени, как определено в период хранения. Рекомендуется настроить автоматическое резервное копирование для критически важных серверов RDS, которые помогают в процессе восстановления данных.

Серьезность: средний

Для кластеров Amazon Redshift должно быть включено ведение журналов аудита

Описание. Этот элемент управления проверка, включен ли кластер Amazon Redshift в журнале аудита. Ведение журнала аудита Amazon RedShift обеспечивает дополнительные сведения о подключениях и действиях пользователей в кластере. Эти данные можно хранить и защищать в Amazon S3. Они могут быть полезны в аудите безопасности и расследованиях инцидентов. Дополнительные сведения см. в разделе Database audit logging (Ведение журнала аудита базы данных) в руководстве по управлению кластером Amazon RedShift.

Серьезность: средний

Для кластеров Amazon Redshift должны быть включены автоматические моментальные снимки

Описание. Этот элемент управления проверка, включены ли кластеры Amazon Redshift автоматически. Он также проверяет, превышает ли срок хранения моментальных снимков семи дней. Резервные копии помогают быстро восстановить работоспособность после инцидента безопасности. Они позволяют повысить устойчивость ваших систем. Amazon RedShift по умолчанию периодически создает моментальные снимки. Этот элемент управления проверяет, включено ли автоматическое создание моментальных снимков и хранятся ли они дольше семи дней. Дополнительные сведения об автоматических моментальных снимках Amazon Redshift см. в руководстве по управлению кластерами Amazon Redshift.

Серьезность: средний

Кластеры Amazon Redshift должны запрещать открытый доступ

Описание. Рекомендуется использовать кластеры Amazon Redshift, чтобы избежать общедоступной доступности, оценивая поле "publiclyAccessible" в элементе конфигурации кластера.

Серьезность: высокий уровень

В Amazon Redshift должно быть включено автоматическое обновление до основных номеров версии

Описание. Этот элемент управления проверка, включены ли автоматические обновления основных версий для кластера Amazon Redshift. Включение автоматического обновления до основных номеров версий гарантирует, что в течение периода обслуживания на кластеры Amazon RedShift будут устанавливаться последние обновления для основных номеров версий. Эти обновления могут содержать исправления для системы безопасности и исправления ошибок. Обеспечение актуальности систем за счет установки исправлений — важный аспект в обеспечении безопасности.

Серьезность: средний

Очереди Amazon SQS должны шифроваться в неактивном состоянии

Описание. Этот элемент управления проверка, шифруются ли очереди Amazon SQS неактивных данных. Шифрование на стороне сервера (SSE) позволяет передавать конфиденциальные данные в зашифрованные очереди. Для защиты содержимого сообщений в очередях служба SSE использует ключи, управляемые в AWS KMS. Дополнительные сведения см. в разделе Encryption at rest (Шифрование неактивных данных) в руководстве разработчика для Amazon Simple Queue Service.

Серьезность: средний

Подписка на уведомления о событиях RDS должна быть настроена для критических событий кластера

Описание. Этот элемент управления проверка, существует ли подписка на события Amazon RDS, включающая уведомления для следующего исходного типа, пары категории "ключ-значение". DBCluster: ["maintenance" и "failure"]. Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения. Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.

Серьезность: низкая

Подписка на уведомления о событиях RDS должна быть настроена для критических событий экземпляра базы данных

Описание. Этот элемент управления проверка, существует ли подписка на события Amazon RDS с уведомлениями, включенными для следующего типа источника. пары "ключ-значение" категорий событий; DBInstance: ["maintenance", "configuration change" и "failure"]. Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения. Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.

Серьезность: низкая

Подписка на уведомления о событиях RDS должна быть настроена для критических событий группы параметров базы данных

Описание. Этот элемент управления проверка, существует ли подписка на события Amazon RDS с уведомлениями, включенными для следующего типа источника. пары "ключ-значение" категорий событий; DBParameterGroup: ["configuration","change"]. Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения. Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.

Серьезность: низкая

Подписка на уведомления о событиях RDS должна быть настроена для критических событий группы безопасности базы данных

Описание. Этот элемент управления проверка, существует ли подписка на события Amazon RDS с уведомлениями, включенными для следующего исходного типа, пар категории "ключ-значение". DBSecurityGroup: ["configuration","change","failure"]. Служба уведомлений о событиях RDS использует Amazon SNS для получения информации об изменениях доступности или конфигурации ресурсов RDS. Эти уведомления позволяют быстро реагировать на изменения. Дополнительные сведения об уведомлениях о событиях RDS см . в руководстве пользователя Amazon RDS с помощью уведомления об событиях Amazon RDS.

Серьезность: низкая

Ведение журналов операций API REST и WebSocket в API Gateway должно быть включено

Описание. Этот элемент управления проверка, включены ли все этапы REST или API WebSocket шлюза API Amazon. Элемент управления завершается ошибкой, если ведение журнала не включено для всех методов этапа или если уровень ведения журнала не является ошибкой или info. Для этапов REST API шлюза API и WebSocket API должны быть включены соответствующие журналы. Ведение журнала выполнения REST API шлюза API или WebSocket API обеспечивает подробные записи о запросах, выполненных на этапах REST API шлюза API или WebSocket API. Эти этапы включают в себя ответы серверной части интеграции API, ответа на лямбда-запросы авторизации и идентификаторы requestId запросов для конечных точек интеграции AWS.

Серьезность: средний

Данные кэша REST API шлюза API должны быть зашифрованы как неактивные данные

Описание. Этот элемент управления проверка, шифруются ли все методы на этапах REST API шлюза API ШЛЮЗа API API, в которых включен кэш. Элемент управления завершается ошибкой, если какой-либо метод на этапе REST API шлюза API настроен для кэширования, и кэш не шифруется. Шифрование неактивных данных снижает для данных, хранящихся на диске, риск того, что к ним получит доступ пользователь, который не прошел проверку подлинности в AWS. Добавляется еще один набор элементов управления доступом для ограничения доступа к данным неавторизованных пользователей. Например, для расшифровки данных перед чтением необходимы разрешения API. Чтобы обеспечить дополнительный уровень безопасности, следует шифровать неактивные данные в кэшах REST API шлюза API.

Серьезность: средний

Этапы REST API шлюза API должны быть настроены для использования SSL-сертификатов для внутренней проверки подлинности

Описание. Этот элемент управления проверка, настроены ли этапы REST API шлюза REST API Amazon. Серверные системы используют эти сертификаты для проверки подлинности входящих запросов из шлюза API. На этапах REST API шлюза API должны быть настроены SSL-сертификаты, позволяющие серверным системам проверять подлинность запросов, исходящих от шлюза API.

Серьезность: средний

Для этапов REST API службы API Gateway должно быть включено отслеживание X-Ray AWS

Описание. Этот элемент управления проверка, включена ли активная трассировка AWS X-Ray для этапов REST API шлюза API Amazon. Активная трассировка X-Ray позволяет быстрее реагировать на изменения производительности в базовой инфраструктуре. Изменение производительности может привести к недостаточному уровню доступности API. Активная трассировка X-Ray в реальном времени предоставляет метрики запросов пользователей, которые используются в операциях REST API шлюза API и подключенных службах.

Серьезность: низкая

Шлюз API должен быть связан с веб-списком управления доступом AWS WAF

Описание. Этот элемент управления проверка, использует ли этап шлюза API список управления веб-доступом AWS WAF (ACL). Этот элемент управления завершается ошибкой, если веб-ACL AWS WAF не подключен к этапу шлюза REST API. AWS WAF — это брандмауэр веб-приложения, который помогает защищать веб-приложения и интерфейсы API от атак. Он позволяет настроить список управления доступом (ACL), который представляет собой набор правил, разрешающих, блокирующих или подсчитывающих веб-запросы на основе настраиваемых правил веб-безопасности и определяемых условий. Убедитесь, что ваш этап шлюза API связан с списком управления веб-доступом AWS WAF, чтобы защитить его от вредоносных атак.

Серьезность: средний

Необходимо включить ведение журналов для балансировщика нагрузки приложения и классического балансировщика

Описание. Этот элемент управления проверка, включена ли функция Балансировки нагрузки приложения и классического подсистемы балансировки нагрузки. Если элемент управления имеет значение false, элемент управления завершается ошибкой access_logs.s3.enabled . Служба эластичной балансировки нагрузки предоставляет журналы доступа, в которые записываются подробные сведения о запросах, отправляемых в подсистему балансировки нагрузки. Каждый журнал содержит такие сведения, как время получения запроса, IP-адрес клиента, задержки, пути запросов и ответы сервера. С помощью этих журналов доступа можно анализировать шаблоны трафика и устранять неполадки. Дополнительные сведения см. в разделе Access logs for your Classic Load Balancer (Журналы доступа для Журналы доступа к классической Load Balancer) в руководстве пользователя для подсистем Classic Load Balancer.

Серьезность: средний

Подключенные тома EBS должны шифроваться в неактивном состоянии

Описание. Этот элемент управления проверка, шифруются ли тома EBS, которые находятся в подключенном состоянии. Чтобы пройти эту проверку, необходимо, чтобы тома EBS использовались и шифровались. Если том EBS не подключен, он не подлежит этому проверка. Чтобы обеспечить дополнительный уровень безопасности конфиденциальных данных в томах EBS, следует включить шифрование неактивных данных EBS. Шифрование Amazon EBS предлагает простое решение для шифрования ресурсов EBS, которое не требует создания, обслуживания и защиты собственной инфраструктуры управления ключами. При создании зашифрованных томов и моментальных снимков в нем используются главные ключи клиента (CMK) службы AWS KMS. Дополнительные сведения о шифровании Amazon EBS см. в разделе Amazon EBS encryption (Шифрование Amazon EBS) в руководстве пользователя Amazon EC2 для экземпляров Linux.

Серьезность: средний

Экземпляры реплика tion aws Database Migration Service не должны быть общедоступными

Описание. Защита реплика экземпляров от угроз. У частного экземпляра реплика tion должен быть частный IP-адрес, который невозможно получить за пределами сети реплика tion. Экземпляр репликации должен иметь частный IP-адрес, если исходная и целевая базы данных находятся в одной сети, которая подключена к облаку VPC экземпляра репликации с помощью VPN, AWS Direct Connect или пиринга VPC. Также следует убедиться, что доступ к конфигурации экземпляра AWS DMS предоставлен только уполномоченным пользователям. Для этого ограничьте для пользователей разрешения IAM на изменение параметров и ресурсов AWS DMS.

Серьезность: высокий уровень

Прослушиватели Classic Load Balancer должны быть настроены для завершения подключения HTTPS или TLS

Описание. Этот элемент управления проверка, настроен ли прослушиватели классической подсистемы балансировки нагрузки с помощью протокола HTTPS или TLS для подключений внешнего интерфейса (клиента к подсистеме балансировки нагрузки). Элемент управления применяется, если у Classic Load Balancer имеются прослушиватели. Если в классической подсистеме балансировки нагрузки не настроен прослушиватель, элемент управления не сообщает о результатах. Элемент управления возвращает положительный ответ, если для подключений прослушивателей Classic Load Balancer к внешним интерфейсам настроено использование протокола TLS или HTTPS. Элемент управления завершается ошибкой, если прослушиватель не настроен с помощью TLS или HTTPS для интерфейсных подключений. Прежде чем приступить к использованию подсистемы балансировки нагрузки, необходимо добавить один или несколько прослушивателей. Прослушиватель — это процесс, использующий настроенный протокол и порт для проверки на наличие запросов на подключение. Прослушиватели могут поддерживать протоколы HTTP и HTTPS/TLS. Следует всегда использовать прослушиватель HTTPS или TLS, чтобы подсистема балансировки нагрузки применяла шифрование и расшифровку при передаче данных.

Серьезность: средний

Для классических балансировщиков нагрузки должен быть включен сток подключений

Описание. Этот элемент управления проверка, включены ли классические подсистемы балансировки нагрузки. Включение очистки подключений в классических подсистемах балансировки нагрузки гарантирует, что подсистема балансировки нагрузки перестает отправлять запросы в экземпляры, которые отменяют регистрацию или неработоспособны. Имеющиеся подключения остаются открытыми. Это полезно для экземпляров в группах автоматического масштабирования, чтобы убедиться, что подключения не были резко удалены.

Серьезность: средний

Для распределений CloudFront должен быть включен брандмауэр AWS WAF

Описание. Этот элемент управления проверка, связаны ли дистрибутивы CloudFront с веб-списками ACL AWS WAF или AWS WAFv2. Элемент управления завершается ошибкой, если распределение не связано с веб-ACL. AWS WAF — это брандмауэр веб-приложения, который помогает защищать веб-приложения и интерфейсы API от атак. Он позволяет настроить набор правил, которые называются списком управления веб-доступом. Эти правила разрешают, блокируют или подсчитывают веб-запросы на основе настраиваемых правил веб-безопасности и условий, определяемых вами. Убедитесь, что ваш дистрибутив CloudFront связан со списком управления веб-доступом AWS WAF, чтобы защитить его от вредоносных атак.

Серьезность: средний

Для распределений CloudFront должно быть включено ведение журналов

Описание. Этот элемент управления проверка, включен ли ведение журнала доступа к серверу в дистрибутивах CloudFront. Элемент управления завершается ошибкой, если ведение журнала доступа не включено для распространения. Журналы доступа CloudFront предоставляют подробные сведения о каждом запросе пользователя, который получает CloudFront. Каждый журнал содержит такие сведения, как дата и время получения запроса, IP-адрес пользователя, который сделал запрос, источник запроса и номер порта запроса от пользователя. Эти журналы полезны для таких задач, как аудит безопасности и доступа, а также проведение экспертизы. Дополнительные сведения об анализе журналов доступа см. в разделе "Запрос журналов Amazon CloudFront" в руководстве пользователя Amazon Athena.

Серьезность: средний

Распределения CloudFront должны требовать шифрование при передаче

Описание. Этот элемент управления проверка, требует ли дистрибутив Amazon CloudFront использовать HTTPS напрямую или использовать перенаправление. Элемент управления возвращает ошибку, если для параметра ViewerProtocolPolicy задано значение allow-all в свойстве defaultCacheBehavior или cacheBehaviors. Протокол HTTPS (TLS) можно использовать для предотвращения атак "злоумышленник в середине" или аналогичных атак, целью которых является несанкционированный перехват или управление сетевым трафиком. Разрешены только зашифрованные подключения по протоколу HTTPS (TLS). Шифрование передаваемых данных может повлиять на производительность. Необходимо протестировать приложение с этой функцией, чтобы понять профиль производительности и влияние протокола TLS.

Серьезность: средний

Журналы CloudTrail должны быть зашифрованы в неактивном режиме с помощью ключей CMK KMS

Описание. Мы рекомендуем настроить CloudTrail для использования SSE-KMS. Настройка CloudTrail для использования SSE-KMS обеспечивает более конфиденциальные элементы управления данными журнала, так как у данного пользователя должно быть разрешение на чтение S3 в соответствующем контейнере журналов и должно быть предоставлено разрешение расшифровки политикой CMK.

Серьезность: средний

Подключения к кластерам Amazon Redshift должны шифроваться при передаче

Описание. Этот элемент управления проверка, требуется ли подключение к кластерам Amazon Redshift для использования шифрования при передаче. Проверка завершается ошибкой, если параметр кластера Amazon Redshift require_SSL не установлен в значение 1. Протокол TLS можно использовать для предотвращения атак "злоумышленник в середине" или аналогичных атак, целью которых является несанкционированный перехват или управление сетевым трафиком. Разрешены только зашифрованные подключения по протоколу TLS. Шифрование передаваемых данных может повлиять на производительность. Необходимо протестировать приложение с этой функцией, чтобы понять профиль производительности и влияние протокола TLS.

Серьезность: средний

Подключения к доменам Elasticsearch должны быть зашифрованы с помощью TLS 1.2

Описание. Этот элемент управления проверка указывает, требуются ли подключения к доменам Elasticsearch для использования TLS 1.2. Проверка завершается ошибкой, если домен Elasticsearch TLSSecurityPolicy не является Policy-Min-TLS-1-2-2019-07. Протокол HTTPS (TLS) можно использовать для предотвращения атак "злоумышленник в середине" или аналогичных атак, целью которых является несанкционированный перехват или управление сетевым трафиком. Разрешены только зашифрованные подключения по протоколу HTTPS (TLS). Шифрование передаваемых данных может повлиять на производительность. Необходимо протестировать приложение с этой функцией, чтобы понять профиль производительности и влияние протокола TLS. Протокол TLS 1.2 содержит несколько улучшений безопасности по сравнению с предыдущими версиями TLS.

Серьезность: средний

Для таблиц DynamoDB должно быть включено восстановление на определенный момент времени

Описание. Этот элемент управления проверка, включен ли восстановление на определенный момент времени (PITR) для таблицы Amazon DynamoDB. Резервные копии помогают быстро восстановить работоспособность после инцидента безопасности. Они также позволяют повысить устойчивость ваших систем. Восстановление до точки во времени DynamoDB позволяет автоматизировать резервное копирование таблиц DynamoDB. Это сокращает время восстановления после непреднамеренных операций удаления или записи. Таблицы DynamoDB с включенным PITR можно восстановить до любой точки во времени в пределах последних 35 дней.

Серьезность: средний

Должно быть включено шифрование EBS по умолчанию

Описание. Этот элемент управления проверка, включена ли шифрование на уровне учетной записи по умолчанию для Amazon Elastic Block Store (Amazon EBS). Элемент управления завершается ошибкой, если шифрование уровня учетной записи не включено. Если для вашей учетной записи включено шифрование, то копии томов и моментальных снимков Amazon EBS шифруются. Это добавляет еще один уровень защиты данных. Дополнительные сведения см. в разделе Encryption by default (Шифрование по умолчанию) в руководстве пользователя Amazon EC2 для экземпляров Linux. Обратите внимание, что следующие типы экземпляров не поддерживают шифрование: R1, C1 и M1.

Серьезность: средний

В средах Elastic Beanstalk должны быть включены расширенные отчеты о работоспособности

Описание. Этот элемент управления проверка, включена ли расширенная отчетность о работоспособности для сред AWS Elastic Beanstalk. Расширенные отчеты о работоспособности Elastic Beanstalk обеспечивают более быстрый отклик на изменения работоспособности базовой инфраструктуры. Такие изменения могут привести к недостаточному уровню доступности приложения. Расширенные отчеты о работоспособности Elastic Beanstalk предоставляют дескриптор состояния для оценки серьезности выявленных проблем и поиска возможных причин, которые можно расследовать. Агент работоспособности Elastic Beanstalk, входящий в состав поддерживаемых образов компьютеров Amazon (AMI), оценивает журналы и метрики экземпляров среды EC2.

Серьезность: низкая

Должны быть включены управляемые обновления платформы для Elastic Beanstalk

Описание. Этот элемент управления проверка, включены ли обновления управляемой платформы для среды Elastic Beanstalk. Включение обновлений управляемой платформы гарантирует установку самых последних исправлений, обновлений и компонентов платформы для среды. Обеспечение актуальности систем за счет установки исправлений — важный аспект в обеспечении безопасности.

Серьезность: высокий уровень

Эластичная подсистема балансировки нагрузки не должна иметь срок действия сертификата ACM или истекает в 90 дней.

Описание. Этот проверка определяет эластичные подсистемы балансировки нагрузки (ELB), использующие сертификаты ACM, истекшие или истекшие в 90 дней. Aws Certificate Manager (ACM) — это предпочтительное средство для подготовки, управления и развертывания сертификатов сервера. С помощью ACM можно запросить сертификат или развернуть существующий ACM или внешний сертификат в ресурсах AWS. Рекомендуется повторно использовать сертификаты с истекающим сроком действия и истекшим сроком действия, сохраняя связи ELB исходного сертификата.

Серьезность: высокий уровень

Необходимо включить ведение журнала ошибок доменов Elasticsearch с записью в журналы CloudWatch

Описание. Этот элемент управления проверка, настроен ли домены Elasticsearch для отправки журналов ошибок в журналы CloudWatch. Необходимо включить журналы ошибок для доменов Elasticsearch и отправлять эти журналы в журналы CloudWatch для хранения и реагирования на них. Журналы ошибок домена могут помочь в аудите безопасности и доступа. Кроме того, они упрощают диагностику проблем с доступностью.

Серьезность: средний

Для доменов Elasticsearch необходимо настроить не менее трех выделенных главных узлов

Описание. Этот элемент управления проверка, настроены ли домены Elasticsearch по крайней мере с тремя выделенными основными узлами. Этот элемент управления завершается ошибкой, если домен не использует выделенные главные узлы. Этот элемент управления возвращает положительный ответ, если домены Elasticsearch используют пять выделенных главных узлов. Однако использование более трех главных узлов может оказаться ненужным для снижения риска доступности и приведет к большей стоимости. Для обеспечения высокого уровня доступности и отказоустойчивости домену Elasticsearch требуются по крайней мере три выделенных главных узла. Ресурсы выделенного главного узла могут быть напряженными во время развертывания синим или зеленым узлом, так как есть больше узлов для управления. Развертывание домена Elasticsearch по крайней мере с тремя выделенными главными узлами обеспечивает достаточную емкость ресурсов главного узла и производительность кластерных операций в случае сбоя узла.

Серьезность: средний

У доменов Elasticsearch должно быть не менее трех узлов данных

Описание. Этот элемент управления проверка указывает, настроены ли домены Elasticsearch по крайней мере с тремя узлами данных и zoneAwarenessEnabled. Для обеспечения высокого уровня доступности и отказоустойчивости домену Elasticsearch требуются по крайней мере три узла данных. Развертывание домена Elasticsearch по крайней мере с тремя узлами данных обеспечивает выполнение кластерных операций в случае сбоя узла.

Серьезность: средний

Для доменов Elasticsearch должно быть включено ведение журналов аудита

Описание. Этот элемент управления проверка, включены ли домены Elasticsearch ведение журнала аудита. Этот элемент управления завершается ошибкой, если домен Elasticsearch не включен в журнал аудита. Журналы аудита имеют широкие возможности настройки. Они позволяют отслеживать действия пользователей в кластерах Elasticsearch, включая успешные и неудачные попытки пройти проверку подлинности, запросы к OpenSearch, изменения индекса и входящие поисковые запросы.

Серьезность: средний

Должен быть настроен расширенный мониторинг для экземпляров и кластеров базы данных RDS

Описание. Этот элемент управления проверка, включен ли расширенный мониторинг для экземпляров базы данных RDS. В Amazon RDS расширенный мониторинг позволяет быстрее реагировать на изменения производительности в базовой инфраструктуре. Подобные изменения производительности могут привести к недостаточному уровню доступности данных. Служба расширенного мониторинга в реальном времени предоставляет метрики операционной системы, в которой запущен экземпляр базы данных RDS. На экземпляре устанавливается агент. Этот агент может получать более точные данные метрик, чем это возможно на уровне гипервизора. Метрики расширенного мониторинга полезны, когда нужно видеть, как разные процессы или потоки в экземпляре базы данных используют ЦП. Дополнительные сведения см. в разделе Enhanced Monitoring (Расширенный мониторинг) в руководстве пользователя Amazon RDS.

Серьезность: низкая

Убедитесь, что включена смена создаваемых клиентом ключей CMK

Описание: AWS служба управления ключами (KMS) позволяет клиентам повернуть резервный ключ, который является ключевым материалом, хранящимся в KMS, привязанным к идентификатору ключа созданного клиентом главного ключа (CMK). Это резервный ключ, используемый для выполнения криптографических операций, таких как шифрование и расшифровка. В настоящее время функция автоматической смены ключей сохраняет все предыдущие резервные ключи, чтобы расшифровка зашифрованных данных могла выполняться прозрачно. Рекомендуется включить поворот ключа CMK. Смена ключей шифрования помогает снизить потенциальное влияние скомпрометированного ключа, так как данные, зашифрованные с помощью нового ключа, не могут быть доступны с помощью предыдущего ключа, который, возможно, был предоставлен.

Серьезность: средний

Убедитесь, что в контейнере S3 CloudTrail включено ведение журнала доступа к контейнеру S3

Описание. Ведение журнала доступа к контейнерам S3 создает журнал, содержащий записи доступа, убедитесь, что в контейнере CloudTrail S3 включен ведение журнала доступа к контейнерам S3 CloudTrail S3 для каждого запроса, выполненного в контейнер S3. Запись журнала доступа содержит подробные сведения о запросе, включая тип запроса, ресурсы, указанные в запросе, а также время и дату обработки запроса. Рекомендуется включить ведение журнала доступа к контейнерам в контейнере CloudTrail S3. Включив ведение журнала контейнеров S3 в целевых контейнерах S3, можно записать все события, которые могут повлиять на объекты в целевых контейнерах. Настройка журналов для размещения в отдельном контейнере позволяет получить доступ к сведениям журнала, которые могут быть полезны в рабочих процессах реагирования на безопасность и инциденты.

Серьезность: низкая

Убедитесь, что контейнер S3, используемый для хранения журналов CloudTrail, не является общедоступным

Описание. CloudTrail регистрирует запись каждого вызова API, сделанного в вашей учетной записи AWS. Эти файлы журналов хранятся в контейнере S3. Рекомендуется применить политику сегментов или список управления доступом (ACL) к контейнеру S3, который CloudTrail регистрирует, чтобы предотвратить общедоступный доступ к журналам CloudTrail. Разрешение общедоступного доступа к содержимому журнала CloudTrail может помочь злоумышленнику выявить слабые места в использовании или конфигурации затронутой учетной записи.

Серьезность: высокий уровень

IAM не должен иметь сертификаты SSL/TLS с истекшим сроком действия

Описание. Этот проверка определяет истекшие сертификаты SSL/TLS. Чтобы включить подключения HTTPS к веб-сайту или приложению в AWS, требуется сертификат сервера SSL/TLS. Для хранения и развертывания сертификатов сервера можно использовать ACM или IAM. Удаление сертификатов SSL/TLS с истекшим сроком действия устраняет риск случайного развертывания недопустимого сертификата в ресурсе, например AWS Elastic Load Balancer (ELB), что может повредить доверие к приложению или веб-сайту за ELB. Эта проверка создает оповещения, если в AWS IAM хранятся сертификаты SSL/TLS с истекшим сроком действия. Рекомендуется удалить просроченные сертификаты.

Серьезность: высокий уровень

Импортированные сертификаты ACM следует продлять через указанный период времени

Описание. Этот элемент управления проверка, помечены ли сертификаты ACM в вашей учетной записи на срок действия в течение 30 дней. Он проверяет импортированные сертификаты и сертификаты, предоставляемые диспетчером сертификатов AWS. ACM может автоматически продлевать сертификаты, использующие проверку DNS. Для сертификатов, использующих проверку по электронной почте, необходимо ответить на электронное письмо проверки домена. ACM также не обновляет автоматически импортируемые сертификаты. Необходимо обновлять импортированные сертификаты вручную. Дополнительные сведения об управляемом продлении сертификатов ACM см. в разделе Managed renewal for ACM certificates (Управляемое продление сертификатов ACM) в руководстве пользователя диспетчера сертификатов AWS.

Серьезность: средний

Следует изучить избыточные удостоверения в учетных записях, чтобы уменьшить индекс ползука разрешений (PCI)

Описание. Для уменьшения уровня разрешений (PCI) и защиты инфраструктуры следует исследовать слишком подготовленные удостоверения в учетных записях. Уменьшите индекс PCI, удалив неиспользуемые назначенные разрешения с высоким уровнем риском. Высокий уровень PCI отражает риск, связанный с удостоверениями с разрешениями, превышающими их обычное или требуемое использование.

Серьезность: средний

Должно быть включено автоматическое обновление дополнительных номеров версий RDS

Описание. Этот элемент управления проверка включает ли автоматическое обновление дополнительных версий для экземпляра базы данных RDS. Включение автоматического обновления до дополнительных номеров версий гарантирует установку последних обновлений дополнительных номеров версий в системе управления реляционной базой данных (реляционной СУБД). Эти обновления могут содержать исправления для системы безопасности и исправления ошибок. Обеспечение актуальности систем за счет установки исправлений — важный аспект в обеспечении безопасности.

Серьезность: высокий уровень

Моментальные снимки кластера RDS и моментальные снимки базы данных должны шифроваться в неактивном состоянии

Описание. Этот элемент управления проверка, шифруются ли моментальные снимки базы данных RDS. Этот элемент управления предназначен для экземпляров базы данных RDS. Однако он также может формировать результаты для моментальных снимков экземпляров Aurora DB, экземпляров Neptune DB и кластеров Amazon DocumentDB. Если эти выводы не полезны, то их можно отключить. Шифрование неактивных данных снижает риск того, что пользователь, не прошедший проверку подлинности, получит доступ к данным, хранящимся на диске. Данные в моментальных снимках RDS должны шифроваться в неактивном режиме для обеспечения дополнительного уровня безопасности.

Серьезность: средний

Для кластеров RDS должна быть включена защита от удаления

Описание. Этот элемент управления проверка, включена ли защита от удаления кластеров RDS. Этот элемент управления предназначен для экземпляров базы данных RDS. Однако он также может формировать результаты для экземпляров Aurora DB, экземпляров Neptune DB и кластеров Amazon DocumentDB. Если эти выводы не полезны, то их можно отключить. Включение защиты удаления кластера — это еще один уровень защиты от случайного удаления базы данных или удаления неавторизованной сущностью. Если защита от удаления включена, кластер удаленных рабочих служб не может быть удален. Прежде чем запрос на удаление будет выполнен, необходимо будет отключить защиту от удаления.

Серьезность: низкая

Кластеры базы данных RDS должны быть настроены для нескольких зон доступности

Описание. Кластеры базы данных RDS должны быть настроены для нескольких сохраненных данных. Развертывание в нескольких зонах доступности позволяет их автоматизировать, чтобы обеспечить возможность отработки отказа в случае проблем с доступностью зоны доступности и во время регулярных мероприятий по обслуживанию RDS.

Серьезность: средний

Кластеры базы данных RDS должны быть настроены для копирования тегов в моментальные снимки

Описание. Идентификация и инвентаризация ИТ-ресурсов является важным аспектом управления и безопасности. Необходимо иметь представление о всех кластерах базы данных RDS, чтобы оценивать их состояние безопасности и устранять потенциальные слабые места. Моментальные снимки должны быть помечены тегами так же, как и их родительские кластеры базы данных RDS. Включение этого параметра гарантирует, что моментальные снимки унаследуют теги родительских кластеров базы данных.

Серьезность: низкая

Экземпляры базы данных RDS должны быть настроены для копирования тегов в моментальные снимки

Описание. Этот элемент управления проверка, настроен ли экземпляры базы данных RDS для копирования всех тегов в моментальные снимки при создании моментальных снимков. Идентификация и инвентаризация ИТ-ресурсов является важным аспектом управления и обеспечения безопасности. Необходимо иметь представление о всех экземплярах базы данных RDS, чтобы оценивать их состояние безопасности и устранять потенциальные слабые места. Моментальные снимки должны быть помечены тегами так же, как и их родительские экземпляры базы данных RDS. Включение этого параметра гарантирует, что моментальные снимки унаследуют теги родительских экземпляров базы данных.

Серьезность: низкая

Экземпляры базы данных RDS должны быть настроены с несколькими зонами доступности

Описание. Этот элемент управления проверка, включена ли высокая доступность для экземпляров базы данных RDS. Экземпляры базы данных RDS должны быть настроены для использования нескольких зон доступности. Это гарантирует доступность хранящихся в них данных. Развертывания с несколькими az позволяют автоматически выполнять отработку отказа, если возникает проблема с доступностью зоны доступности и во время регулярного обслуживания RDS.

Серьезность: средний

Для экземпляров базы данных RDS должна быть включена защита от удаления

Описание. Этот элемент управления проверка, включена ли защита защиты от удаления экземпляров базы данных RDS, использующих один из перечисленных ядр СУБД. Включение защиты удаления экземпляров — это еще один уровень защиты от случайного удаления базы данных или удаления неавторизованной сущностью. Хотя защита от удаления включена, экземпляр базы данных RDS не может быть удален. Прежде чем запрос на удаление будет выполнен, необходимо будет отключить защиту от удаления.

Серьезность: низкая

Для экземпляров базы данных RDS должно быть включено шифрование неактивных данных

Описание. Этот элемент управления проверка, включен ли шифрование хранилища для экземпляров базы данных Amazon RDS. Этот элемент управления предназначен для экземпляров базы данных RDS. Однако он также может формировать результаты для экземпляров Aurora DB, экземпляров Neptune DB и кластеров Amazon DocumentDB. Если эти выводы не полезны, то их можно отключить. Для обеспечения дополнительного уровня безопасности конфиденциальных данных в экземплярах базы данных RDS необходимо настроить шифрование экземпляров базы данных RDS. Чтобы шифровать экземпляры базы данных RDS и их моментальные снимки, включите параметр шифрования для экземпляров базы данных RDS. Данные, которые шифруются в неактивном режиме, включают в себя базовое хранилище для экземпляров баз данных, их автоматически созданные резервные копии, реплики чтения и моментальные снимки. Зашифрованные экземпляры базы данных RDS используют алгоритм шифрования на основе открытого стандарта AES-256. Он используется для шифрования данных на сервере, на котором размещены экземпляры базы данных RDS. После шифрования данных Amazon RDS выполняет проверку подлинности доступа и прозрачно расшифровывает данные, минимально влияя на производительность. Вам не нужно изменять клиентские приложения базы данных для использования шифрования. В настоящее время шифрование Amazon RDS доступно для всех ядер СУБД и типов хранилища. Шифрование Amazon RDS доступно для большинства классов экземпляров базы данных. Сведения о классах экземпляров базы данных, которые не поддерживают шифрование Amazon RDS, см. в руководстве пользователя Amazon RDS для шифрования ресурсов Amazon RDS.

Серьезность: средний

Экземпляры базы данных RDS должны запрещать открытый доступ

Описание. Мы рекомендуем также убедиться, что доступ к конфигурации экземпляра RDS ограничен только авторизованными пользователями, ограничивая разрешения IAM пользователей на изменение параметров и ресурсов экземпляров RDS.

Серьезность: высокий уровень

Моментальные снимки RDS должны запрещать открытый доступ

Описание. Рекомендуется разрешить только авторизованным субъектам доступ к моментальному снимку и изменению конфигурации Amazon RDS.

Серьезность: высокий уровень

Удаление неиспользуемых секретов Диспетчера секретов

Описание. Этот элемент управления проверка, был ли доступ к секретам в течение указанного количества дней. Стандартным значением является 90 дней. Если секрет не был доступ к определенному количеству дней, этот элемент управления завершается ошибкой. Удаление неиспользуемых секретов так же важно, как и смена секретов. Неиспользуемые секреты могут неправомерно использоваться их прежними пользователями, у которых больше не должен быть доступ к этим секретам. Кроме того, по мере того, как все больше пользователей получает доступ к секрету, кто-то может совершить ошибку и допустить его утечку в распоряжение какой-либо неавторизованной сущности, что повышает риск неправомерного использования. Удаление неиспользуемых секретов позволяет отменить доступ к секретам пользователей, которым он больше не требуется. Это также помогает снизить затраты на использование Secrets Manager. Поэтому важно регулярно удалять неиспользуемые секреты.

Серьезность: средний

Для контейнеров S3 должна быть включена репликация между регионами

Описание. Включение реплика между регионами S3 гарантирует доступность нескольких версий данных в разных регионах. Это позволяет защитить контейнер S3 от атак DDoS и повреждения данных.

Серьезность: низкая

Для контейнеров S3 должно быть включено шифрование на стороне сервера

Описание. Включение шифрования на стороне сервера для защиты данных в контейнерах S3. Шифрование данных может препятствовать доступу к конфиденциальным данным в случае нарушения системы безопасности данных.

Серьезность: средний

Секреты Secrets Manager, настроенные с автоматической сменой, должны быть успешно заменены

Описание. Этот элемент управления проверка, успешно ли повернут секрет диспетчера секретов AWS на основе расписания поворота. Элемент управления возвращает ошибку, если RotationOccurringAsScheduled имеет значение false. Элемент управления не оценивает секреты, которые не настроены на смену. Secrets Manager помогает повысить уровень безопасности организации. Секреты включают в себя учетные данные базы данных, пароли и сторонние ключи API. Secrets Manager можно использовать для централизованного хранения секретов, автоматического шифрования секретов, управления доступом к секретам и безопасной смены секретов. Secrets Manager может выполнять смену секретов. Вы можете использовать смену, чтобы заменить долгосрочные секреты краткосрочными. Смена секретов ограничивает время, в течение которого неуполномоченный пользователь сможет использовать скомпрометированный секрет. По этой причине необходимо часто выполнять смену секретов. Помимо настройки секретов для автоматической смены следует убедиться, что смена секретов выполняется успешно и по расписанию смены. Дополнительные сведения о смене см. в разделе Rotating your AWS Secrets Manager secrets (Смена секретов AWS Secrets Manager) в руководстве пользователя AWS Secrets Manager.

Серьезность: средний

Секреты Диспетчера секретов следует циклически изменять в течение указанного количества дней

Описание. Этот элемент управления проверка, были ли ваши секреты повернуты по крайней мере один раз в течение 90 дней. Смена секретов помогает снизить риск несанкционированного использования секретов в учетной записи AWS. К примерам таких данных относятся учетные данные базы данных, пароли, сторонние ключи API и даже произвольный текст. Если вы не изменяете свои секреты в течение длительного периода времени, секреты, скорее всего, будут скомпрометированы. По мере того, как все больше пользователей получает доступ к секрету, возрастает вероятность того, что кто-то совершит ошибку и допустит утечку секрета в распоряжение неуполномоченной сущности. Возможно утечка секретов посредством журналов и данных в кэше. Могут использоваться общие секреты в целях отладки, которые не были изменены или отменены после отладки. По всем этим причинам секреты следует часто сменять. Вы можете настроить автоматическую смену секретов в AWS Secrets Manager. С помощью автоматической смены можно заменить долгосрочные секреты краткосрочными, что значительно снижает риск компрометации. Центр безопасности рекомендует включить смену секретов Secrets Manager. Дополнительные сведения о смене см. в разделе Rotating your AWS Secrets Manager secrets (Смена секретов AWS Secrets Manager) в руководстве пользователя AWS Secrets Manager.

Серьезность: средний

Описание. Этот элемент управления проверка, шифруется ли раздел SNS неактивных данных с помощью AWS KMS. Шифрование неактивных данных снижает для данных, хранящихся на диске, риск того, что к ним получит доступ пользователь, который не прошел проверку подлинности в AWS. Оно также добавляет еще один набор элементов управления доступом, чтобы ограничить доступ к данным для неавторизованных пользователей. Например, для расшифровки данных перед чтением необходимы разрешения API. Разделы SNS должны быть зашифрованы неактивных для дополнительного уровня безопасности. Дополнительные сведения см. в разделе Encryption at rest (Шифрование неактивных данных) в руководстве разработчика для Amazon Simple Notification Service.

Серьезность: средний

Ведение журнала потоков VPC должно быть включено для всех VPC

Описание. Журналы потоков VPC обеспечивают видимость сетевого трафика, который проходит через VPC и может использоваться для обнаружения аномального трафика или анализа во время событий безопасности.

Серьезность: средний

Рекомендации AWS IdentityAndAccess

Домены Amazon Elasticsearch Service должны находиться в VPC

Описание. VPC не может содержать домены с общедоступной конечной точкой. Примечание. Это не оценивает конфигурацию маршрутизации подсети VPC для определения общедоступной доступности.

Серьезность: высокий уровень

Разрешения Amazon S3, предоставленные другим учетным записям AWS в политиках контейнеров, должны быть ограничены

Описание. Реализация минимального доступа к привилегиям является фундаментальным для снижения риска безопасности и влияния ошибок или злонамеренных намерений. Если политика контейнеров S3 разрешает доступ из внешних учетных записей, это может привести к краже данных из-за внутренней угрозы или действий злоумышленника. Параметр blacklistedactionpatterns позволяет успешно оценить правило для контейнеров S3. Параметр предоставляет доступ к внешним учетным записям для шаблонов действий, которые не включены в список "blacklistedactionpatterns".

Серьезность: высокий уровень

Избегайте использования учетной записи root

Описание. Учетная запись root имеет неограниченный доступ ко всем ресурсам в учетной записи AWS. Настоятельно рекомендуется избегать использования этой учетной записи. Учетная запись root — это самая привилегированная учетная запись AWS. Минимизация использования этой учетной записи и реализация принципа минимальных привилегий для управления доступом снизят риск случайных изменений и непреднамеренного раскрытия учетных данных с высоким уровнем привилегий.

Серьезность: высокий уровень

Ключи AWS KMS не должны быть случайно удалены

Описание. Этот элемент управления проверка указывает, запланированы ли ключи KMS для удаления. Элемент управления возвращает ошибку, если запланировано удаление ключа KMS. Ключи KMS не могут быть восстановлены после удаления. Данные, зашифрованные с помощью ключа KMS, также невозможно восстановить, если этот ключ KMS удален. Если значимые данные были зашифрованы под ключом KMS, запланированным для удаления, рассмотрите возможность расшифровки данных или повторного шифрования данных под новым ключом KMS, если вы намеренно не выполняете криптографическую эрастику. При планировании удаления ключа KMS действует обязательный период ожидания, в течение которого можно отменить удаление, если оно было запланировано по ошибке. Период ожидания по умолчанию составляет 30 дней, но его можно сократить до семи дней, когда ключ KMS запланирован на удаление. В период ожидания запланированное удаление может быть отменено, и ключ KMS не будет удален. Дополнительные сведения об удалении ключей KMS см. в руководстве разработчика по AWS служба управления ключами по удалению ключей KMS.

Серьезность: высокий уровень

Необходимо включить ведение журнала классических глобальных веб-списков доступа AWS WAF

Описание. Этот элемент управления проверка включает ли ведение журнала для глобального веб-ACL AWS WAF. Этот элемент управления завершается ошибкой, если ведение журнала не включено для веб-ACL. Ведение журнала является важным фактором для обеспечения глобальной надежности, доступности и производительности AWS WAF. Это бизнес-требования и требования соответствия во многих организациях и позволяет устранять неполадки в поведении приложений. Это также обеспечивает подробные сведения о трафике, который анализируется по списку управления веб-доступом, подключенному к AWS WAF.

Серьезность: средний

Для распределений CloudFront должен быть настроен корневой объект по умолчанию

Описание. Этот элемент управления проверка, настроен ли дистрибутив Amazon CloudFront для возврата определенного объекта, который является корневым объектом по умолчанию. Элемент управления завершается ошибкой, если дистрибутив CloudFront не настроен корневой объект по умолчанию. Иногда пользователь может запросить URL-адрес корня дистрибутива, а не объекта в дистрибутиве. В этом случае указание корневого объекта по умолчанию поможет предотвратить предоставление содержимого веб-дистрибутива.

Серьезность: высокий уровень

Для распределений CloudFront должно быть включено удостоверение доступа к источнику

Описание. Этот элемент управления проверка указывает, настроен ли дистрибутив Amazon CloudFront с типом Amazon S3 Origin identity (OAI). Элемент управления завершается ошибкой, если OAI не настроен. CloudFront OAI предотвращает доступ пользователей к содержимому контейнера S3 напрямую. Когда пользователи обращаются к контейнеру S3 напрямую, они фактически обходят дистрибутив CloudFront и все разрешения, применяемые к базовому содержимому контейнера S3.

Серьезность: средний

Проверка файла журнала CloudTrail должна быть включена

Описание. Чтобы обеспечить дополнительную целостность проверка журналов CloudTrail, рекомендуется включить проверку файлов во всех CloudTrails.

Серьезность: низкая

Служба CloudTrail должна быть включена

Описание. AWS CloudTrail — это веб-служба, которая записывает вызовы API AWS для учетной записи и предоставляет вам файлы журналов. Не во всех службах по умолчанию включено ведение журнала для всех интерфейсов API и событий. Следует реализовать любые дополнительные журналы аудита помимо журнала CloudTrail. Ознакомьтесь с документацией по каждой службе в разделе "CloudTrail Supported Services and Integrations" (Поддерживаемые службы CloudTrail и интеграция).

Серьезность: высокий уровень

Журналы CloudTrail должны быть интегрированы с журналами CloudWatch

Описание. Помимо записи журналов CloudTrail в указанном контейнере S3 для долгосрочного анализа, анализ в режиме реального времени можно выполнить, настроив CloudTrail для отправки журналов в журналы CloudWatch. Для журнала, включенного во всех регионах в учетной записи, CloudTrail отправляет файлы журнала из всех этих регионов в группу журналов CloudWatch. Мы рекомендуем отправлять журналы CloudTrail в журналы CloudWatch, чтобы обеспечить запись, мониторинг действий с учетными записями AWS и оповещение об этих действиях. Отправка журналов CloudTrail в журналы CloudWatch упрощает ведение журнала в реальном времени и ведение журнала хронологии действий на основе пользователя, API, ресурса и IP-адреса. Это также дает возможность настраивать оповещения и уведомления об аномальных действиях или действиях в конфиденциальных учетных записях.

Серьезность: низкая

Необходимо включить ведение журнала базы данных

Описание. Этот элемент управления проверка, включены ли следующие журналы Amazon RDS и отправляются в журналы CloudWatch:

Oracle: (оповещение, аудит, трассировка, прослушиватель)
PostgreSQL: (Postgresql, обновление)
MySQL: (аудит, ошибка, общие, SlowQuery)
MariaDB: (аудит, ошибка, общие, SlowQuery)
SQL Server: (ошибка, агент)
Аврора: (аудит, ошибка, общие, SlowQuery)
Аврора-MySQL: (аудит, ошибка, общие, SlowQuery)
Аврора-PostgreSQL: (Postgresql, обновление). Для баз данных RDS должны быть включены соответствующие журналы. Ведение журнала базы данных обеспечивает подробные записи о запросах, выполненных в RDS. Журналы базы данных могут помочь в аудите безопасности и доступа. Кроме того, они упрощают диагностику проблем с доступностью.

Серьезность: средний

Экземпляры записной книжки Amazon SageMaker не должны иметь прямой доступ к Интернету

Описание. Для экземпляра записной книжки SageMaker необходимо отключить прямой доступ к Интернету. Проверяет, отключено ли поле DirectInternetAccess для экземпляра записной книжки. Для экземпляра необходимо настроить VPC, а параметр по умолчанию должен отключать доступ к Интернету через VPC. Чтобы обеспечить доступ к Интернету для обучения или размещения моделей из записной книжки, убедитесь, что для вашего облака VPC настроен шлюз NAT, а группа безопасности разрешает исходящие подключения. Убедитесь, что доступ к конфигурации SageMaker разрешен только уполномоченным пользователям, и ограничьте предоставляемые пользователям разрешения IAM на изменение параметров и ресурсов SageMaker.

Серьезность: высокий уровень

Не нужно настраивать ключи доступа при первоначальной настройке всех пользователей IAM с паролем консоли

Описание. Консоль AWS по умолчанию использует проверка box для создания ключей доступа для включения. Это приводит к нецелесообразному формированию множества ключей доступа. Помимо ненужных учетных данных, это также порождает ненужные операции управления при аудите и смене этих ключей. Требуя, чтобы пользователь мог выполнить дополнительные действия после создания профиля, даст более строгое представление о том, что ключи доступа являются [a] необходимыми для их работы и [b] после того, как ключ доступа установлен в учетной записи, что ключи могут использоваться где-то в организации.

Серьезность: средний

Убедитесь, что создана роль поддержки для управления инцидентами с помощью службы поддержки AWS

Описание: AWS предоставляет центр поддержки, который можно использовать для уведомления об инцидентах и реагирования, а также технической поддержки и обслуживания клиентов. Создайте роль IAM, чтобы позволить уполномоченным пользователям управлять инцидентами с помощью службы поддержки AWS. При реализации минимальных привилегий для управления доступом роль IAM требует соответствующей политики IAM, чтобы разрешить центру поддержки доступ к инцидентам с поддержкой AWS.

Серьезность: низкая

Убедитесь, что смена ключей доступа осуществляется не реже чем один раз в 90 дней

Описание. Ключи доступа состоят из идентификатора ключа доступа и ключа секретного доступа, которые используются для подписывания программных запросов, которые вы вносите в AWS. Пользователям AWS требуются собственные ключи доступа для выполнения программных вызовов AWS из интерфейса командной строки AWS (AWS CLI), инструментов для Windows PowerShell, пакетов SDK для AWS или прямых вызовов HTTP, использующих интерфейсы API отдельных служб AWS. Рекомендуется регулярно поворачивать все ключи доступа. Смена ключей доступа сокращает окно возможности использования ключа доступа, связанного с скомпрометированной или прекращенной учетной записью. Ключи доступа следует повернуть, чтобы обеспечить доступ к данным со старым ключом, который, возможно, был потерян, взломал или украден.

Серьезность: средний

Убедитесь, что служба AWS Config включена во всех регионах

Описание. AWS Config — это веб-служба, которая выполняет управление конфигурацией поддерживаемых ресурсов AWS в вашей учетной записи и предоставляет вам файлы журналов. Записываемые сведения включают в себя элемент конфигурации (ресурс AWS), связи между элементами конфигурации (ресурсы AWS) и изменения конфигурации между ресурсами. Рекомендуется включить AWS Config во всех регионах.

Журнал элементов конфигурации AWS, записанный службой AWS Config, позволяет выполнять анализ системы безопасности, отслеживание изменения ресурсов и аудит соответствия.

Серьезность: средний

Убедитесь, что служба CloudTrail включена во всех регионах.

Описание. AWS CloudTrail — это веб-служба, которая записывает вызовы API AWS для учетной записи и предоставляет вам файлы журналов. Записываемые сведения включают в себя идентификатор вызывающего API, время вызова API, исходный IP-адрес вызывающего API, параметры запроса и элементы ответа, возвращенные службой AWS. CloudTrail предоставляет журнал вызовов API AWS для учетной записи, включая вызовы API, выполненные через консоль управления, пакеты SDK, программы командной строки и службы AWS более высокого уровня (например, CloudFormation). Журнал вызовов API AWS, созданный CloudTrail, позволяет выполнять анализ системы безопасности, отслеживание изменения ресурсов и аудит соответствия. Кроме того:

обеспечение того, что существует путь с несколькими регионами, обеспечит обнаружение непредвиденных действий в неиспользуемых регионах.
обеспечение того, что существует путь с несколькими регионами, гарантирует, что для отслеживания событий, созданных в глобальных службах AWS, включена запись событий, созданных в глобальных службах AWS.
для нескольких регионов, гарантируя, что события управления, настроенные для всех типов операций чтения и записи, обеспечивают запись операций управления, выполняемых во всех ресурсах в учетной записи AWS.

Серьезность: высокий уровень

Убедитесь, что учетные данные, которые не используются в течение 90 дней и более, отключены

Описание. Пользователи AWS IAM могут получить доступ к ресурсам AWS с помощью различных типов учетных данных, таких как пароли или ключи доступа. Рекомендуется удалить или деактивировать все учетные данные, неиспользуемые в течение 90 или более дней. Отключение или удаление ненужных учетных данных сокращает окно возможности использования учетных данных, связанных с скомпрометированной или заброшенной учетной записью.

Серьезность: средний

Убедитесь, что по требованию политики паролей IAM срок действия паролей не превышает 90 дней

Описание. Политики паролей IAM могут требовать смены или истечения срока действия паролей после заданного количества дней. Рекомендуется срок действия политики паролей истекает через 90 дней или меньше. Уменьшение времени существования пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора. Кроме того, требование регулярного изменения пароля поможет в следующих сценариях:

Пароли могут быть украдены или скомпрометированы иногда без ваших знаний. Причиной этого может быть нарушение безопасности системы, уязвимость программного обеспечения или внутренняя угроза.
Некоторые корпоративные и государственные веб-фильтры или прокси-серверы могут перехватывать и записывать трафик, даже если он зашифрован.
Многие люди используют один и тот же пароль для многих систем, таких как работа, электронная почта и личный.
Скомпрометированные рабочие станции конечных пользователей могут иметь средство ведения журнала нажатия клавиш.

Серьезность: низкая

Убедитесь, что политика паролей IAM запрещает повторное использование паролей

Описание. Политики паролей IAM могут препятствовать повторному использованию заданного пароля тем же пользователем. Рекомендуется запретить повторное использование паролей политикой паролей. Запрет повторного использования пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: низкая

Убедитесь, что по требованию политики паролей IAM пароль должен содержать хотя бы одну строчную букву

Описание. Политики паролей частично используются для применения требований к сложности паролей. Политики паролей IAM можно использовать для проверки того, что пароль состоит из разных наборов символов. Рекомендуется, чтобы политика паролей требовала по крайней мере одну строчную букву. Настройка политики сложности пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: средний

Убедитесь, что по требованию политики паролей IAM пароль должен содержать хотя бы одну цифру

Описание. Политики паролей частично используются для применения требований к сложности паролей. Политики паролей IAM можно использовать для проверки того, что пароль состоит из разных наборов символов. Рекомендуется, чтобы политика паролей требовала по крайней мере одного номера. Настройка политики сложности пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: средний

Убедитесь, что по требованию политики паролей IAM пароль должен содержать хотя бы один специальный символ

Описание. Политики паролей частично используются для применения требований к сложности паролей. Политики паролей IAM можно использовать для проверки того, что пароль состоит из разных наборов символов. Рекомендуется, чтобы политика паролей требовала по крайней мере одного символа. Настройка политики сложности пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: средний

Убедитесь, что по требованию политики паролей IAM пароль должен содержать хотя бы одну прописную букву

Описание. Политики паролей частично используются для применения требований к сложности паролей. Политики паролей IAM можно использовать для проверки того, что пароль состоит из разных наборов символов. Рекомендуется, чтобы политика паролей требовала по крайней мере одну прописную букву. Настройка политики сложности пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: средний

Убедитесь, что по требованию политики паролей IAM минимальная длина пароля должна составлять не менее 14 символов

Описание. Политики паролей частично используются для применения требований к сложности паролей. Политики паролей IAM можно использовать, чтобы гарантировать, что пароль будет содержать не меньше заданного числа знаков. Рекомендуется, чтобы политика паролей требовала минимальной длины пароля "14". Настройка политики сложности пароля повышает устойчивость учетной записи к попыткам входа в систему с помощью атак методом подбора.

Серьезность: средний

Убедитесь, что включена многофакторная проверка подлинности (MFA) для всех пользователей IAM с паролем консоли

Описание. Многофакторная проверка подлинности (MFA) добавляет дополнительный уровень защиты поверх имени пользователя и пароля. Если включенА MFA, когда пользователь входит на веб-сайт AWS, он будет запрашивать имя пользователя и пароль, а также код проверки подлинности с устройства AWS MFA. Рекомендуется включить MFA для всех учетных записей с паролем консоли. Включение MFA обеспечивает повышенную безопасность доступа к консоли, так как эта служба требует, чтобы субъект, проходящий проверку подлинности, имел устройство, которое создает ключ с учетом времени и которому известны учетные данные.

Серьезность: средний

Служба GuardDuty должна быть включена

Описание. Чтобы обеспечить дополнительную защиту от вторжений, GuardDuty следует включить в учетной записи AWS и регионе. Примечание. GuardDuty может не быть полным решением для каждой среды.

Серьезность: средний

Необходимо включить аппаратную MFA для корневой учетной записи

Описание. Корневая учетная запись является наиболее привилегированным пользователем в учетной записи. MFA обеспечивает дополнительный уровень защиты помимо имени пользователя и пароля. Если включена служба MFA, то при входе пользователя на веб-сайт AWS ему предлагается ввести имя пользователя и пароль, а также код проверки подлинности с устройства AWS MFA. Для уровня 2 рекомендуется защитить корневую учетную запись с помощью аппаратной MFA. Аппаратная MFA обеспечивает меньшую уязвимость, чем виртуальная MFA. Например, аппаратная MFA не подвержена направлениям атаки, характерным для мобильного смартфона, на котором установлена виртуальная MFA. Использование аппаратной MFA для большого числа учетных записей может привести к проблеме управления устройствами. В этом случае рекомендуется избирательно реализовать данную рекомендацию уровня 2 для учетных записей с максимальным уровнем безопасности. Затем можно применить рекомендацию уровня 1 к остальным учетным записям.

Серьезность: низкая

Для кластеров RDS должна быть настроена проверка подлинности IAM

Описание. Этот элемент управления проверка, включена ли проверка подлинности базы данных IAM в кластере RDS DB. Проверка подлинности базы данных IAM позволяет выполнять проверку подлинности без пароля для экземпляров базы данных. Для этой проверки подлинности используется маркер проверки подлинности. Входящий и исходящий трафик базы данных шифруется с помощью протокола SSL. Дополнительные сведения см. в разделе "IAM database authentication" (Проверка подлинности базы данных IAM) в руководстве пользователя Amazon Aurora.

Серьезность: средний

Для экземпляров RDS должна быть настроена проверка подлинности IAM

Описание. Этот элемент управления проверка, включена ли проверка подлинности базы данных IAM экземпляра RDS DB. Проверка подлинности базы данных IAM обеспечивает проверку подлинности в экземплярах базы данных с помощью маркера проверки подлинности, а не пароля. Входящий и исходящий трафик базы данных шифруется с помощью протокола SSL. Дополнительные сведения см. в разделе "IAM database authentication" (Проверка подлинности базы данных IAM) в руководстве пользователя Amazon Aurora.

Серьезность: средний

Управляемые клиентом политики IAM не должны разрешать действия расшифровки для всех ключей KMS

Описание. Проверяет, разрешена ли версия управляемых клиентом IAM политик IAM использовать действия расшифровки AWS KMS во всех ресурсах. Этот элемент управления использует Zelkova, механизм автоматической рассудки, чтобы проверить и предупредить вас о политиках, которые могут предоставить широкий доступ к секретам в учетных записях AWS. Этот элемент управления завершается ошибкой, если действия kms:Decrypt или kms:ReEncryptFrom разрешены для всех ключей KMS. Элемент управления оценивает подключенные и неподключенные управляемые клиентом политики. Он не проверка встроенные политики или управляемые политики AWS. С помощью AWS KMS вы можете контролировать, кто может использовать ключи KMS и обращаться к зашифрованным данным. Политики IAM определяют, какие действия удостоверение (пользователя, группы или роли) позволяет выполнять с ресурсами. Согласно лучшим методикам обеспечения безопасности AWS рекомендует предоставлять минимальные права. Иными словами, следует предоставить удостоверениям только разрешение kms:Decrypt или kms:ReEncryptFrom и только для тех ключей, которые необходимы для выполнения конкретной задачи. В противном случае пользователь может использовать ключи, которые не соответствуют вашим данным. Вместо предоставления разрешений для всех ключей определите минимальный набор ключей, необходимых пользователям для доступа к зашифрованным данным. Затем разработайте политики, позволяющие пользователям использовать только эти ключи. Например, не разрешайте разрешение kms:Decrypt для всех ключей KMS. Вместо этого предоставьте разрешение kms:Decrypt только для ключей в определенном регионе для своей учетной записи. Реализуя принцип минимальных прав, можно снизить риск непреднамеренного раскрытия данных.

Серьезность: средний

Создаваемые вами управляемые политики клиента IAM не должны разрешать действия с подстановочными знаками для служб

Описание. Этот элемент управления проверка указывает, имеют ли создаваемые политики на основе удостоверений IAM инструкции Allow, использующие шаблон * wild карта для предоставления разрешений для всех действий в любой службе. Элемент управления завершается ошибкой, если любая инструкция политики включает "Эффект": "Разрешить" с действием: "Service:*". Например, приведенный ниже оператор в политике приводит к ошибке проверки.

'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:*',
  'Resource': '*'
}

Элемент управления также завершается ошибкой, если вы используете "Эффект": "Разрешить" с "NotAction": "service:". В этом случае элемент NotAction предоставляет доступ ко всем действиям в службе AWS, за исключением действий, указанных в NotAction. Этот элемент управления применяется только к политикам IAM, управляемым клиентом. Это не относится к политикам IAM, управляемым AWS. При назначении разрешений службам AWS важно область разрешенные действия IAM в политиках IAM. Действия IAM следует ограничить только теми действиями, которые необходимы. Это помогает подготовить разрешения с минимальными привилегиями. Чрезмерно разрешительные политики могут привести к эскалации привилегий, если политики присоединены к субъекту IAM, который может не требовать разрешения. В некоторых случаях может потребоваться разрешить действия IAM с аналогичным префиксом, такими как DescribeFlowLogs и DescribeAvailabilityZones. В этих авторизованных случаях можно добавить суффиксированные дикие карта в общий префикс. Например, ec2:Describe.

Этот элемент управления возвращает положительный ответ, если используется действие IAM с префиксом, подстановочным знаком и суффиксом. Например, приведенный ниже оператор в политике проходит проверку.

 'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:Describe*',
  'Resource': '*'
}

При таком способе группирования связанных действий IAM можно избежать превышения предельного размера политики IAM.

Серьезность: низкая

Политики IAM должны быть привязаны только к группам или ролям

Описание. По умолчанию пользователи, группы и роли IAM не имеют доступа к ресурсам AWS. Политики IAM — это средства, с помощью которых пользователям, группам или ролям предоставляются права. Рекомендуется применять политики IAM непосредственно к группам и ролям, но не к пользователям. Назначение привилегий на уровне группы или роли снижает сложность управления доступом по мере роста числа пользователей. Уменьшение сложности управления доступом может в свою очередь уменьшить возможность для субъекта случайно получать или сохранять чрезмерные привилегии.

Серьезность: низкая

Не следует создавать политики IAM, предоставляющие полные права администратора ":"

Описание. Политики IAM — это средства предоставления привилегий пользователям, группам или ролям. Рекомендуется и считается стандартным советом по безопасности, чтобы предоставить минимальные привилегии, то есть предоставить только разрешения, необходимые для выполнения задачи. Определите, что пользователям нужно делать, а затем создайте для них политики, позволяющие выполнять только эти задачи, а не предоставляя им права администратора. Более безопасно начать с минимального набора разрешений и предоставлять дополнительные разрешения, а не начать со слишком обширных разрешений, а затем пытаться ограничить их. Предоставление полных прав администратора вместо ограниченного минимального набора разрешений, необходимых пользователю для работы, потенциально подвергает ресурсы нежелательным действиям. Политики IAM, содержащие оператор с "Effect": "Allow" с "Action": "" для "Resource": "", следует удалить.

Серьезность: высокий уровень

Субъекты IAM не должны иметь встроенные политики IAM, разрешающие действия расшифровки для всех ключей KMS

Описание. Проверяет, разрешены ли встроенные политики, внедренные в удостоверения IAM (роль, пользователь или группа), разрешать действия расшифровки AWS KMS во всех ключах KMS. Этот элемент управления использует Zelkova, механизм автоматической рассудки, чтобы проверить и предупредить вас о политиках, которые могут предоставить широкий доступ к секретам в учетных записях AWS. Этот элемент управления возвращает ошибку, если действие kms:Decrypt или kms:ReEncryptFrom разрешено для всех ключей KMS. С помощью AWS KMS вы можете контролировать, кто может использовать ключи KMS и обращаться к зашифрованным данным. Политики IAM определяют, какие действия удостоверение (пользователя, группы или роли) позволяет выполнять с ресурсами. Согласно лучшим методикам обеспечения безопасности AWS рекомендует предоставлять минимальные права. Иными словами, следует предоставить удостоверениям только необходимые им разрешения и только для тех ключей, которые требуются для выполнения конкретной задачи. В противном случае пользователь может использовать ключи, которые не соответствуют вашим данным. Вместо предоставления разрешения для всех ключей определите минимальный набор ключей, необходимых пользователям для доступа к зашифрованным данным. Затем разработайте политики, позволяющие пользователям использовать только эти ключи. Например, не разрешайте разрешение kms:Decrypt для всех ключей KMS. Вместо этого предоставьте им разрешение только для ключей в определенном регионе для своей учетной записи. Реализуя принцип минимальных прав, можно снизить риск непреднамеренного раскрытия данных.

Серьезность: средний

Лямбда-функции должны ограничивать открытый доступ

Описание. Политика на основе ресурсов на основе лямбда-функции должна ограничить общедоступный доступ. Эта рекомендация не проверка доступа к внутренним субъектам. Убедитесь, что доступ к функции разрешен только уполномоченным субъектам, настроив политики на основе ресурсов с минимальными правами.

Серьезность: высокий уровень

Необходимо включить MFA для всех пользователей IAM

Описание. Все пользователи IAM должны иметь многофакторную проверку подлинности (MFA).

Серьезность: средний

Необходимо включить многофакторную проверку подлинности для "корневой" учетной записи

Описание. Корневая учетная запись является наиболее привилегированным пользователем в учетной записи. MFA обеспечивает дополнительный уровень защиты помимо имени пользователя и пароля. Если включена служба MFA, то при входе пользователя на веб-сайт AWS ему предлагается ввести имя пользователя и пароль, а также код проверки подлинности с устройства AWS MFA. При использовании виртуальной MFA для корневых учетных записей рекомендуется, чтобы используемое устройство не было личным устройством. Вместо этого используйте выделенное мобильное устройство (планшет или телефон), которое находится в вашем распоряжении, чтобы разделять оплату и обеспечение безопасности, относящуюся к каким-либо личным устройствам. Это уменьшает риски потери доступа к MFA из-за потери устройства, его обмена с доплатой или увольнения из компании лица, владеющего этим устройством.

Серьезность: низкая

Политики паролей для пользователей IAM должны иметь строгие конфигурации

Описание. Проверяет, использует ли политика пароля учетной записи для пользователей IAM следующие минимальные конфигурации.

RequireUppercaseCharacters. Требуется по крайней мере один символ верхнего регистра в пароле. (Значение по умолчанию — true.)
RequireLowercaseCharacters. Требуется по крайней мере один нижний символ в пароле. (Значение по умолчанию — true.)
RequireNumbers. Требуется по крайней мере одно число в пароле. (Значение по умолчанию — true.)
Минимальная длина пароля MinimumPasswordLength. (По умолчанию — 7 или больше знаков.)
PasswordReusePrevention— количество паролей, прежде чем разрешить повторное использование. (Значение по умолчанию — 4.)
MaxPasswordAge— количество дней до истечения срока действия пароля. (Значение по умолчанию — 90.)

Серьезность: средний

Ключ доступа к учетной записи root не должен существовать

Описание. Корневая учетная запись является наиболее привилегированным пользователем в учетной записи AWS. Ключи доступа AWS обеспечивают программный доступ к заданной учетной записи AWS. Рекомендуется удалить все ключи доступа, связанные с корневой учетной записью. Удаление ключей доступа, связанных с учетной записью root, ограничивает возможности компрометации этой учетной записи. Кроме того, удаление корневых ключей доступа способствует созданию и использованию учетных записей на основе ролей, которые реализуют принцип минимальных прав.

Серьезность: высокий уровень

Параметр блокировки общего доступа S3 должен быть включен

Описание. Включение параметра общедоступного доступа для контейнера S3 может помочь предотвратить утечку конфиденциальных данных и защитить контейнер от вредоносных действий.

Серьезность: средний

Параметр блокировки общего доступа S3 должен быть включен на уровне контейнеров

Описание. Этот элемент управления проверка, применяются ли контейнеры S3 общедоступный доступ уровня контейнера. Этот элемент управления завершается ошибкой, если для любого из следующих параметров задано значение false:

ignorePublicAcls
blockPublicPolicy
blockPublicAcls
restrictPublicBuckets Блокировать общедоступный доступ на уровне контейнера S3 предоставляет элементы управления, чтобы гарантировать, что объекты никогда не имеют общедоступного доступа. Общий доступ к контейнерам и объектам предоставляется посредством списков управления доступом, политик контейнеров или и того, и другого. Если вы не планируете использовать общедоступные контейнеры S3, следует настроить функцию блокировки открытого доступа Amazon S3 на уровне контейнера.

Серьезность: высокий уровень

Открытый доступ на чтение контейнеров S3 должен быть удален

Описание. Удаление общедоступного доступа на чтение к контейнеру S3 может помочь защитить данные и предотвратить нарушение данных.

Серьезность: высокий уровень

Открытый доступ на запись контейнеров S3 должен быть удален

Описание. Разрешение общедоступного доступа на запись в контейнер S3 может покинуть вас уязвимыми для вредоносных действий, таких как хранение данных за счет, шифрование файлов для выкупа или использование контейнера для работы с вредоносными программами.

Серьезность: высокий уровень

Для конфиденциальной информации Secrets Manager должна быть включена автоматическая ротация

Описание. Этот элемент управления проверка указывает, настроен ли секрет, хранящийся в диспетчере секретов AWS, автоматически. Secrets Manager помогает повысить уровень безопасности организации. Секреты включают в себя учетные данные базы данных, пароли и сторонние ключи API. Secrets Manager можно использовать для централизованного хранения секретов, автоматического шифрования секретов, управления доступом к секретам и безопасной смены секретов. Secrets Manager может выполнять смену секретов. Вы можете использовать смену, чтобы заменить долгосрочные секреты краткосрочными. Смена секретов ограничивает время, в течение которого неуполномоченный пользователь сможет использовать скомпрометированный секрет. По этой причине необходимо часто выполнять смену секретов. Дополнительные сведения о смене см. в разделе Rotating your AWS Secrets Manager secrets (Смена секретов AWS Secrets Manager) в руководстве пользователя AWS Secrets Manager.

Серьезность: средний

Остановленные экземпляры EC2 должны быть удалены через указанный период времени

Описание. Этот элемент управления проверка, были ли остановлены любые экземпляры EC2 в течение более чем допустимого количества дней. Экземпляр EC2 завершается ошибкой этого проверка, если он остановлен дольше максимального допустимого периода времени, который по умолчанию составляет 30 дней. Возвращение ошибки означает, что экземпляр EC2 не выполнялся в течение длительного периода времени. Это создает риск безопасности, так как экземпляр EC2 не поддерживается (анализируется, исправлено, обновляется). Если оно будет запущено позже, отсутствие правильного обслуживания может привести к непредвиденным проблемам в вашей среде AWS. Чтобы безопасно поддерживать экземпляр EC2 в неработающем состоянии, периодически запускайте его для обслуживания, а затем останавливайте. В идеале этот процесс следует автоматизировать.

Серьезность: средний

Для удостоверений AWS должны быть только необходимые разрешения (предварительная версия)

Описание. Чрезмерно подготовленное активное удостоверение — это удостоверение, которое имеет доступ к привилегиям, которые они не использовали. Слишком подготовленные активные удостоверения, особенно для учетных записей, не являющихся людьми, которые имеют определенные действия и обязанности, могут увеличить радиус взрыва в случае компрометации пользователей, ключей или ресурсов. Удалите ненужные разрешения и установите процессы проверки для достижения наименее привилегированных разрешений.

Серьезность: средний

Неиспользуемые удостоверения в среде AWS должны быть удалены (предварительная версия)

Описание. Неактивные удостоверения являются человеческими и нечеловеческими сущностями, которые не выполняли никаких действий по любому ресурсу за последние 90 дней. Неактивные удостоверения IAM с разрешениями высокого риска в вашей учетной записи AWS могут быть подвержены атакам, если они остаются как есть, и оставьте организации открытыми для неправильного использования учетных данных или эксплуатации. Упреждающее обнаружение и реагирование на неиспользуемые удостоверения помогает предотвратить несанкционированный доступ к ресурсам AWS.

Серьезность: средний

Рекомендации по безопасности для ресурсов Amazon Web Services (AWS)

Рекомендации по вычислению AWS

Рекомендации по контейнерам AWS

Рекомендации по плоскости данных

Рекомендации по данным AWS

Рекомендации AWS IdentityAndAccess

Рекомендации по сети AWS