Säkerhetsrekommendationer för AWS-resurser (Amazon Web Services)
Den här artikeln innehåller alla rekommendationer som du kan se i Microsoft Defender för molnet om du ansluter ett AWS-konto (Amazon Web Services) med hjälp av sidan Miljöinställningar. Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration.
Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Åtgärda rekommendationer i Defender för molnet.
Din säkerhetspoäng baseras på antalet säkerhetsrekommendationer som du har slutfört. Om du vill bestämma vilka rekommendationer som ska lösas först kan du titta på allvarlighetsgraden för varje rekommendation och dess potentiella effekt på din säkerhetspoäng.
Rekommendationer för AWS-beräkning
Amazon EC2-instanser som hanteras av Systems Manager bör ha en uppdateringsefterlevnadsstatus som KOMPATIBEL efter en korrigeringsinstallation
Beskrivning: Den här kontrollen kontrollerar om efterlevnadsstatusen för Amazon EC2 Systems Manager-korrigeringsefterlevnad är KOMPATIBEL eller NON_COMPLIANT efter korrigeringsinstallationen på instansen. Den kontrollerar endast instanser som hanteras av AWS Systems Manager Patch Manager. Den kontrollerar inte om korrigeringen tillämpades inom den 30-dagarsgräns som föreskrivs av PCI DSS-kravet "6.2". Det verifierar inte heller om de tillämpade korrigeringarna klassificerades som säkerhetskorrigeringar. Du bör skapa korrigeringsgrupper med lämpliga baslinjeinställningar och se till att system i omfånget hanteras av dessa korrigeringsgrupper i Systems Manager. Mer information om korrigeringsgrupper finns i användarhandboken för AWS Systems Manager.
Allvarlighetsgrad: Medel
Amazon EFS bör konfigureras för att kryptera fildata i vila med hjälp av AWS KMS
Beskrivning: Den här kontrollen kontrollerar om Amazon Elastic File System är konfigurerat för att kryptera fildata med hjälp av AWS KMS. Kontrollen misslyckas i följande fall: *"Krypterad" är inställd på "false" i Svaret DescribeFileSystems. Nyckeln "KmsKeyId" i Svaret DescribeFileSystems matchar inte parametern KmsKeyId för efs-encrypted-check. Observera att den här kontrollen inte använder parametern "KmsKeyId" för efs-encrypted-check. Den kontrollerar bara värdet "Krypterad". För ett extra säkerhetslager för dina känsliga data i Amazon EFS bör du skapa krypterade filsystem. Amazon EFS stöder kryptering för filsystem i vila. Du kan aktivera kryptering av vilande data när du skapar ett Amazon EFS-filsystem. Mer information om Amazon EFS-kryptering finns i Datakryptering i Amazon EFS i användarhandboken för Amazon Elastic File System.
Allvarlighetsgrad: Medel
Amazon EFS-volymer bör finnas i säkerhetskopieringsplaner
Beskrivning: Den här kontrollen kontrollerar om Amazon Elastic File System(Amazon EFS) filsystem läggs till i säkerhetskopieringsplanerna i AWS Backup. Kontrollen misslyckas om Amazon EFS-filsystem inte ingår i säkerhetskopieringsplanerna. Genom att inkludera EFS-filsystem i säkerhetskopieringsplanerna kan du skydda dina data från borttagning och dataförlust.
Allvarlighetsgrad: Medel
Borttagningsskydd för programlastbalanserare ska vara aktiverat
Beskrivning: Den här kontrollen kontrollerar om ett program load balancer har borttagningsskydd aktiverat. Kontrollen misslyckas om borttagningsskyddet inte har konfigurerats. Aktivera borttagningsskydd för att skydda programlastbalanseraren från borttagning.
Allvarlighetsgrad: Medel
Automatiska skalningsgrupper som är associerade med en lastbalanserare bör använda hälsokontroller
Beskrivning: Automatiska skalningsgrupper som är associerade med en lastbalanserare använder hälsokontroller för elastisk belastningsutjämning. PCI DSS kräver inte belastningsutjämning eller konfigurationer med hög tillgänglighet. Detta rekommenderas av metodtips för AWS.
Allvarlighetsgrad: Låg
AWS-konton bör ha automatisk etablering i Azure Arc aktiverad
Beskrivning: För fullständig insyn i säkerhetsinnehållet från Microsoft Defender för servrar bör EC2-instanser vara anslutna till Azure Arc. För att säkerställa att alla berättigade EC2-instanser automatiskt tar emot Azure Arc aktiverar du automatisk avetablering från Defender för molnet på AWS-kontonivå. Läs mer om Azure Arc och Microsoft Defender för servrar.
Allvarlighetsgrad: Hög
CloudFront-distributioner bör ha ursprungsredundans konfigurerad
Beskrivning: Den här kontrollen kontrollerar om en Amazon CloudFront-distribution har konfigurerats med en ursprungsgrupp som har två eller flera ursprung. Redundansväxling med CloudFront-ursprung kan öka tillgängligheten. Redundansväxling av ursprung omdirigerar automatiskt trafik till ett sekundärt ursprung om det primära ursprunget inte är tillgängligt eller om det returnerar specifika HTTP-svarsstatuskoder.
Allvarlighetsgrad: Medel
CodeBuild GitHub- eller Bitbucket-källlagringsplatsens URL:er bör använda OAuth
Beskrivning: Den här kontrollen kontrollerar om GitHub- eller Bitbucket-källlagringsplatsens URL innehåller antingen personliga åtkomsttoken eller ett användarnamn och lösenord. Autentiseringsuppgifter bör aldrig lagras eller överföras i klartext eller visas i lagringsplatsens URL. I stället för personliga åtkomsttoken eller användarnamn och lösenord bör du använda OAuth för att bevilja auktorisering för åtkomst till GitHub- eller Bitbucket-lagringsplatser. Om du använder personliga åtkomsttoken eller ett användarnamn och lösenord kan dina autentiseringsuppgifter exponeras för oavsiktlig dataexponering och obehörig åtkomst.
Allvarlighetsgrad: Hög
CodeBuild-projektmiljövariabler får inte innehålla autentiseringsuppgifter
Beskrivning: Den här kontrollen kontrollerar om projektet innehåller miljövariablerna AWS_ACCESS_KEY_ID och AWS_SECRET_ACCESS_KEY.
Autentiseringsuppgifter AWS_ACCESS_KEY_ID och AWS_SECRET_ACCESS_KEY bör aldrig lagras i klartext, eftersom detta kan leda till oavsiktlig dataexponering och obehörig åtkomst.
Allvarlighetsgrad: Hög
DynamoDB-acceleratorkluster (DAX) ska krypteras i vila
Beskrivning: Den här kontrollen kontrollerar om ett DAX-kluster krypteras i vila. Om vilande data krypteras minskar risken för att data som lagras på disken används av en användare som inte autentiseras till AWS. Krypteringen lägger till ytterligare en uppsättning åtkomstkontroller för att begränsa möjligheten för obehöriga användare att komma åt data. API-behörigheter krävs till exempel för att dekryptera data innan de kan läsas.
Allvarlighetsgrad: Medel
DynamoDB-tabeller bör automatiskt skala kapacitet med efterfrågan
Beskrivning: Den här kontrollen kontrollerar om en Amazon DynamoDB-tabell kan skala sin läs- och skrivkapacitet efter behov. Den här kontrollen skickas om tabellen använder antingen kapacitetsläge på begäran eller etablerat läge med automatisk skalning konfigurerad. Skalningskapacitet med efterfrågan undviker begränsningsfel, vilket bidrar till att upprätthålla tillgängligheten för dina program.
Allvarlighetsgrad: Medel
EC2-instanser ska vara anslutna till Azure Arc
Beskrivning: Anslut dina EC2-instanser till Azure Arc för att få fullständig insyn i säkerhetsinnehållet i Microsoft Defender för servrar. Läs mer om Azure Arc och om Microsoft Defender för servrar i hybridmolnmiljö.
Allvarlighetsgrad: Hög
EC2-instanser ska hanteras av AWS Systems Manager
Beskrivning: Status för Amazon EC2 Systems Manager-korrigeringsefterlevnad är "KOMPATIBEL" eller "NON_COMPLIANT" efter korrigeringsinstallationen på instansen. Endast instanser som hanteras av AWS Systems Manager Patch Manager kontrolleras. Korrigeringar som tillämpades inom den 30-dagarsgräns som föreskrivs av PCI DSS-kravet "6" kontrolleras inte.
Allvarlighetsgrad: Medel
Identifiering och åtgärd på slutpunkt konfigurationsproblem bör lösas på EC2s
Beskrivning: Lös alla identifierade konfigurationsproblem med den installerade lösningen Slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) för att skydda virtuella datorer från de senaste hoten och säkerhetsriskerna.
Obs! För närvarande gäller den här rekommendationen endast för resurser med Microsoft Defender för Endpoint (MDE) aktiverat.
Allvarlighetsgrad: Hög
Identifiering och åtgärd på slutpunkt lösning bör installeras på EC2s
Beskrivning: Installera en lösning för slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) för att skydda EC2:er. Identifiering och åtgärd på slutpunkt hjälper till att förhindra, identifiera, undersöka och svara på avancerade hot. Använd Microsoft Defender för servrar för att distribuera Microsoft Defender för Endpoint. Om resursen klassificeras som "Inte felfri" har den ingen Identifiering och åtgärd på slutpunkt lösning som stöds installerad. Om du har en Identifiering och åtgärd på slutpunkt lösning installerad som inte kan identifieras av den här rekommendationen kan du undanta den.
Allvarlighetsgrad: Hög
Instanser som hanteras av Systems Manager bör ha statusen kompatibel med en association
Beskrivning: Den här kontrollen kontrollerar om statusen för AWS Systems Manager-associationsefterlevnad är KOMPATIBEL eller NON_COMPLIANT efter att associationen har körts på en instans. Kontrollen godkänns om associationens efterlevnadsstatus är KOMPATIBEL. En State Manager-association är en konfiguration som har tilldelats till dina hanterade instanser. Konfigurationen definierar det tillstånd som du vill underhålla på dina instanser. En association kan till exempel ange att antivirusprogram måste installeras och köras på dina instanser, eller att vissa portar måste stängas. När du har skapat en eller flera State Manager-associationer är information om efterlevnadsstatus omedelbart tillgänglig för dig i konsolen eller som svar på AWS CLI-kommandon eller motsvarande System Manager API-åtgärder. För associationer visar "Konfigurationsefterlevnad" status för Kompatibel eller Icke-kompatibel och allvarlighetsgraden som tilldelats associationen, till exempel Kritisk eller Medel. Mer information om state manager-associationsefterlevnad finns i Om State Manager-associationsefterlevnad i användarhandboken för AWS Systems Manager. Du måste konfigurera EC2-instanser i omfånget för Systems Manager-associationen. Du måste också konfigurera korrigeringsbaslinjen för säkerhetsklassificeringen för leverantören av korrigeringar och ange det automatiska godkännandedatumet så att det uppfyller PCI DSS 3.2.1-kravet6.2. Mer information om hur du skapar en association finns i Skapa en association i användarhandboken för AWS Systems Manager. Mer information om hur du arbetar med korrigeringar i Systems Manager finns i AWS Systems Manager Patch Manager i användarhandboken för AWS Systems Manager.
Allvarlighetsgrad: Låg
Lambda-funktioner ska ha en kö med obeställbara bokstäver konfigurerad
Beskrivning: Den här kontrollen kontrollerar om en Lambda-funktion har konfigurerats med en kö med obeställbara meddelanden. Kontrollen misslyckas om Lambda-funktionen inte har konfigurerats med en kö med obeställbara meddelanden. Som ett alternativ till ett mål för fel kan du konfigurera funktionen med en kö med obeställbara meddelanden för att spara borttagna händelser för vidare bearbetning. En kö med obeställbara meddelanden fungerar på samma sätt som ett mål vid fel. Den används när en händelse misslyckas med alla bearbetningsförsök eller upphör att gälla utan att bearbetas. Med en kö med obeställbara meddelanden kan du se tillbaka på fel eller misslyckade begäranden till Lambda-funktionen för att felsöka eller identifiera ovanligt beteende. Ur ett säkerhetsperspektiv är det viktigt att förstå varför din funktion misslyckades och att se till att funktionen inte släpper data eller äventyrar datasäkerheten som ett resultat. Om din funktion till exempel inte kan kommunicera med en underliggande resurs kan det vara ett symptom på en DoS-attack (Denial of Service) någon annanstans i nätverket.
Allvarlighetsgrad: Medel
Lambda-funktioner bör använda körning som stöds
Beskrivning: Den här kontrollen kontrollerar att Lambda-funktionsinställningarna för körning matchar de förväntade värden som angetts för de körningskörningar som stöds för varje språk. Den här kontrollen söker efter följande runtimes: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Lambda runtimes bygger på en kombination av operativsystem, programmeringsspråk och programvarubibliotek som omfattas av underhålls- och säkerhetsuppdateringar. När en körningskomponent inte längre stöds för säkerhetsuppdateringar inaktuella Lambda körningen. Även om du inte kan skapa funktioner som använder den inaktuella körningen är funktionen fortfarande tillgänglig för att bearbeta anropshändelser. Kontrollera att Lambda-funktionerna är aktuella och inte använder inaktuella körningsmiljöer. Mer information om vilka körningskörningar som stöds som den här kontrollen söker efter språk som stöds finns i AWS Lambda-körningar i utvecklarguiden för AWS Lambda.
Allvarlighetsgrad: Medel
Hanteringsportar för EC2-instanser bör skyddas med just-in-time-åtkomstkontroll för nätverk
Beskrivning: Microsoft Defender för molnet identifierat några alltför tillåtande regler för inkommande trafik för hanteringsportar i nätverket. Aktivera just-in-time-åtkomstkontroll för att skydda dina instanser från internetbaserade brute-force-attacker. Läs mer.
Allvarlighetsgrad: Hög
Oanvända EC2-säkerhetsgrupper bör tas bort
Beskrivning: Säkerhetsgrupper bör kopplas till Amazon EC2-instanser eller till en ENI. Felfri sökning kan tyda på att det finns oanvända Amazon EC2-säkerhetsgrupper.
Allvarlighetsgrad: Låg
Rekommendationer för AWS-container
[Förhandsversion] Containeravbildningar i AWS-registret bör ha sårbarhetsresultat lösta
Beskrivning: Defender för molnet söker igenom dina registeravbildningar efter kända säkerhetsrisker (CVE) och ger detaljerade resultat för varje skannad avbildning. Genom att genomsöka och åtgärda säkerhetsrisker för containeravbildningar i registret kan du upprätthålla en säker och tillförlitlig leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder.
Allvarlighetsgrad: Hög
Typ: Sårbarhetsbedömning
[Förhandsversion] Containrar som körs i AWS bör ha sårbarhetsresultat lösta
Beskrivning: Defender för molnet skapar en inventering av alla containerarbetsbelastningar som för närvarande körs i dina Kubernetes-kluster och tillhandahåller sårbarhetsrapporter för dessa arbetsbelastningar genom att matcha de avbildningar som används och de sårbarhetsrapporter som skapats för registeravbildningarna. Genomsökning och reparation av sårbarheter i containerarbetsbelastningar är viktigt för att säkerställa en robust och säker leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder.
Allvarlighetsgrad: Hög
Typ: Sårbarhetsbedömning
EKS-kluster bör bevilja nödvändiga AWS-behörigheter för att Microsoft Defender för molnet
Beskrivning: Microsoft Defender för containrar ger skydd för dina EKS-kluster. För att övervaka klustret för säkerhetsrisker och hot behöver Defender for Containers behörigheter för ditt AWS-konto. Dessa behörigheter används för att aktivera Kubernetes-kontrollplansloggning på klustret och upprätta en tillförlitlig pipeline mellan klustret och Defender för molnet serverdel i molnet. Läs mer om Microsoft Defender för molnet säkerhetsfunktioner för containerbaserade miljöer.
Allvarlighetsgrad: Hög
EKS-kluster bör ha Microsoft Defender-tillägget för Azure Arc installerat
Beskrivning: Microsoft Defender-klustertilläggettillhandahåller säkerhetsfunktioner för dina EKS-kluster. Tillägget samlar in data från ett kluster och dess noder för att identifiera säkerhetsrisker och hot. Tillägget fungerar med Azure Arc-aktiverade Kubernetes. Läs mer om Microsoft Defender för molnet säkerhetsfunktioner för containerbaserade miljöer.
Allvarlighetsgrad: Hög
Microsoft Defender för containrar ska vara aktiverat på AWS-anslutningsappar
Beskrivning: Microsoft Defender för containrar ger skydd mot hot i realtid för containerbaserade miljöer och genererar aviseringar om misstänkta aktiviteter. Använd den här informationen för att förstärka säkerheten i Kubernetes-kluster och åtgärda säkerhetsproblem.
Viktigt! När du har aktiverat Microsoft Defender för containrar och distribuerat Azure Arc till dina EKS-kluster börjar skyddet och avgifterna. Om du inte distribuerar Azure Arc i ett kluster kommer Defender for Containers inte att skydda det och inga avgifter tillkommer för den här Microsoft Defender-planen för klustret.
Allvarlighetsgrad: Hög
Rekommendationer för dataplan
Alla säkerhetsrekommendationer för Kubernetes-dataplanet stöds för AWS när du har aktiverat Azure Policy för Kubernetes.
AWS-datarekommendationer
Amazon Aurora-kluster bör ha backtracking aktiverat
Beskrivning: Den här kontrollen kontrollerar om Amazon Aurora-kluster har backtracking aktiverat. Säkerhetskopior hjälper dig att återställa snabbare från en säkerhetsincident. De stärker också motståndskraften i dina system. Aurora backtracking minskar tiden för att återställa en databas till en tidpunkt. Det krävs ingen databasåterställning för att göra det. Mer information om backtracking i Aurora finns i Backtracking an Aurora DB cluster in the Amazon Aurora User Guide (Backtracking an Aurora DB cluster in the Amazon Aurora User Guide).
Allvarlighetsgrad: Medel
Amazon EBS-ögonblicksbilder bör inte vara offentligt återställningsbara
Beskrivning: Amazon EBS-ögonblicksbilder bör inte återställas offentligt av alla om de inte uttryckligen tillåts, för att undvika oavsiktlig exponering av data. Dessutom bör behörighet att ändra Amazon EBS-konfigurationer begränsas till endast auktoriserade AWS-konton.
Allvarlighetsgrad: Hög
Amazon ECS-uppgiftsdefinitioner bör ha säkra nätverkslägen och användardefinitioner
Beskrivning: Den här kontrollen kontrollerar om en aktiv Amazon ECS-uppgiftsdefinition som har värdnätverksläge också har privilegierade eller användarcontainerdefinitioner. Kontrollen misslyckas för uppgiftsdefinitioner som har värdnätverksläge och containerdefinitioner där privileged=false eller är tom och user=root eller är tom. Om en uppgiftsdefinition har utökade privilegier beror det på att kunden uttryckligen valde den konfigurationen. Den här kontrollen söker efter oväntad behörighetseskalering när en aktivitetsdefinition har aktiverat värdnätverk, men kunden valde inte utökade privilegier.
Allvarlighetsgrad: Hög
Amazon Elasticsearch Service-domäner ska kryptera data som skickas mellan noder
Beskrivning: Den här kontrollen kontrollerar om Amazon ES-domäner har kryptering från nod till nod aktiverad. HTTPS (TLS) kan användas för att förhindra att potentiella angripare tjuvlyssnar på eller manipulerar nätverkstrafik med hjälp av person-in-the-middle-attacker eller liknande attacker. Endast krypterade anslutningar via HTTPS (TLS) ska tillåtas. Om du aktiverar nod-till-nod-kryptering för Amazon ES-domäner ser du till att kommunikationen mellan kluster krypteras under överföring. Det kan finnas en prestandaavgift som är associerad med den här konfigurationen. Du bör vara medveten om och testa prestandavägningen innan du aktiverar det här alternativet.
Allvarlighetsgrad: Medel
Amazon Elasticsearch Service-domäner bör ha kryptering i vila aktiverat
Beskrivning: Det är viktigt att aktivera kryptering av resten av Amazon ES-domäner för att skydda känsliga data
Allvarlighetsgrad: Medel
Amazon RDS-databasen ska krypteras med hjälp av kundhanterad nyckel
Beskrivning: Den här kontrollen identifierar RDS-databaser som är krypterade med standard-KMS-nycklar och inte med kundhanterade nycklar. Som en ledande metod använder du kundhanterade nycklar för att kryptera data i dina RDS-databaser och behålla kontrollen över dina nycklar och data på känsliga arbetsbelastningar.
Allvarlighetsgrad: Medel
Amazon RDS-instans bör konfigureras med inställningar för automatisk säkerhetskopiering
Beskrivning: Den här kontrollen identifierar RDS-instanser som inte har angetts med inställningen för automatisk säkerhetskopiering. Om automatisk säkerhetskopiering har angetts skapar RDS en ögonblicksbild av lagringsvolymen av din DB-instans och säkerhetskopierar hela DB-instansen och inte bara enskilda databaser, vilket ger återställning till tidpunkt. Den automatiska säkerhetskopieringen sker under den angivna säkerhetskopieringsperioden och behåller säkerhetskopiorna under en begränsad tidsperiod enligt definitionen i kvarhållningsperioden. Vi rekommenderar att du ställer in automatiska säkerhetskopior för dina kritiska RDS-servrar som hjälper dig att återställa data.
Allvarlighetsgrad: Medel
Amazon Redshift-kluster bör ha granskningsloggning aktiverat
Beskrivning: Den här kontrollen kontrollerar om ett Amazon Redshift-kluster har granskningsloggning aktiverat. Amazon Redshift-granskningsloggning innehåller ytterligare information om anslutningar och användaraktiviteter i klustret. Dessa data kan lagras och skyddas i Amazon S3 och kan vara till hjälp vid säkerhetsgranskningar och undersökningar. Mer information finns i Databasgranskningsloggning i Amazon Redshift Cluster Management Guide.
Allvarlighetsgrad: Medel
Amazon Redshift-kluster bör ha automatiska ögonblicksbilder aktiverade
Beskrivning: Den här kontrollen kontrollerar om Amazon Redshift-kluster har automatiserade ögonblicksbilder aktiverade. Den kontrollerar också om kvarhållningsperioden för ögonblicksbilder är större än eller lika med sju. Säkerhetskopior hjälper dig att återställa snabbare från en säkerhetsincident. De stärker motståndskraften i dina system. Amazon Redshift tar periodiska ögonblicksbilder som standard. Den här kontrollen kontrollerar om automatiska ögonblicksbilder är aktiverade och bevarade i minst sju dagar. Mer information om amazon redshift automatiserade ögonblicksbilder finns i Automatiserade ögonblicksbilder i Amazon Redshift Cluster Management Guide.
Allvarlighetsgrad: Medel
Amazon Redshift-kluster bör förbjuda offentlig åtkomst
Beskrivning: Vi rekommenderar Amazon Redshift-kluster för att undvika offentlig tillgänglighet genom att utvärdera fältet "publiclyAccessible" i klusterkonfigurationsobjektet.
Allvarlighetsgrad: Hög
Amazon Redshift bör ha automatiska uppgraderingar till större versioner aktiverade
Beskrivning: Den här kontrollen kontrollerar om automatiska högre versionsuppgraderingar är aktiverade för Amazon Redshift-klustret. Om du aktiverar automatiska uppgraderingar av högre versioner ser du till att de senaste huvudversionsuppdateringarna till Amazon Redshift-kluster installeras under underhållsfönstret. Dessa uppdateringar kan innehålla säkerhetskorrigeringar och felkorrigeringar. Att hålla sig uppdaterad med korrigeringsinstallationen är ett viktigt steg för att skydda systemen.
Allvarlighetsgrad: Medel
Amazon SQS-köer ska krypteras i vila
Beskrivning: Den här kontrollen kontrollerar om Amazon SQS-köer krypteras i vila. Med kryptering på serversidan (SSE) kan du överföra känsliga data i krypterade köer. För att skydda innehållet i meddelanden i köer använder SSE nycklar som hanteras i AWS KMS. Mer information finns i Kryptering i vila i Amazon Simple Queue Service Developer Guide.
Allvarlighetsgrad: Medel
En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska klusterhändelser
Beskrivning: Den här kontrollen kontrollerar om det finns en Amazon RDS-händelseprenumeration som har meddelanden aktiverade för följande källtyp, nyckel/värde-par för händelsekategori. DBCluster: ["maintenance" och "failure"]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.
Allvarlighetsgrad: Låg
En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska databasinstanshändelser
Beskrivning: Den här kontrollen kontrollerar om en Amazon RDS-händelseprenumeration finns med meddelanden aktiverade för följande källtyp. nyckel/värde-par för händelsekategori. DBInstance: ["maintenance", "configuration change" och "failure"]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.
Allvarlighetsgrad: Låg
En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska databasparametergrupphändelser
Beskrivning: Den här kontrollen kontrollerar om en Amazon RDS-händelseprenumeration finns med meddelanden aktiverade för följande källtyp. nyckel/värde-par för händelsekategori. DBParameterGroup: ["configuration","change"]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.
Allvarlighetsgrad: Låg
En prenumeration på RDS-händelsemeddelanden bör konfigureras för kritiska händelser i databassäkerhetsgruppen
Beskrivning: Den här kontrollen kontrollerar om en Amazon RDS-händelseprenumeration finns med meddelanden aktiverade för följande källtyp, nyckel/värde-par för händelsekategori. DBSecurityGroup: ["configuration","change","failure"]. RDS-händelseaviseringar använder Amazon SNS för att göra dig medveten om ändringar i tillgängligheten eller konfigurationen av dina RDS-resurser. Dessa meddelanden möjliggör snabba svar. Mer information om RDS-händelseaviseringar finns i Använda Amazon RDS-händelsemeddelande i Amazon RDS-användarhandboken.
Allvarlighetsgrad: Låg
API Gateway REST- och WebSocket API-loggning ska vara aktiverade
Beskrivning: Den här kontrollen kontrollerar om alla steg i en Amazon API Gateway REST eller WebSocket API har loggning aktiverat. Kontrollen misslyckas om loggning inte är aktiverad för alla metoder i en fas eller om loggningsnivån varken är FEL eller INFO. API Gateway REST- eller WebSocket API-faser bör ha relevanta loggar aktiverade. API Gateway REST- och WebSocket API-körningsloggning innehåller detaljerade poster över begäranden som görs till API-faserna REST och WebSocket API. Stegen omfattar API-integreringsserverdelssvar, Lambda-auktoriseringssvar och requestId för AWS-integreringsslutpunkter.
Allvarlighetsgrad: Medel
API Gateway REST API-cachedata ska krypteras i vila
Beskrivning: Den här kontrollen kontrollerar om alla metoder i API Gateway REST API-faser som har cache aktiverats är krypterade. Kontrollen misslyckas om någon metod i EN API Gateway REST API-fas har konfigurerats för cachelagring och cacheminnet inte är krypterat. Om vilande data krypteras minskar risken för att data som lagras på disken används av en användare som inte autentiseras till AWS. Den lägger till en annan uppsättning åtkomstkontroller för att begränsa obehöriga användares åtkomst till data. API-behörigheter krävs till exempel för att dekryptera data innan de kan läsas. API Gateway REST API-cacheminnen ska krypteras i vila för ett extra säkerhetslager.
Allvarlighetsgrad: Medel
REST API-faser för API:et för API Gateway ska konfigureras för att använda SSL-certifikat för serverdelsautentisering
Beskrivning: Den här kontrollen kontrollerar om Amazon API Gateway REST API-faser har konfigurerat SSL-certifikat. Serverdelssystem använder dessa certifikat för att autentisera inkommande begäranden från API Gateway. API Gateway REST API-steg ska konfigureras med SSL-certifikat för att tillåta serverdelssystem att autentisera att begäranden kommer från API Gateway.
Allvarlighetsgrad: Medel
REST API-faserna för API:et för API Gateway bör ha AWS X-Ray-spårning aktiverat
Beskrivning: Den här kontrollen kontrollerar om aktiv spårning av AWS X-Ray är aktiverad för dina REST API-faser för Amazon API Gateway. X-Ray aktiv spårning möjliggör snabbare svar på prestandaändringar i den underliggande infrastrukturen. Prestandaändringar kan leda till bristande tillgänglighet för API:et. X-Ray-aktiv spårning ger realtidsmått för användarbegäranden som flödar genom API Gateway REST API-åtgärder och anslutna tjänster.
Allvarlighetsgrad: Låg
API Gateway ska associeras med en AWS WAF-webb-ACL
Beskrivning: Den här kontrollen kontrollerar om en API Gateway-fas använder en AWS WAF-lista för webbåtkomstkontroll (ACL). Den här kontrollen misslyckas om en AWS WAF-webb-ACL inte är kopplad till en REST API Gateway-fas. AWS WAF är en brandvägg för webbprogram som skyddar webbprogram och API:er från attacker. Det gör att du kan konfigurera en ACL, vilket är en uppsättning regler som tillåter, blockerar eller räknar webbbegäranden baserat på anpassningsbara regler och villkor för webbsäkerhet som du definierar. Se till att API Gateway-fasen är associerad med en AWS WAF-webb-ACL för att skydda den mot skadliga attacker.
Allvarlighetsgrad: Medel
Loggning av program och klassiska lastbalanserare ska vara aktiverade
Beskrivning: Den här kontrollen kontrollerar om programlastbalanseraren och den klassiska lastbalanseraren har loggning aktiverats. Kontrollen misslyckas om access_logs.s3.enabled den är falsk.
Elastisk belastningsutjämning ger åtkomstloggar som samlar in detaljerad information om begäranden som skickas till lastbalanseraren. Varje logg innehåller information, till exempel när begäran togs emot, klientens IP-adress, svarstider, sökvägar för begäranden och serversvar. Du kan använda dessa åtkomstloggar för att analysera trafikmönster och felsöka problem.
Mer information finns i Åtkomstloggar för din klassiska lastbalanserare i användarhandboken för klassiska lastbalanserare.
Allvarlighetsgrad: Medel
Anslutna EBS-volymer ska krypteras i vila
Beskrivning: Den här kontrollen kontrollerar om DE EBS-volymer som är i ett anslutet tillstånd är krypterade. För att klara den här kontrollen måste EBS-volymerna användas och krypteras. Om EBS-volymen inte är ansluten omfattas den inte av den här kontrollen. Om du vill ha ett extra säkerhetslager för känsliga data i EBS-volymer bör du aktivera EBS-kryptering i vila. Amazon EBS-kryptering erbjuder en enkel krypteringslösning för dina EBS-resurser som inte kräver att du skapar, underhåller och skyddar din egen infrastruktur för nyckelhantering. Den använder AWS KMS-kundhuvudnycklar (CMK) när du skapar krypterade volymer och ögonblicksbilder. Mer information om Amazon EBS-kryptering finns i Amazon EBS-kryptering i Amazon EC2-användarhandboken för Linux-instanser.
Allvarlighetsgrad: Medel
Replikeringsinstanser för AWS Database Migration Service bör inte vara offentliga
Beskrivning: Skydda dina replikerade instanser mot hot. En privat replikeringsinstans bör ha en privat IP-adress som du inte kan komma åt utanför replikeringsnätverket. En replikeringsinstans bör ha en privat IP-adress när käll- och måldatabaserna finns i samma nätverk, och nätverket är anslutet till replikeringsinstansens VPC med hjälp av VPN, AWS Direct Anslut eller VPC-peering. Du bör också se till att åtkomsten till din AWS DMS-instanskonfiguration begränsas till endast behöriga användare. Det gör du genom att begränsa användarnas IAM-behörigheter till att ändra AWS DMS-inställningar och resurser.
Allvarlighetsgrad: Hög
Klassiska Load Balancer-lyssnare ska konfigureras med HTTPS- eller TLS-avslutning
Beskrivning: Den här kontrollen kontrollerar om dina klassiska Load Balancer-lyssnare är konfigurerade med HTTPS- eller TLS-protokoll för frontend-anslutningar (klient till lastbalanserare). Kontrollen gäller om en klassisk lastbalanserare har lyssnare. Om den klassiska lastbalanseraren inte har konfigurerat någon lyssnare rapporterar inte kontrollen några resultat. Kontrollen skickas om de klassiska Load Balancer-lyssnarna har konfigurerats med TLS eller HTTPS för klientdelsanslutningar. Kontrollen misslyckas om lyssnaren inte har konfigurerats med TLS eller HTTPS för klientdelsanslutningar. Innan du börjar använda en lastbalanserare måste du lägga till en eller flera lyssnare. En lyssnare är en process som använder det konfigurerade protokollet och porten för att söka efter anslutningsbegäranden. Lyssnare kan stödja både HTTP- och HTTPS/TLS-protokoll. Du bör alltid använda en HTTPS- eller TLS-lyssnare, så att lastbalanseraren utför kryptering och dekryptering under överföring.
Allvarlighetsgrad: Medel
Klassiska lastbalanserare bör ha anslutningsdränering aktiverat
Beskrivning: Den här kontrollen kontrollerar om klassiska lastbalanserare har anslutningsdränering aktiverat. Om du aktiverar anslutningsdränering på klassiska lastbalanserare ser du till att lastbalanseraren slutar skicka begäranden till instanser som avregistreras eller inte är felfria. Den håller de befintliga anslutningarna öppna. Detta är användbart för instanser i grupper för automatisk skalning för att säkerställa att anslutningarna inte avbryts plötsligt.
Allvarlighetsgrad: Medel
CloudFront-distributioner bör ha AWS WAF aktiverat
Beskrivning: Den här kontrollen kontrollerar om CloudFront-distributioner är associerade med AWS WAF- eller AWS WAFv2-webb-ACL:er. Kontrollen misslyckas om distributionen inte är associerad med en webb-ACL. AWS WAF är en brandvägg för webbprogram som skyddar webbprogram och API:er från attacker. Det gör att du kan konfigurera en uppsättning regler, som kallas en webbåtkomstkontrollista (webb-ACL), som tillåter, blockerar eller räknar webbbegäranden baserat på anpassningsbara webbsäkerhetsregler och villkor som du definierar. Se till att din CloudFront-distribution är associerad med en AWS WAF-webb-ACL för att skydda den mot skadliga attacker.
Allvarlighetsgrad: Medel
CloudFront-distributioner bör ha loggning aktiverat
Beskrivning: Den här kontrollen kontrollerar om loggning av serveråtkomst är aktiverad på CloudFront-distributioner. Kontrollen misslyckas om åtkomstloggning inte är aktiverad för en distribution. CloudFront-åtkomstloggar innehåller detaljerad information om varje användarbegäran som CloudFront tar emot. Varje logg innehåller information som datum och tid då begäran togs emot, IP-adressen för visningsprogrammet som gjorde begäran, källan till begäran och portnumret för begäran från visningsprogrammet. Dessa loggar är användbara för program som säkerhets- och åtkomstgranskningar och kriminalteknisk undersökning. Mer information om hur du analyserar åtkomstloggar finns i Fråga Amazon CloudFront-loggar i Amazon Athena-användarhandboken.
Allvarlighetsgrad: Medel
CloudFront-distributioner bör kräva kryptering under överföring
Beskrivning: Den här kontrollen kontrollerar om en Amazon CloudFront-distribution kräver att användarna använder HTTPS direkt eller om den använder omdirigering. Kontrollen misslyckas om ViewerProtocolPolicy är inställt på allow-all för defaultCacheBehavior eller för cacheBehaviors. HTTPS (TLS) kan användas för att förhindra att potentiella angripare använder person-in-the-middle-attacker eller liknande attacker för att tjuvlyssna på eller manipulera nätverkstrafik. Endast krypterade anslutningar via HTTPS (TLS) ska tillåtas. Kryptering av data under överföring kan påverka prestanda. Du bör testa ditt program med den här funktionen för att förstå prestandaprofilen och effekten av TLS.
Allvarlighetsgrad: Medel
CloudTrail-loggar ska krypteras i vila med KMS-CMK:er
Beskrivning: Vi rekommenderar att du konfigurerar CloudTrail att använda SSE-KMS. Om du konfigurerar CloudTrail för att använda SSE-KMS får du mer konfidentialitetskontroller för loggdata eftersom en viss användare måste ha läsbehörighet för S3 på motsvarande logg bucket och måste beviljas dekrypteringsbehörighet av CMK-principen.
Allvarlighetsgrad: Medel
Anslut till Amazon Redshift-kluster ska krypteras under överföring
Beskrivning: Den här kontrollen kontrollerar om anslutningar till Amazon Redshift-kluster krävs för att använda kryptering under överföring. Kontrollen misslyckas om parametern Amazon Redshift-kluster require_SSL inte är inställd på 1. TLS kan användas för att förhindra att potentiella angripare använder person-in-the-middle-attacker eller liknande attacker för att tjuvlyssna på eller manipulera nätverkstrafik. Endast krypterade anslutningar via TLS ska tillåtas. Kryptering av data under överföring kan påverka prestanda. Du bör testa ditt program med den här funktionen för att förstå prestandaprofilen och effekten av TLS.
Allvarlighetsgrad: Medel
Anslut till Elasticsearch-domäner ska krypteras med TLS 1.2
Beskrivning: Den här kontrollen kontrollerar om anslutningar till Elasticsearch-domäner krävs för att använda TLS 1.2. Kontrollen misslyckas om Elasticsearch-domänen TLSSecurityPolicy inte är Policy-Min-TLS-1-2-2019-07. HTTPS (TLS) kan användas för att förhindra att potentiella angripare använder person-in-the-middle-attacker eller liknande attacker för att tjuvlyssna på eller manipulera nätverkstrafik. Endast krypterade anslutningar via HTTPS (TLS) ska tillåtas. Kryptering av data under överföring kan påverka prestanda. Du bör testa ditt program med den här funktionen för att förstå prestandaprofilen och effekten av TLS. TLS 1.2 ger flera säkerhetsförbättringar jämfört med tidigare versioner av TLS.
Allvarlighetsgrad: Medel
DynamoDB-tabeller bör ha återställning till tidpunkt aktiverat
Beskrivning: Den här kontrollen kontrollerar om pitr-återställning (point-in-time) är aktiverat för en Amazon DynamoDB-tabell. Säkerhetskopior hjälper dig att återställa snabbare från en säkerhetsincident. De stärker också motståndskraften i dina system. DynamoDB-återställning till tidpunkt automatiserar säkerhetskopieringar för DynamoDB-tabeller. Det minskar tiden för att återställa från oavsiktliga borttagnings- eller skrivåtgärder. DynamoDB-tabeller som har PITR aktiverat kan återställas till valfri tidpunkt under de senaste 35 dagarna.
Allvarlighetsgrad: Medel
EBS-standardkryptering ska vara aktiverat
Beskrivning: Den här kontrollen kontrollerar om kryptering på kontonivå är aktiverat som standard för Amazon Elastic Block Store (Amazon EBS). Kontrollen misslyckas om krypteringen på kontonivå inte är aktiverad. När kryptering är aktiverat för ditt konto krypteras Amazon EBS-volymer och kopior av ögonblicksbilder i vila. Detta lägger till ytterligare ett skyddslager för dina data. Mer information finns i Kryptering som standard i Amazon EC2-användarhandboken för Linux-instanser. Observera att följande instanstyper inte stöder kryptering: R1, C1 och M1.
Allvarlighetsgrad: Medel
Elastic Beanstalk-miljöer bör ha förbättrad hälsorapportering aktiverad
Beskrivning: Den här kontrollen kontrollerar om förbättrad hälsorapportering är aktiverad för dina AWS Elastic Beanstalk-miljöer. Elastic Beanstalk förbättrad hälsorapportering möjliggör ett snabbare svar på ändringar i hälsotillståndet för den underliggande infrastrukturen. Dessa ändringar kan leda till att programmet inte är tillgängligt. Elastic Beanstalk förbättrad hälsorapportering ger en statusbeskrivning för att mäta allvarlighetsgraden för de identifierade problemen och identifiera möjliga orsaker att undersöka. Elastic Beanstalk-hälsoagenten, som ingår i Amazon Machine Images (AMIs) som stöds, utvärderar loggar och mått för EC2-miljöinstanser.
Allvarlighetsgrad: Låg
Elastic Beanstalk-hanterade plattformsuppdateringar ska vara aktiverade
Beskrivning: Den här kontrollen kontrollerar om hanterade plattformsuppdateringar är aktiverade för Elastic Beanstalk-miljön. Genom att aktivera hanterade plattformsuppdateringar ser du till att de senaste tillgängliga plattformskorrigeringarna, uppdateringarna och funktionerna för miljön installeras. Att hålla sig uppdaterad med korrigeringsinstallationen är ett viktigt steg för att skydda systemen.
Allvarlighetsgrad: Hög
Elastic Load Balancer bör inte ha ACM-certifikatet upphört att gälla eller upphör att gälla om 90 dagar.
Beskrivning: Den här kontrollen identifierar elastiska lastbalanserare (ELB) som använder ACM-certifikat som har upphört att gälla eller upphört att gälla om 90 dagar. AWS Certificate Manager (ACM) är det bästa verktyget för att etablera, hantera och distribuera dina servercertifikat. Med ACM kan du begära ett certifikat eller distribuera ett befintligt ACM- eller externt certifikat till AWS-resurser. Som bästa praxis rekommenderar vi att du importerar om utgångna/utgångna certifikat samtidigt som ELB-associationerna för det ursprungliga certifikatet bevaras.
Allvarlighetsgrad: Hög
Elasticsearch-domänfelloggning till CloudWatch-loggar ska vara aktiverad
Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner är konfigurerade för att skicka felloggar till CloudWatch-loggar. Du bör aktivera felloggar för Elasticsearch-domäner och skicka loggarna till CloudWatch-loggar för kvarhållning och svar. Domänfelloggar kan hjälpa till med säkerhets- och åtkomstgranskningar och kan hjälpa till att diagnostisera tillgänglighetsproblem.
Allvarlighetsgrad: Medel
Elasticsearch-domäner ska konfigureras med minst tre dedikerade huvudnoder
Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner har konfigurerats med minst tre dedikerade huvudnoder. Den här kontrollen misslyckas om domänen inte använder dedikerade huvudnoder. Den här kontrollen skickas om Elasticsearch-domäner har fem dedikerade huvudnoder. Det kan dock vara onödigt att använda fler än tre huvudnoder för att minska tillgänglighetsrisken och leda till högre kostnader. En Elasticsearch-domän kräver minst tre dedikerade huvudnoder för hög tillgänglighet och feltolerans. Dedikerade huvudnodresurser kan vara ansträngda under blå/gröna distributioner av datanoder eftersom det finns fler noder att hantera. Om du distribuerar en Elasticsearch-domän med minst tre dedikerade huvudnoder säkerställs tillräcklig resurskapacitet för huvudnoder och klusteråtgärder om en nod misslyckas.
Allvarlighetsgrad: Medel
Elasticsearch-domäner bör ha minst tre datanoder
Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner har konfigurerats med minst tre datanoder och zoneAwarenessEnabled är sant. En Elasticsearch-domän kräver minst tre datanoder för hög tillgänglighet och feltolerans. Om du distribuerar en Elasticsearch-domän med minst tre datanoder säkerställs klusteråtgärder om en nod misslyckas.
Allvarlighetsgrad: Medel
Elasticsearch-domäner bör ha granskningsloggning aktiverat
Beskrivning: Den här kontrollen kontrollerar om Elasticsearch-domäner har granskningsloggning aktiverat. Den här kontrollen misslyckas om en Elasticsearch-domän inte har aktiverat granskningsloggning. Granskningsloggar är mycket anpassningsbara. De gör att du kan spåra användaraktivitet i dina Elasticsearch-kluster, inklusive lyckade och misslyckade autentiseringar, begäranden till OpenSearch, indexändringar och inkommande sökfrågor.
Allvarlighetsgrad: Medel
Förbättrad övervakning bör konfigureras för RDS DB-instanser och kluster
Beskrivning: Den här kontrollen kontrollerar om förbättrad övervakning är aktiverad för dina RDS DB-instanser. I Amazon RDS möjliggör förbättrad övervakning ett snabbare svar på prestandaändringar i den underliggande infrastrukturen. Dessa prestandaändringar kan leda till bristande tillgänglighet för data. Förbättrad övervakning ger realtidsmått för operativsystemet som RDS DB-instansen körs på. En agent installeras på instansen. Agenten kan få mått mer exakt än vad som är möjligt från hypervisor-lagret. Förbättrade övervakningsmått är användbara när du vill se hur olika processer eller trådar på en DB-instans använder processorn. Mer information finns i Utökad övervakning i Amazon RDS-användarhandboken.
Allvarlighetsgrad: Låg
Se till att rotationen för kundskapade CMK:er är aktiverad
Beskrivning: Med AWS nyckelhanteringstjänst (KMS) (KMS) kan kunderna rotera bakgrundsnyckeln, vilket är nyckelmaterial som lagras i KMS som är kopplat till nyckel-ID:t för kundskapad kundhuvudnyckel (CMK). Det är bakgrundsnyckeln som används för att utföra kryptografiska åtgärder som kryptering och dekryptering. Automatisk nyckelrotation behåller för närvarande alla tidigare säkerhetskopieringsnycklar så att dekryptering av krypterade data kan ske transparent. Vi rekommenderar att CMK-nyckelrotation aktiveras. Roterande krypteringsnycklar minskar den potentiella effekten av en komprometterad nyckel eftersom data som krypterats med en ny nyckel inte kan nås med en tidigare nyckel som kan ha exponerats.
Allvarlighetsgrad: Medel
Se till att S3-bucketåtkomstloggning är aktiverad i CloudTrail S3-bucketen
Beskrivning: S3 Bucket Access Logging genererar en logg som innehåller åtkomstposter Se till att S3-bucketåtkomstloggning är aktiverad på CloudTrail S3-bucketen för varje begäran som görs till din S3-bucket. En åtkomstloggpost innehåller information om begäran, till exempel typ av begäran, de resurser som angavs i begäran fungerade och tid och datum då begäran bearbetades. Vi rekommenderar att bucketåtkomstloggning aktiveras på CloudTrail S3-bucketen. Genom att aktivera S3-bucketloggning på mål-S3-bucketar är det möjligt att samla in alla händelser, vilket kan påverka objekt i mål bucketar. Att konfigurera loggar som ska placeras i en separat bucket ger åtkomst till logginformation, vilket kan vara användbart i arbetsflöden för säkerhet och incidenthantering.
Allvarlighetsgrad: Låg
Se till att S3-bucketen som används för att lagra CloudTrail-loggar inte är offentligt tillgänglig
Beskrivning: CloudTrail loggar en post för varje API-anrop som görs i ditt AWS-konto. Dessa loggfiler lagras i en S3-bucket. Vi rekommenderar att bucketprincipen eller åtkomstkontrollistan (ACL) tillämpas på S3-bucketen som CloudTrail loggar för att förhindra offentlig åtkomst till CloudTrail-loggarna. Att tillåta offentlig åtkomst till CloudTrail-logginnehåll kan hjälpa en angripare att identifiera svagheter i det berörda kontots användning eller konfiguration.
Allvarlighetsgrad: Hög
IAM bör inte ha upphört att gälla SSL/TLS-certifikat
Beskrivning: Den här kontrollen identifierar utgångna SSL/TLS-certifikat. Om du vill aktivera HTTPS-anslutningar till din webbplats eller ditt program i AWS behöver du ett SSL/TLS-servercertifikat. Du kan använda ACM eller IAM för att lagra och distribuera servercertifikat. Om du tar bort utgångna SSL/TLS-certifikat eliminerar du risken för att ett ogiltigt certifikat distribueras av misstag till en resurs, till exempel AWS Elastic Load Balancer (ELB), vilket kan skada programmets/webbplatsens trovärdighet bakom ELB. Den här kontrollen genererar aviseringar om det finns förfallna SSL/TLS-certifikat som lagras i AWS IAM. Vi rekommenderar att du tar bort utgångna certifikat.
Allvarlighetsgrad: Hög
Importerade ACM-certifikat bör förnyas efter en angiven tidsperiod
Beskrivning: Den här kontrollen kontrollerar om ACM-certifikat i ditt konto har markerats för förfallotid inom 30 dagar. Den kontrollerar både importerade certifikat och certifikat som tillhandahålls av AWS Certificate Manager. ACM kan automatiskt förnya certifikat som använder DNS-validering. För certifikat som använder e-postverifiering måste du svara på ett e-postmeddelande för domänverifiering. ACM förnyar inte heller automatiskt certifikat som du importerar. Du måste förnya importerade certifikat manuellt. Mer information om hanterad förnyelse för ACM-certifikat finns i Hanterad förnyelse för ACM-certifikat i användarhandboken för AWS Certificate Manager.
Allvarlighetsgrad: Medel
Överetablerade identiteter i konton bör undersökas för att minska PCI (Permission Creep Index)
Beskrivning: Överetablerade identiteter i konton bör undersökas för att minska PCI (Permission Creep Index) och skydda infrastrukturen. Minska PCI genom att ta bort oanvända behörighetstilldelningar med hög risk. Hög PCI återspeglar risker som är associerade med identiteter med behörigheter som överskrider deras normala eller nödvändiga användning.
Allvarlighetsgrad: Medel
Automatiska delversionsuppgraderingar för RDS ska vara aktiverade
Beskrivning: Den här kontrollen kontrollerar om automatiska delversionsuppgraderingar är aktiverade för RDS-databasinstansen. Om du aktiverar automatiska delversionsuppgraderingar ser du till att de senaste delversionsuppdateringarna till relationsdatabashanteringssystemet (RDBMS) installeras. Dessa uppgraderingar kan omfatta säkerhetskorrigeringar och felkorrigeringar. Att hålla sig uppdaterad med korrigeringsinstallationen är ett viktigt steg för att skydda systemen.
Allvarlighetsgrad: Hög
Ögonblicksbilder av RDS-kluster och ögonblicksbilder av databaser ska krypteras i vila
Beskrivning: Den här kontrollen kontrollerar om RDS DB-ögonblicksbilder är krypterade. Den här kontrollen är avsedd för RDS DB-instanser. Men det kan också generera resultat för ögonblicksbilder av Aurora DB-instanser, Neptune DB-instanser och Amazon DocumentDB-kluster. Om dessa resultat inte är användbara kan du ignorera dem. Om vilande data krypteras minskar risken för att en oautentiserad användare får åtkomst till data som lagras på disken. Data i RDS-ögonblicksbilder ska krypteras i vila för ett extra säkerhetslager.
Allvarlighetsgrad: Medel
RDS-kluster bör ha borttagningsskydd aktiverat
Beskrivning: Den här kontrollen kontrollerar om RDS-kluster har borttagningsskydd aktiverat. Den här kontrollen är avsedd för RDS DB-instanser. Men det kan också generera resultat för Aurora DB-instanser, Neptune DB-instanser och Amazon DocumentDB-kluster. Om dessa resultat inte är användbara kan du ignorera dem. Att aktivera skydd mot borttagning av kluster är ett annat skydd mot oavsiktlig borttagning eller borttagning av en obehörig entitet. När borttagningsskydd är aktiverat går det inte att ta bort ett RDS-kluster. Innan en borttagningsbegäran kan lyckas måste borttagningsskyddet inaktiveras.
Allvarlighetsgrad: Låg
RDS DB-kluster bör konfigureras för flera Tillgänglighetszoner
Beskrivning: RDS DB-kluster ska konfigureras för flera data som lagras. Distribution till flera Tillgänglighetszoner gör det möjligt att automatisera Tillgänglighetszoner för att säkerställa tillgänglighet för redundansväxling i händelse av tillgänglighetsproblem i tillgänglighetszonen och under regelbundna underhållshändelser för fjärrskrivbord.
Allvarlighetsgrad: Medel
RDS DB-kluster ska konfigureras för att kopiera taggar till ögonblicksbilder
Beskrivning: Identifiering och inventering av dina IT-tillgångar är en viktig aspekt av styrning och säkerhet. Du måste ha insyn i alla dina RDS DB-kluster så att du kan utvärdera deras säkerhetsstatus och agera på potentiella svaga områden. Ögonblicksbilder ska taggas på samma sätt som deras överordnade RDS-databaskluster. Om du aktiverar den här inställningen ser du till att ögonblicksbilder ärver taggarna för deras överordnade databaskluster.
Allvarlighetsgrad: Låg
RDS DB-instanser bör konfigureras för att kopiera taggar till ögonblicksbilder
Beskrivning: Den här kontrollen kontrollerar om RDS DB-instanser har konfigurerats för att kopiera alla taggar till ögonblicksbilder när ögonblicksbilderna skapas. Identifiering och inventering av dina IT-tillgångar är en viktig aspekt av styrning och säkerhet. Du måste ha insyn i alla dina RDS DB-instanser så att du kan utvärdera deras säkerhetsstatus och vidta åtgärder på potentiella svaga områden. Ögonblicksbilder ska taggas på samma sätt som deras överordnade RDS-databasinstanser. Om du aktiverar den här inställningen ser du till att ögonblicksbilder ärver taggarna för sina överordnade databasinstanser.
Allvarlighetsgrad: Låg
RDS DB-instanser bör konfigureras med flera Tillgänglighetszoner
Beskrivning: Den här kontrollen kontrollerar om hög tillgänglighet är aktiverad för dina RDS DB-instanser. RDS DB-instanser bör konfigureras för flera Tillgänglighetszoner (AZs). Detta säkerställer tillgängligheten för lagrade data. Multi-AZ-distributioner möjliggör automatisk redundans om det finns ett problem med tillgänglighetszonens tillgänglighet och under regelbundet RDS-underhåll.
Allvarlighetsgrad: Medel
RDS DB-instanser bör ha borttagningsskydd aktiverat
Beskrivning: Den här kontrollen kontrollerar om dina RDS DB-instanser som använder någon av databasmotorerna i listan har borttagningsskydd aktiverat. Att aktivera skydd mot borttagning av instanser är ett annat skydd mot oavsiktlig borttagning eller borttagning av en obehörig entitet. Borttagningsskydd är aktiverat, men det går inte att ta bort en RDS DB-instans. Innan en borttagningsbegäran kan lyckas måste borttagningsskyddet inaktiveras.
Allvarlighetsgrad: Låg
RDS DB-instanser bör ha kryptering i vila aktiverat
Beskrivning: Den här kontrollen kontrollerar om lagringskryptering är aktiverat för dina Amazon RDS DB-instanser. Den här kontrollen är avsedd för RDS DB-instanser. Men det kan också generera resultat för Aurora DB-instanser, Neptune DB-instanser och Amazon DocumentDB-kluster. Om dessa resultat inte är användbara kan du ignorera dem. För ett extra säkerhetslager för känsliga data i RDS DB-instanser bör du konfigurera rds db-instanserna så att de krypteras i vila. Om du vill kryptera RDS DB-instanser och ögonblicksbilder i vila aktiverar du krypteringsalternativet för dina RDS DB-instanser. Data som krypteras i vila inkluderar den underliggande lagringen för DB-instanser, dess automatiserade säkerhetskopior, läsrepliker och ögonblicksbilder. RDS-krypterade DB-instanser använder den öppna standardalgoritmen för AES-256-kryptering för att kryptera dina data på servern som är värd för dina RDS DB-instanser. När dina data har krypterats hanterar Amazon RDS autentisering av åtkomst och dekryptering av dina data transparent med minimal påverkan på prestanda. Du behöver inte ändra databasklientprogram för att använda kryptering. Amazon RDS-kryptering är för närvarande tillgängligt för alla databasmotorer och lagringstyper. Amazon RDS-kryptering är tillgängligt för de flesta DB-instansklasser. Information om DB-instansklasser som inte stöder Amazon RDS-kryptering finns i Kryptera Amazon RDS-resurser i Amazon RDS-användarhandboken.
Allvarlighetsgrad: Medel
RDS DB-instanser bör förbjuda offentlig åtkomst
Beskrivning: Vi rekommenderar att du också ser till att åtkomsten till RDS-instansens konfiguration begränsas till endast behöriga användare genom att begränsa användarnas IAM-behörigheter för att ändra INSTÄLLNINGAR och resurser för RDS-instanser.
Allvarlighetsgrad: Hög
RDS-ögonblicksbilder bör förbjuda offentlig åtkomst
Beskrivning: Vi rekommenderar att du endast tillåter auktoriserade huvudkonton att komma åt ögonblicksbilden och ändra Amazon RDS-konfigurationen.
Allvarlighetsgrad: Hög
Ta bort oanvända HemligheterHanterarens hemligheter
Beskrivning: Den här kontrollen kontrollerar om dina hemligheter har använts inom ett angivet antal dagar. Standardvärdet är 90 dagar. Om en hemlighet inte användes inom det definierade antalet dagar misslyckas den här kontrollen. Det är lika viktigt att ta bort oanvända hemligheter som att rotera hemligheter. Oanvända hemligheter kan missbrukas av sina tidigare användare, som inte längre behöver åtkomst till dessa hemligheter. När fler användare får åtkomst till en hemlighet kan någon också ha misskött och läckt den till en obehörig entitet, vilket ökar risken för missbruk. Om du tar bort oanvända hemligheter kan du återkalla hemlig åtkomst från användare som inte längre behöver den. Det hjälper också till att minska kostnaden för att använda Secrets Manager. Därför är det viktigt att rutinmässigt ta bort oanvända hemligheter.
Allvarlighetsgrad: Medel
S3-bucketar ska ha replikering mellan regioner aktiverad
Beskrivning: Om du aktiverar S3-replikering mellan regioner ser du till att flera versioner av data är tillgängliga i olika olika regioner. På så sätt kan du skydda din S3-bucket mot DDoS-attacker och skadade datahändelser.
Allvarlighetsgrad: Låg
S3-bucketar ska ha kryptering på serversidan aktiverat
Beskrivning: Aktivera kryptering på serversidan för att skydda data i dina S3-bucketar. Kryptering av data kan förhindra åtkomst till känsliga data i händelse av ett dataintrång.
Allvarlighetsgrad: Medel
Secrets Manager-hemligheter som konfigurerats med automatisk rotation bör roteras korrekt
Beskrivning: Den här kontrollen kontrollerar om en AWS Secrets Manager-hemlighet roterades korrekt baserat på rotationsschemat. Kontrollen misslyckas om RotationOccurringAsScheduled är falskt. Kontrollen utvärderar inte hemligheter som inte har rotation konfigurerats. Secrets Manager hjälper dig att förbättra organisationens säkerhetsstatus. Hemligheter inkluderar databasautentiseringsuppgifter, lösenord och API-nycklar från tredje part. Du kan använda Secrets Manager för att lagra hemligheter centralt, kryptera hemligheter automatiskt, kontrollera åtkomsten till hemligheter och rotera hemligheter på ett säkert och automatiskt sätt. Secrets Manager kan rotera hemligheter. Du kan använda rotation för att ersätta långsiktiga hemligheter med kortsiktiga. Om du roterar dina hemligheter begränsas hur länge en obehörig användare kan använda en komprometterad hemlighet. Därför bör du rotera dina hemligheter ofta. Förutom att konfigurera hemligheter att rotera automatiskt bör du se till att hemligheterna roterar korrekt baserat på rotationsschemat. Mer information om rotation finns i Rotera dina AWS Secrets Manager-hemligheter i användarhandboken för AWS Secrets Manager.
Allvarlighetsgrad: Medel
Secrets Manager-hemligheter ska roteras inom ett angivet antal dagar
Beskrivning: Den här kontrollen kontrollerar om dina hemligheter har roterats minst en gång inom 90 dagar. Genom att rotera hemligheter kan du minska risken för obehörig användning av dina hemligheter i ditt AWS-konto. Exempel är databasautentiseringsuppgifter, lösenord, API-nycklar från tredje part och till och med godtycklig text. Om du inte ändrar dina hemligheter under en längre tid är det mer troligt att hemligheterna komprometteras. När fler användare får åtkomst till en hemlighet kan det bli mer troligt att någon misskötte och läckte den till en obehörig entitet. Hemligheter kan läcka via loggar och cachedata. De kan delas i felsökningssyfte och inte ändras eller återkallas när felsökningen har slutförts. Av alla dessa skäl bör hemligheter roteras ofta. Du kan konfigurera dina hemligheter för automatisk rotation i AWS Secrets Manager. Med automatisk rotation kan du ersätta långsiktiga hemligheter med kortsiktiga, vilket avsevärt minskar risken för kompromisser. Security Hub rekommenderar att du aktiverar rotation för hemligheterna i Secrets Manager. Mer information om rotation finns i Rotera dina AWS Secrets Manager-hemligheter i användarhandboken för AWS Secrets Manager.
Allvarlighetsgrad: Medel
SNS-ämnen ska krypteras i vila med hjälp av AWS KMS
Beskrivning: Den här kontrollen kontrollerar om ett SNS-ämne krypteras i vila med hjälp av AWS KMS. Om vilande data krypteras minskar risken för att data som lagras på disken används av en användare som inte autentiseras till AWS. Den lägger också till en annan uppsättning åtkomstkontroller för att begränsa möjligheten för obehöriga användare att komma åt data. API-behörigheter krävs till exempel för att dekryptera data innan de kan läsas. SNS-ämnen ska krypteras i vila för ett extra säkerhetslager. Mer information finns i Kryptering i vila i utvecklarguiden för Amazon Simple Notification Service.
Allvarlighetsgrad: Medel
VPC-flödesloggning ska vara aktiverad i alla virtuella datorer
Beskrivning: VPC-flödesloggar ger insyn i nätverkstrafik som passerar genom VPC och kan användas för att identifiera avvikande trafik eller insikter under säkerhetshändelser.
Allvarlighetsgrad: Medel
AWS IdentityAndAccess-rekommendationer
Amazon Elasticsearch Service-domäner bör finnas i en VPC
Beskrivning: VPC kan inte innehålla domäner med en offentlig slutpunkt. Obs! Detta utvärderar inte konfigurationen för VPC-undernätsroutning för att fastställa offentlig nåbarhet.
Allvarlighetsgrad: Hög
Amazon S3-behörigheter som beviljats andra AWS-konton i bucketprinciper bör begränsas
Beskrivning: Implementering av åtkomst med minst privilegier är grundläggande för att minska säkerhetsrisken och effekten av fel eller skadliga avsikter. Om en S3-bucketprincip tillåter åtkomst från externa konton kan det resultera i dataexfiltrering av ett insiderhot eller en angripare. Parametern "blacklistedactionpatterns" möjliggör en lyckad utvärdering av regeln för S3-bucketar. Parametern ger åtkomst till externa konton för åtgärdsmönster som inte ingår i listan "blacklistedactionpatterns".
Allvarlighetsgrad: Hög
Undvik att använda "rotkontot"
Beskrivning: Rotkontot har obegränsad åtkomst till alla resurser i AWS-kontot. Vi rekommenderar starkt att du undviker att använda det här kontot. Rotkontot är det mest privilegierade AWS-kontot. Om du minimerar användningen av det här kontot och antar principen om lägsta behörighet för åtkomsthantering minskar risken för oavsiktliga ändringar och oavsiktligt avslöjande av mycket privilegierade autentiseringsuppgifter.
Allvarlighetsgrad: Hög
AWS KMS-nycklar bör inte oavsiktligt tas bort
Beskrivning: Den här kontrollen kontrollerar om KMS-nycklar är schemalagda för borttagning. Kontrollen misslyckas om en KMS-nyckel har schemalagts för borttagning. KMS-nycklar kan inte återställas när de har tagits bort. Data som krypteras under en KMS-nyckel är också permanent oåterkalleliga om KMS-nyckeln tas bort. Om meningsfulla data har krypterats under en KMS-nyckel som har schemalagts för borttagning bör du överväga att dekryptera data eller omkryptera data under en ny KMS-nyckel om du inte avsiktligt utför en kryptografisk radering. När en KMS-nyckel har schemalagts för borttagning framtvingas en obligatorisk väntetid för att ge tid att ångra borttagningen, om den schemalades som ett fel. Standardvänteperioden är 30 dagar, men den kan minskas till så kort som sju dagar när KMS-nyckeln är schemalagd för borttagning. Under väntetiden kan den schemalagda borttagningen avbrytas och KMS-nyckeln tas inte bort. Mer information om hur du tar bort KMS-nycklar finns i Ta bort KMS-nycklar i utvecklarguiden för AWS nyckelhanteringstjänst (KMS).
Allvarlighetsgrad: Hög
AWS WAF Klassisk global webb-ACL-loggning ska vara aktiverad
Beskrivning: Den här kontrollen kontrollerar om loggning är aktiverat för en global webb-ACL för AWS WAF. Den här kontrollen misslyckas om loggning inte är aktiverad för webb-ACL:en. Loggning är en viktig del av att upprätthålla tillförlitlighet, tillgänglighet och prestanda för AWS WAF globalt. Det är ett affärs- och efterlevnadskrav i många organisationer och gör att du kan felsöka programbeteende. Den innehåller också detaljerad information om trafiken som analyseras av webb-ACL:en som är kopplad till AWS WAF.
Allvarlighetsgrad: Medel
CloudFront-distributioner bör ha ett standardrotobjekt konfigurerat
Beskrivning: Den här kontrollen kontrollerar om en Amazon CloudFront-distribution har konfigurerats för att returnera ett specifikt objekt som är standardrotobjektet. Kontrollen misslyckas om CloudFront-distributionen inte har konfigurerat ett standardrotobjekt. En användare kan ibland begära distributionens rot-URL i stället för ett objekt i distributionen. När detta inträffar kan du undvika att exponera innehållet i webbdistributionen genom att ange ett standardrotobjekt.
Allvarlighetsgrad: Hög
CloudFront-distributioner bör ha ursprungsåtkomstidentitet aktiverad
Beskrivning: Den här kontrollen kontrollerar om en Amazon CloudFront-distribution med Amazon S3 Origin-typen har ursprungsåtkomstidentitet (OAI) konfigurerad. Kontrollen misslyckas om OAI inte har konfigurerats. CloudFront OAI hindrar användare från att komma åt S3-bucketinnehåll direkt. När användarna kommer åt en S3-bucket direkt kringgår de effektivt CloudFront-distributionen och eventuella behörigheter som tillämpas på det underliggande S3-bucketinnehållet.
Allvarlighetsgrad: Medel
Validering av CloudTrail-loggfil ska vara aktiverat
Beskrivning: För att säkerställa ytterligare integritetskontroll av CloudTrail-loggar rekommenderar vi att du aktiverar filvalidering på alla CloudTrails.
Allvarlighetsgrad: Låg
CloudTrail ska vara aktiverat
Beskrivning: AWS CloudTrail är en webbtjänst som registrerar AWS API-anrop för ditt konto och levererar loggfiler till dig. Alla tjänster aktiverar inte loggning som standard för alla API:er och händelser. Du bör implementera ytterligare spårningsspår förutom CloudTrail och granska dokumentationen för varje tjänst i CloudTrail-tjänster och integreringar som stöds av CloudTrail.
Allvarlighetsgrad: Hög
CloudTrail-spår bör integreras med CloudWatch-loggar
Beskrivning: Förutom att samla in CloudTrail-loggar i en angiven S3-bucket för långsiktig analys kan realtidsanalys utföras genom att konfigurera CloudTrail för att skicka loggar till CloudWatch-loggar. För en spårning som är aktiverad i alla regioner i ett konto skickar CloudTrail loggfiler från alla dessa regioner till en Logggrupp för CloudWatch-loggar. Vi rekommenderar att CloudTrail-loggar skickas till CloudWatch-loggar för att säkerställa att AWS-kontoaktiviteten registreras, övervakas och larmas på lämpligt sätt. Att skicka CloudTrail-loggar till CloudWatch-loggar underlättar realtids- och historisk aktivitetsloggning baserat på användare, API, resurs och IP-adress, och ger möjlighet att upprätta larm och meddelanden för avvikande eller känslighetskontoaktivitet.
Allvarlighetsgrad: Låg
Databasloggning ska vara aktiverad
Beskrivning: Den här kontrollen kontrollerar om följande loggar för Amazon RDS är aktiverade och skickas till CloudWatch-loggar:
- Oracle: (Alert, Audit, Trace, Listener)
- PostgreSQL: (Postgresql, Upgrade)
- MySQL: (Audit, Error, General, SlowQuery)
- MariaDB: (Audit, Error, General, SlowQuery)
- SQL Server: (Fel, agent)
- Aurora: (Audit, Error, General, SlowQuery)
- Aurora-MySQL: (Audit, Error, General, SlowQuery)
- Aurora-PostgreSQL: (Postgresql, Upgrade). RDS-databaser bör ha relevanta loggar aktiverade. Databasloggning innehåller detaljerade poster över begäranden som görs till RDS. Databasloggar kan hjälpa till med säkerhets- och åtkomstgranskningar och kan hjälpa till att diagnostisera tillgänglighetsproblem.
Allvarlighetsgrad: Medel
Inaktivera direkt internetåtkomst för Amazon SageMaker notebook-instanser
Beskrivning: Direkt internetåtkomst bör inaktiveras för en SageMaker Notebook-instans. Detta kontrollerar om fältet DirectInternetAccess är inaktiverat för notebook-instansen. Din instans ska konfigureras med en VPC och standardinställningen ska vara Inaktivera – Få åtkomst till Internet via en VPC. För att aktivera Internetåtkomst för att träna eller vara värd för modeller från en notebook-fil kontrollerar du att din VPC har en NAT-gateway och att din säkerhetsgrupp tillåter utgående anslutningar. Se till att åtkomsten till din SageMaker-konfiguration endast är begränsad till behöriga användare och begränsa användarnas IAM-behörigheter för att ändra SageMaker-inställningar och resurser.
Allvarlighetsgrad: Hög
Konfigurera inte åtkomstnycklar under den inledande användarkonfigurationen för alla IAM-användare som har ett konsollösenord
Beskrivning: AWS-konsolen standard kryssrutan för att skapa åtkomstnycklar till aktiverad. Detta resulterar i att många åtkomstnycklar genereras i onödan. Förutom onödiga autentiseringsuppgifter genererar det också onödigt hanteringsarbete vid granskning och rotation av dessa nycklar. Att kräva att ytterligare åtgärder vidtas av användaren efter att deras profil har skapats ger en starkare indikation på avsikten att åtkomstnycklar är [a] nödvändiga för deras arbete och [b] när åtkomstnyckeln har upprättats för ett konto som nycklarna kan användas någonstans i organisationen.
Allvarlighetsgrad: Medel
Se till att en supportroll har skapats för att hantera incidenter med AWS-support
Beskrivning: AWS tillhandahåller ett supportcenter som kan användas för incidentmeddelanden och incidenthantering, samt teknisk support och kundtjänst. Skapa en IAM-roll för att tillåta behöriga användare att hantera incidenter med AWS-support. Genom att implementera lägsta behörighet för åtkomstkontroll kräver en IAM-roll en lämplig IAM-princip för att tillåta supportcenteråtkomst för att hantera incidenter med AWS-support.
Allvarlighetsgrad: Låg
Se till att åtkomstnycklar roteras var 90:e dag eller mindre
Beskrivning: Åtkomstnycklar består av ett åtkomstnyckel-ID och en hemlig åtkomstnyckel som används för att signera programmatiska begäranden som du gör till AWS. AWS-användare behöver sina egna åtkomstnycklar för att göra programmatiska anrop till AWS från AWS-kommandoradsgränssnittet (AWS CLI), Verktyg för Windows PowerShell, AWS SDK:er eller direkta HTTP-anrop med api:erna för enskilda AWS-tjänster. Vi rekommenderar att alla åtkomstnycklar roteras regelbundet. Roterande åtkomstnycklar minskar möjligheten för en åtkomstnyckel som är associerad med ett komprometterat eller avslutat konto som ska användas. Åtkomstnycklar bör roteras för att säkerställa att data inte kan nås med en gammal nyckel, som kan ha förlorats, knäckts eller stulits.
Allvarlighetsgrad: Medel
Kontrollera att AWS-konfigurationen är aktiverad i alla regioner
Beskrivning: AWS Config är en webbtjänst som utför konfigurationshantering av AWS-resurser som stöds i ditt konto och levererar loggfiler till dig. Den registrerade informationen innehåller konfigurationsobjektet (AWS-resursen), relationer mellan konfigurationsobjekt (AWS-resurser), eventuella konfigurationsändringar mellan resurser. Vi rekommenderar att du aktiverar AWS Config i alla regioner.
AWS-konfigurationsobjekthistoriken som registrerats av AWS Config möjliggör säkerhetsanalys, resursändringsspårning och efterlevnadsgranskning.
Allvarlighetsgrad: Medel
Kontrollera att CloudTrail är aktiverat i alla regioner
Beskrivning: AWS CloudTrail är en webbtjänst som registrerar AWS API-anrop för ditt konto och levererar loggfiler till dig. Den registrerade informationen omfattar IDENTITETen för API-anroparen, tiden för API-anropet, API-anroparens käll-IP-adress, begäransparametrarna och de svarselement som returneras av AWS-tjänsten. CloudTrail innehåller en historik över AWS API-anrop för ett konto, inklusive API-anrop som görs via hanteringskonsolen, SDK:er, kommandoradsverktyg och AWS-tjänster på högre nivå (till exempel CloudFormation). AWS API-anropshistoriken som skapats av CloudTrail möjliggör säkerhetsanalys, resursändringsspårning och efterlevnadsgranskning. Dessutom:
- se till att det finns ett spår för flera regioner så att oväntad aktivitet som inträffar i annars oanvända regioner identifieras
- se till att det finns ett spår för flera regioner så att "Global tjänstloggning" är aktiverad för en spårning som standard för att samla in inspelning av händelser som genererats på globala AWS-tjänster
- för ett spår i flera regioner, vilket säkerställer att hanteringshändelser som konfigurerats för alla typer av läs-/skrivåtgärder säkerställer registrering av hanteringsåtgärder som utförs på alla resurser i ett AWS-konto
Allvarlighetsgrad: Hög
Se till att autentiseringsuppgifter som inte används i 90 dagar eller senare är inaktiverade
Beskrivning: AWS IAM-användare kan komma åt AWS-resurser med olika typer av autentiseringsuppgifter, till exempel lösenord eller åtkomstnycklar. Vi rekommenderar att alla autentiseringsuppgifter som inte har använts på 90 dagar eller senare tas bort eller inaktiveras. Om du inaktiverar eller tar bort onödiga autentiseringsuppgifter minskar du möjligheten att använda autentiseringsuppgifter som är associerade med ett komprometterat eller övergivet konto.
Allvarlighetsgrad: Medel
Se till att lösenordsprincipen för IAM upphör att gälla inom 90 dagar eller mindre
Beskrivning: IAM-lösenordsprinciper kan kräva att lösenord roteras eller upphör att gälla efter ett visst antal dagar. Vi rekommenderar att lösenordsprincipen upphör att gälla efter 90 dagar eller mindre. Om du minskar livslängden för lösenord ökar kontoåterhämtningen mot brute force-inloggningsförsök. Dessutom hjälper det att kräva regelbundna lösenordsändringar i följande scenarier:
- Lösenord kan stjälas eller komprometteras ibland utan din vetskap. Detta kan inträffa via en systemkompromiss, programvarusårbarhet eller ett internt hot.
- Vissa företags- och myndighetswebbfilter eller proxyservrar har möjlighet att avlyssna och registrera trafik även om den är krypterad.
- Många använder samma lösenord för många system, till exempel arbete, e-post och personligt.
- Komprometterade slutanvändares arbetsstationer kan ha en tangenttryckningsloggare.
Allvarlighetsgrad: Låg
Se till att IAM-lösenordsprincipen förhindrar återanvändning av lösenord
Beskrivning: IAM-lösenordsprinciper kan förhindra återanvändning av ett visst lösenord av samma användare. Vi rekommenderar att lösenordsprincipen förhindrar återanvändning av lösenord. Förhindra återanvändning av lösenord ökar kontoåterhämtningen mot brute force-inloggningsförsök.
Allvarlighetsgrad: Låg
Se till att IAM-lösenordsprincipen kräver minst en gemen bokstav
Beskrivning: Lösenordsprinciper används delvis för att framtvinga krav på lösenordskomplexitet. IAM-lösenordsprinciper kan användas för att säkerställa att lösenordet består av olika teckenuppsättningar. Vi rekommenderar att lösenordsprincipen kräver minst en gemen bokstav. Om du anger en princip för lösenordskomplexitet ökar kontoåterhämtningen mot brute force-inloggningsförsök.
Allvarlighetsgrad: Medel
Se till att IAM-lösenordsprincipen kräver minst ett nummer
Beskrivning: Lösenordsprinciper används delvis för att framtvinga krav på lösenordskomplexitet. IAM-lösenordsprinciper kan användas för att säkerställa att lösenordet består av olika teckenuppsättningar. Vi rekommenderar att lösenordsprincipen kräver minst ett nummer. Om du anger en princip för lösenordskomplexitet ökar kontoåterhämtningen mot brute force-inloggningsförsök.
Allvarlighetsgrad: Medel
Se till att IAM-lösenordsprincipen kräver minst en symbol
Beskrivning: Lösenordsprinciper används delvis för att framtvinga krav på lösenordskomplexitet. IAM-lösenordsprinciper kan användas för att säkerställa att lösenordet består av olika teckenuppsättningar. Vi rekommenderar att lösenordsprincipen kräver minst en symbol. Om du anger en princip för lösenordskomplexitet ökar kontoåterhämtningen mot brute force-inloggningsförsök.
Allvarlighetsgrad: Medel
Kontrollera att IAM-lösenordsprincipen kräver minst en versal
Beskrivning: Lösenordsprinciper används delvis för att framtvinga krav på lösenordskomplexitet. IAM-lösenordsprinciper kan användas för att säkerställa att lösenordet består av olika teckenuppsättningar. Vi rekommenderar att lösenordsprincipen kräver minst en versal. Om du anger en princip för lösenordskomplexitet ökar kontoåterhämtningen mot brute force-inloggningsförsök.
Allvarlighetsgrad: Medel
Se till att lösenordsprincipen för IAM kräver minst 14 längder
Beskrivning: Lösenordsprinciper används delvis för att framtvinga krav på lösenordskomplexitet. IAM-lösenordsprinciper kan användas för att säkerställa att lösenordet är minst en viss längd. Vi rekommenderar att lösenordsprincipen kräver en minsta lösenordslängd "14". Om du anger en princip för lösenordskomplexitet ökar kontoåterhämtningen mot brute force-inloggningsförsök.
Allvarlighetsgrad: Medel
Se till att multifaktorautentisering (MFA) är aktiverat för alla IAM-användare som har ett konsollösenord
Beskrivning: Multifaktorautentisering (MFA) lägger till ett extra skyddslager ovanpå ett användarnamn och lösenord. När MFA är aktiverat, när en användare loggar in på en AWS-webbplats, uppmanas de att ange användarnamn och lösenord samt en autentiseringskod från sin AWS MFA-enhet. Vi rekommenderar att MFA aktiveras för alla konton som har ett konsollösenord. Aktivering av MFA ger ökad säkerhet för konsolåtkomst eftersom det kräver att autentiseringsobjektet har en enhet som genererar en tidskänslig nyckel och har kunskap om en autentiseringsuppgift.
Allvarlighetsgrad: Medel
GuardDuty ska vara aktiverat
Beskrivning: För att ge ytterligare skydd mot intrång bör GuardDuty aktiveras på ditt AWS-konto och din region. Obs! GuardDuty kanske inte är en fullständig lösning för varje miljö.
Allvarlighetsgrad: Medel
MFA för maskinvara ska vara aktiverat för "rotkontot"
Beskrivning: Rotkontot är den mest privilegierade användaren i ett konto. MFA lägger till ett extra skyddslager ovanpå ett användarnamn och lösenord. När MFA är aktiverat uppmanas en användare att ange användarnamn och lösenord och en autentiseringskod från sin AWS MFA-enhet när en användare loggar in på en AWS-webbplats. För nivå 2 rekommenderar vi att du skyddar rotkontot med en maskinvaru-MFA. En maskinvaru-MFA har en mindre attackyta än en virtuell MFA. En MFA för maskinvara drabbas till exempel inte av den attackyta som introducerades av den mobila smarttelefonen som en virtuell MFA finns på. Om du använder MFA för maskinvara för många kan många konton skapa ett problem med hantering av logistiska enheter. Om detta inträffar bör du överväga att implementera den här rekommendationen på nivå 2 selektivt till de högsta säkerhetskontona. Du kan sedan tillämpa rekommendationen Nivå 1 på de återstående kontona.
Allvarlighetsgrad: Låg
IAM-autentisering bör konfigureras för RDS-kluster
Beskrivning: Den här kontrollen kontrollerar om ett RDS DB-kluster har IAM-databasautentisering aktiverat. IAM-databasautentisering möjliggör lösenordsfri autentisering till databasinstanser. Autentiseringen använder en autentiseringstoken. Nätverkstrafik till och från databasen krypteras med hjälp av SSL. Mer information finns i IAM-databasautentisering i Amazon Aurora-användarhandboken.
Allvarlighetsgrad: Medel
IAM-autentisering bör konfigureras för RDS-instanser
Beskrivning: Den här kontrollen kontrollerar om en RDS DB-instans har IAM-databasautentisering aktiverat. IAM-databasautentisering tillåter autentisering till databasinstanser med en autentiseringstoken i stället för ett lösenord. Nätverkstrafik till och från databasen krypteras med hjälp av SSL. Mer information finns i IAM-databasautentisering i Amazon Aurora-användarhandboken.
Allvarlighetsgrad: Medel
IAM-kundhanterade principer bör inte tillåta dekrypteringsåtgärder på alla KMS-nycklar
Beskrivning: Kontrollerar om standardversionen av IAM-kundhanterade principer tillåter att huvudkonton använder AWS KMS-dekrypteringsåtgärder på alla resurser. Den här kontrollen använder Zelkova, en automatiserad resonemangsmotor, för att verifiera och varna dig om principer som kan ge bred åtkomst till dina hemligheter över AWS-konton. Den här kontrollen misslyckas om åtgärderna "kms:Decrypt" eller "kms:ReEncryptFrom" tillåts på alla KMS-nycklar. Kontrollen utvärderar både anslutna och ej kopplade kundhanterade principer. Den kontrollerar inte infogade principer eller AWS-hanterade principer. Med AWS KMS styr du vem som kan använda dina KMS-nycklar och få åtkomst till dina krypterade data. IAM-principer definierar vilka åtgärder en identitet (användare, grupp eller roll) kan utföra på vilka resurser. Enligt rekommenderade säkerhetsmetoder rekommenderar AWS att du tillåter minst behörighet. Med andra ord bör du endast bevilja identiteter behörigheterna "kms:Decrypt" eller "kms:ReEncryptFrom" och endast för de nycklar som krävs för att utföra en uppgift. Annars kan användaren använda nycklar som inte är lämpliga för dina data. I stället för att bevilja behörigheter för alla nycklar ska du fastställa den minsta uppsättning nycklar som användarna behöver för att få åtkomst till krypterade data. Utforma sedan principer som gör det möjligt för användare att endast använda dessa nycklar. Tillåt till exempel inte behörigheten "kms:Decrypt" på alla KMS-nycklar. Tillåt i stället endast "kms:Decrypt" på nycklar i en viss region för ditt konto. Genom att anta principen om lägsta behörighet kan du minska risken för oavsiktligt avslöjande av dina data.
Allvarlighetsgrad: Medel
IAM-kundhanterade principer som du skapar bör inte tillåta jokerteckenåtgärder för tjänster
Beskrivning: Den här kontrollen kontrollerar om IAM-identitetsbaserade principer som du skapar har Tillåt-instruktioner som använder jokertecknet * för att bevilja behörigheter för alla åtgärder för alla tjänster. Kontrollen misslyckas om någon principsats innehåller "Effekt": "Tillåt" med "Åtgärd": "Tjänst:*". Följande instruktion i en princip resulterar till exempel i ett misslyckat resultat.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:*',
'Resource': '*'
}
Kontrollen misslyckas också om du använder "Effekt": "Tillåt" med "NotAction": "service:". I så fall ger Elementet NotAction åtkomst till alla åtgärder i en AWS-tjänst, förutom de åtgärder som anges i NotAction. Den här kontrollen gäller endast för kundhanterade IAM-principer. Den gäller inte för IAM-principer som hanteras av AWS. När du tilldelar behörigheter till AWS-tjänster är det viktigt att begränsa tillåtna IAM-åtgärder i dina IAM-principer. Du bör begränsa IAM-åtgärder till endast de åtgärder som behövs. Detta hjälper dig att etablera behörigheter med minst behörighet. Alltför tillåtande principer kan leda till behörighetseskalering om principerna är kopplade till ett IAM-huvudnamn som kanske inte kräver behörigheten. I vissa fall kanske du vill tillåta IAM-åtgärder som har ett liknande prefix, till exempel DescribeFlowLogs och DescribeAvailabilityZones. I dessa auktoriserade fall kan du lägga till ett suffix med jokertecken i det gemensamma prefixet. Till exempel ec2:Describe.
Den här kontrollen skickas om du använder en prefixerad IAM-åtgärd med ett suffix med jokertecken. Följande instruktion i en princip resulterar till exempel i en godkänd sökning.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:Describe*',
'Resource': '*'
}
När du grupperar relaterade IAM-åtgärder på det här sättet kan du också undvika att överskrida storleksgränserna för IAM-principen.
Allvarlighetsgrad: Låg
IAM-principer bör endast kopplas till grupper eller roller
Beskrivning: Som standard har IAM-användare, grupper och roller ingen åtkomst till AWS-resurser. IAM-principer är det sätt på vilket privilegier beviljas användare, grupper eller roller. Vi rekommenderar att IAM-principer tillämpas direkt på grupper och roller men inte på användare. Att tilldela behörigheter på grupp- eller rollnivå minskar komplexiteten i åtkomsthanteringen i takt med att antalet användare ökar. Att minska komplexiteten i åtkomsthantering kan i sin tur minska möjligheten för ett huvudnamn att oavsiktligt ta emot eller behålla för höga privilegier.
Allvarlighetsgrad: Låg
IAM-principer som tillåter fullständiga administrativa behörigheter för ":" bör inte skapas
Beskrivning: IAM-principer är det sätt på vilket behörigheter beviljas användare, grupper eller roller. Det rekommenderas och anses vara ett standardsäkerhetsråd för att bevilja minst privilegier, det villa är att endast bevilja de behörigheter som krävs för att utföra en uppgift. Ta reda på vad användarna behöver göra och skapa sedan principer för dem som låter användarna endast utföra dessa uppgifter, i stället för att tillåta fullständig administrativ behörighet. Det är säkrare att börja med en minsta uppsättning behörigheter och bevilja ytterligare behörigheter efter behov, i stället för att börja med behörigheter som är för överseende och sedan försöka skärpa dem senare. Om du ger fullständig administrativ behörighet i stället för att begränsa till den minsta uppsättning behörigheter som användaren måste utföra exponeras resurserna för potentiellt oönskade åtgärder. IAM-principer som har en instruktion med "Effect": "Allow" with "Action": "" over "Resource": "" bör tas bort.
Allvarlighetsgrad: Hög
IAM-huvudkonton bör inte ha infogade IAM-principer som tillåter dekrypteringsåtgärder på alla KMS-nycklar
Beskrivning: Kontrollerar om de infogade principer som är inbäddade i dina IAM-identiteter (roll, användare eller grupp) tillåter AWS KMS-dekrypteringsåtgärder på alla KMS-nycklar. Den här kontrollen använder Zelkova, en automatiserad resonemangsmotor, för att verifiera och varna dig om principer som kan ge bred åtkomst till dina hemligheter över AWS-konton. Den här kontrollen misslyckas om åtgärderna "kms:Decrypt" eller "kms:ReEncryptFrom" tillåts för alla KMS-nycklar i en infogad princip. Med AWS KMS styr du vem som kan använda dina KMS-nycklar och få åtkomst till dina krypterade data. IAM-principer definierar vilka åtgärder en identitet (användare, grupp eller roll) kan utföra på vilka resurser. Enligt rekommenderade säkerhetsmetoder rekommenderar AWS att du tillåter minst behörighet. Med andra ord bör du endast bevilja identiteter de behörigheter de behöver och endast för nycklar som krävs för att utföra en uppgift. Annars kan användaren använda nycklar som inte är lämpliga för dina data. I stället för att bevilja behörighet för alla nycklar ska du fastställa den minsta uppsättning nycklar som användarna behöver för att få åtkomst till krypterade data. Utforma sedan principer som gör att användarna endast kan använda dessa nycklar. Tillåt till exempel inte behörigheten "kms:Decrypt" på alla KMS-nycklar. Tillåt dem i stället endast på nycklar i en viss region för ditt konto. Genom att anta principen om lägsta behörighet kan du minska risken för oavsiktligt avslöjande av dina data.
Allvarlighetsgrad: Medel
Lambda-funktioner bör begränsa offentlig åtkomst
Beskrivning: Resursbaserad princip för Lambda-funktionen bör begränsa den offentliga åtkomsten. Den här rekommendationen kontrollerar inte åtkomsten av interna huvudkonton. Se till att åtkomsten till funktionen endast är begränsad till auktoriserade huvudkonton genom att använda resursbaserade principer med minst privilegier.
Allvarlighetsgrad: Hög
MFA ska vara aktiverat för alla IAM-användare
Beskrivning: Alla IAM-användare bör ha multifaktorautentisering (MFA) aktiverat.
Allvarlighetsgrad: Medel
MFA ska vara aktiverat för "rotkontot"
Beskrivning: Rotkontot är den mest privilegierade användaren i ett konto. MFA lägger till ett extra skyddslager ovanpå ett användarnamn och lösenord. När MFA är aktiverat uppmanas en användare att ange användarnamn och lösenord och en autentiseringskod från sin AWS MFA-enhet när en användare loggar in på en AWS-webbplats. När du använder virtuell MFA för rotkonton rekommenderar vi att enheten som används inte är en personlig enhet. Använd i stället en dedikerad mobil enhet (surfplatta eller telefon) som du hanterar för att hålla debiterad och skyddad oberoende av enskilda personliga enheter. Detta minskar risken för att förlora åtkomsten till MFA på grund av enhetsförlust, enhetshandel eller om den person som äger enheten inte längre är anställd på företaget.
Allvarlighetsgrad: Låg
Lösenordsprinciper för IAM-användare bör ha starka konfigurationer
Beskrivning: Kontrollerar om kontots lösenordsprincip för IAM-användare använder följande minsta konfigurationer.
- RequireUppercaseCharacters – Kräv minst ett versaler i lösenordet. (Standard = sant)
- RequireLowercaseCharacters – Kräv minst ett gemener i lösenordet. (Standard = sant)
- RequireNumbers – Kräv minst ett nummer i lösenordet. (Standard = sant)
- MinimumPasswordLength – Minsta längd för lösenord. (Standard = 7 eller längre)
- PasswordReusePrevention – Antal lösenord innan återanvändning tillåts. (Standard = 4)
- MaxPasswordAge – Antal dagar innan lösenordet upphör att gälla. (Standard = 90)
Allvarlighetsgrad: Medel
Rotkontots åtkomstnyckel bör inte finnas
Beskrivning: Rotkontot är den mest privilegierade användaren i ett AWS-konto. AWS-åtkomstnycklar ger programmatisk åtkomst till ett visst AWS-konto. Vi rekommenderar att alla åtkomstnycklar som är associerade med rotkontot tas bort. Ta bort åtkomstnycklar som är associerade med rotkontots begränsningsvektorer som kontot kan komprometteras med. Om du tar bort rotåtkomstnycklarna kan du dessutom skapa och använda rollbaserade konton som är minst privilegierade.
Allvarlighetsgrad: Hög
S3-inställningen Blockera offentlig åtkomst ska vara aktiverad
Beskrivning: Om du aktiverar inställningen Blockera offentlig åtkomst för din S3-bucket kan du förhindra känsliga dataläckor och skydda din bucket från skadliga åtgärder.
Allvarlighetsgrad: Medel
S3-inställningen Blockera offentlig åtkomst ska vara aktiverad på bucketnivå
Beskrivning: Den här kontrollen kontrollerar om S3-bucketar har offentliga åtkomstblock på bucketnivå tillämpade. Den här kontrollen misslyckas om någon av följande inställningar är inställda på false:
- ignorePublicAcls
- blockPublicPolicy
- blockPublicAcls
- restrictPublicBuckets Blockera offentlig åtkomst på S3-bucketnivå tillhandahåller kontroller för att säkerställa att objekt aldrig har offentlig åtkomst. Offentlig åtkomst beviljas till bucketar och objekt via åtkomstkontrollistor (ACL), bucketprinciper eller både och. Om du inte tänker ha dina S3-bucketar offentligt tillgängliga bör du konfigurera funktionen Amazon S3 Blockera offentlig åtkomst på bucketnivå.
Allvarlighetsgrad: Hög
Offentlig läsåtkomst för S3-bucketar bör tas bort
Beskrivning: Om du tar bort offentlig läsåtkomst till din S3-bucket kan du skydda dina data och förhindra dataintrång.
Allvarlighetsgrad: Hög
Offentlig skrivåtkomst för S3-bucketar bör tas bort
Beskrivning: Om du tillåter offentlig skrivåtkomst till din S3-bucket kan du bli sårbar för skadliga åtgärder som att lagra data på din bekostnad, kryptera dina filer mot lösensumma eller använda din bucket för att använda skadlig kod.
Allvarlighetsgrad: Hög
Secrets Manager-hemligheter bör ha automatisk rotation aktiverad
Beskrivning: Den här kontrollen kontrollerar om en hemlighet som lagras i AWS Secrets Manager har konfigurerats med automatisk rotation. Secrets Manager hjälper dig att förbättra organisationens säkerhetsstatus. Hemligheter inkluderar databasautentiseringsuppgifter, lösenord och API-nycklar från tredje part. Du kan använda Secrets Manager för att lagra hemligheter centralt, kryptera hemligheter automatiskt, kontrollera åtkomsten till hemligheter och rotera hemligheter på ett säkert och automatiskt sätt. Secrets Manager kan rotera hemligheter. Du kan använda rotation för att ersätta långsiktiga hemligheter med kortsiktiga. Om du roterar dina hemligheter begränsas hur länge en obehörig användare kan använda en komprometterad hemlighet. Därför bör du rotera dina hemligheter ofta. Mer information om rotation finns i Rotera dina AWS Secrets Manager-hemligheter i användarhandboken för AWS Secrets Manager.
Allvarlighetsgrad: Medel
Stoppade EC2-instanser bör tas bort efter en angiven tidsperiod
Beskrivning: Den här kontrollen kontrollerar om några EC2-instanser har stoppats i mer än det tillåtna antalet dagar. En EC2-instans misslyckas med den här kontrollen om den stoppas längre än den maximala tillåtna tidsperioden, vilket som standard är 30 dagar. Ett misslyckat resultat indikerar att en EC2-instans inte har körts under en längre tid. Detta skapar en säkerhetsrisk eftersom EC2-instansen inte underhålls aktivt (analyseras, korrigeras, uppdateras). Om den senare startas kan bristen på korrekt underhåll leda till oväntade problem i din AWS-miljö. För att på ett säkert sätt underhålla en EC2-instans över tid i ett icke-körningstillstånd startar du den regelbundet för underhåll och stoppar den sedan efter underhåll. Helst är detta en automatiserad process.
Allvarlighetsgrad: Medel
Överetablerade AWS-identiteter bör endast ha nödvändiga behörigheter (förhandsversion)
Beskrivning: En överetablerad aktiv identitet är en identitet som har åtkomst till privilegier som de inte har använt. Överetablerade aktiva identiteter, särskilt för icke-mänskliga konton som har definierat åtgärder och ansvarsområden, kan öka explosionsradien om en användare, nyckel eller resurs komprometteras. Ta bort onödiga behörigheter och upprätta granskningsprocesser för att uppnå de minst privilegierade behörigheterna.
Allvarlighetsgrad: Medel
Oanvända identiteter i AWS-miljön bör tas bort (förhandsversion)
Beskrivning: Inaktiva identiteter är mänskliga och icke-mänskliga entiteter som inte har utfört någon åtgärd på någon resurs under de senaste 90 dagarna. Inaktiva IAM-identiteter med högriskbehörigheter i ditt AWS-konto kan vara utsatta för angrepp om de lämnas som de är och lämna organisationer öppna för missbruk eller utnyttjande av autentiseringsuppgifter. Genom att proaktivt identifiera och svara på oanvända identiteter kan du förhindra att obehöriga entiteter får åtkomst till dina AWS-resurser.
Allvarlighetsgrad: Medel
Rekommendationer för AWS-nätverk
Amazon EC2 bör konfigureras för att använda VPC-slutpunkter
Beskrivning: Den här kontrollen kontrollerar om en tjänstslutpunkt för Amazon EC2 skapas för varje VPC. Kontrollen misslyckas om en VPC inte har en VPC-slutpunkt som skapats för Amazon EC2-tjänsten. För att förbättra säkerhetsstatusen för din VPC kan du konfigurera Amazon EC2 för att använda en gränssnitts-VPC-slutpunkt. Gränssnittsslutpunkter drivs av AWS PrivateLink, en teknik som gör att du kan komma åt Amazon EC2 API-åtgärder privat. Den begränsar all nätverkstrafik mellan din VPC och Amazon EC2 till Amazon-nätverket. Eftersom slutpunkter endast stöds inom samma region kan du inte skapa en slutpunkt mellan en VPC och en tjänst i en annan region. Detta förhindrar oavsiktliga Amazon EC2 API-anrop till andra regioner. Mer information om hur du skapar VPC-slutpunkter för Amazon EC2 finns i Amazon EC2- och gränssnitts-VPC-slutpunkter i Amazon EC2-användarhandboken för Linux-instanser.
Allvarlighetsgrad: Medel
Amazon ECS-tjänster bör inte ha offentliga IP-adresser tilldelade automatiskt
Beskrivning: En offentlig IP-adress är en IP-adress som kan nås från Internet. Om du startar dina Amazon ECS-instanser med en offentlig IP-adress kan dina Amazon ECS-instanser nås från Internet. Amazon ECS-tjänster bör inte vara offentligt tillgängliga, eftersom detta kan ge oavsiktlig åtkomst till dina containerprogramservrar.
Allvarlighetsgrad: Hög
Amazon EMR-klusterhuvudnoder bör inte ha offentliga IP-adresser
Beskrivning: Den här kontrollen kontrollerar om huvudnoder i Amazon EMR-kluster har offentliga IP-adresser. Kontrollen misslyckas om huvudnoden har offentliga IP-adresser som är associerade med någon av dess instanser. Offentliga IP-adresser anges i fältet PublicIp i NetworkInterfaces-konfigurationen för instansen. Den här kontrollen kontrollerar endast Amazon EMR-kluster som är i körnings- eller väntetillstånd.
Allvarlighetsgrad: Hög
Amazon Redshift-kluster bör använda förbättrad VPC-routning
Beskrivning: Den här kontrollen kontrollerar om ett Amazon Redshift-kluster har EnhancedVpcRouting aktiverat. Förbättrad VPC-routning tvingar all COPY- och UNLOAD-trafik mellan klustret och datalagringsplatserna att gå igenom din VPC. Du kan sedan använda VPC-funktioner som säkerhetsgrupper och listor över nätverksåtkomstkontroll för att skydda nätverkstrafik. Du kan också använda VPC-flödesloggar för att övervaka nätverkstrafik.
Allvarlighetsgrad: Hög
Application Load Balancer ska konfigureras för att omdirigera alla HTTP-begäranden till HTTPS
Beskrivning: Om du vill framtvinga kryptering under överföring bör du använda omdirigeringsåtgärder med Programlastbalanserare för att omdirigera HTTP-klientbegäranden till en HTTPS-begäran på port 443.
Allvarlighetsgrad: Medel
Programlastbalanserare ska konfigureras för att släppa HTTP-huvuden
Beskrivning: Den här kontrollen utvärderar AWS-programlastbalanserare (ALB) för att säkerställa att de är konfigurerade för att släppa ogiltiga HTTP-huvuden. Kontrollen misslyckas om värdet för routing.http.drop_invalid_header_fields.enabled är inställt på false. Som standard är ALB inte konfigurerade för att släppa ogiltiga HTTP-huvudvärden. Om du tar bort dessa rubrikvärden förhindrar du HTTP-desynkroniseringsattacker.
Allvarlighetsgrad: Medel
Konfigurera Lambda-funktioner till en VPC
Beskrivning: Den här kontrollen kontrollerar om en Lambda-funktion finns i en VPC. Den utvärderar inte konfigurationen för VPC-undernätsroutning för att fastställa offentlig nåbarhet. Observera att om Lambda@Edge hittas i kontot genererar den här kontrollen misslyckade resultat. Om du vill förhindra dessa resultat kan du inaktivera den här kontrollen.
Allvarlighetsgrad: Låg
EC2-instanser bör inte ha någon offentlig IP-adress
Beskrivning: Den här kontrollen kontrollerar om EC2-instanser har en offentlig IP-adress. Kontrollen misslyckas om fältet "publicIp" finns i ec2-instanskonfigurationsobjektet. Den här kontrollen gäller endast för IPv4-adresser. En offentlig IPv4-adress är en IP-adress som kan nås från Internet. Om du startar din instans med en offentlig IP-adress kan din EC2-instans nås från Internet. En privat IPv4-adress är en IP-adress som inte kan nås från Internet. Du kan använda privata IPv4-adresser för kommunikation mellan EC2-instanser i samma virtuella dator eller i ditt anslutna privata nätverk. IPv6-adresser är globalt unika och kan därför nås från Internet. Men som standard har alla undernät IPv6-adresseringsattributet inställt på false. Mer information om IPv6 finns i IP-adressering i din VPC i Amazon VPC-användarhandboken. Om du har ett legitimt användningsfall för att underhålla EC2-instanser med offentliga IP-adresser kan du ignorera resultaten från den här kontrollen. Mer information om alternativ för klientdelsarkitektur finns i AWS-arkitekturbloggeneller serien This Is My Architecture (Det här är min arkitektur).
Allvarlighetsgrad: Hög
EC2-instanser bör inte använda flera ENI:er
Beskrivning: Den här kontrollen kontrollerar om en EC2-instans använder flera ELASTISKA (Elastic Network Interfaces) eller Elastic Fabric Adapters (EFA). Den här kontrollen skickas om ett enda nätverkskort används. Kontrollen innehåller en valfri parameterlista för att identifiera tillåtna ENI:er. Flera ENI:er kan orsaka instanser med dubbla hem, vilket innebär instanser som har flera undernät. Detta kan lägga till nätverkssäkerhetskomplexitet och introducera oavsiktliga nätverkssökvägar och åtkomst.
Allvarlighetsgrad: Låg
EC2-instanser bör använda IMDSv2
Beskrivning: Den här kontrollen kontrollerar om ec2-instansens metadataversion har konfigurerats med Instansmetadatatjänst version 2 (IMDSv2). Kontrollen skickas om "HttpTokens" är inställt på "required" för IMDSv2. Kontrollen misslyckas om "HttpTokens" är inställd på "valfritt". Du använder instansmetadata för att konfigurera eller hantera den instans som körs. IMDS ger åtkomst till tillfälliga, ofta roterade autentiseringsuppgifter. Dessa autentiseringsuppgifter tar bort behovet av att hårdkoda eller distribuera känsliga autentiseringsuppgifter till instanser manuellt eller programmatiskt. IMDS kopplas lokalt till varje EC2-instans. Den körs på en särskild "länklokal" IP-adress på 169.254.169.254. Den här IP-adressen är endast tillgänglig för programvara som körs på instansen. Version 2 av IMDS lägger till nya skydd för följande typer av säkerhetsrisker. Dessa sårbarheter kan användas för att försöka komma åt IMDS.
- Öppna brandväggar för webbplatsprogram
- Öppna omvända proxyservrar
- SSRF-sårbarheter (request forgery) på serversidan
- Open Layer 3-brandväggar och NAT-säkerhetshubben (Network Address Translation) rekommenderar att du konfigurerar dina EC2-instanser med IMDSv2.
Allvarlighetsgrad: Hög
EC2-undernät bör inte automatiskt tilldela offentliga IP-adresser
Beskrivning: Den här kontrollen kontrollerar om tilldelningen av offentliga IP-adresser i Amazon Virtual Private Cloud-undernät (Amazon VPC) har "MapPublicIpOnLaunch" inställt på "FALSE". Kontrollen skickas om flaggan är inställd på "FALSE". Alla undernät har ett attribut som avgör om ett nätverksgränssnitt som skapas i undernätet automatiskt tar emot en offentlig IPv4-adress. Instanser som startas i undernät som har det här attributet aktiverat har en offentlig IP-adress tilldelad till sitt primära nätverksgränssnitt.
Allvarlighetsgrad: Medel
Se till att det finns ett loggmåttfilter och ett larm för konfigurationsändringar för AWS Config
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för att identifiera ändringar i CloudTrails konfigurationer. Genom att övervaka ändringar i konfigurationen av AWS Config kan du säkerställa kontinuerlig synlighet för konfigurationsobjekt i AWS-kontot.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för AWS-hanteringskonsolens autentiseringsfel
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för misslyckade konsolautentiseringsförsök. Övervakning av misslyckade konsolinloggningar kan minska ledtiden för att identifiera ett försök att råstyra en autentiseringsuppgift, vilket kan ge en indikator, till exempel käll-IP, som kan användas i annan händelsekorrelation.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för ändringar i NACL (Network Access Control Lists)
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. NACL:er används som ett tillståndslöst paketfilter för att styra inkommande och utgående trafik för undernät i en VPC. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i NACL:er. Genom att övervaka ändringar i NACLs ser du till att AWS-resurser och tjänster inte oavsiktligt exponeras.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för ändringar i nätverksgatewayer
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Nätverksgatewayer krävs för att skicka/ta emot trafik till ett mål utanför en VPC. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i nätverksgatewayer. Genom att övervaka ändringar i nätverksgatewayer ser du till att all inkommande/utgående trafik passerar VPC-gränsen via en kontrollerad sökväg.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för CloudTrail-konfigurationsändringar
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för att identifiera ändringar i CloudTrails konfigurationer.
Genom att övervaka ändringar i CloudTrails konfiguration kan du säkerställa kontinuerlig insyn i aktiviteter som utförs i AWS-kontot.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och larm för inaktivering eller schemalagd borttagning av kundskapade CMK:er
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för kundskapade CMK:er, som har ändrat tillstånd till inaktiverad eller schemalagd borttagning. Data som krypteras med inaktiverade eller borttagna nycklar kommer inte längre att vara tillgängliga.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för principändringar i IAM
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas ändringar i IAM-principer (IAM). Genom att övervaka ändringar i IAM-principer ser du till att autentiserings- och auktoriseringskontrollerna förblir intakta.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för inloggning i hanteringskonsolen utan MFA
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för konsolinloggningar som inte skyddas av multifaktorautentisering (MFA). Övervakning för inloggningar med en faktorkonsol ökar insynen i konton som inte skyddas av MFA.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för routningstabelländringar
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Routningstabeller används för att dirigera nätverkstrafik mellan undernät och till nätverksgatewayer. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i routningstabeller. Genom att övervaka ändringar i routningstabeller ser du till att all VPC-trafik flödar genom en förväntad sökväg.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för S3-bucketprincipändringar
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar i S3-bucketprinciper. Övervakning av ändringar i S3-bucketprinciper kan minska tiden för att identifiera och korrigera tillåtande principer på känsliga S3-bucketar.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för ändringar i säkerhetsgrupper
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Säkerhetsgrupper är ett tillståndskänsligt paketfilter som styr inkommande och utgående trafik i en VPC. Vi rekommenderar att ett måttfilter och larm upprättas ändringar i säkerhetsgrupper. Genom att övervaka ändringar i säkerhetsgruppen ser du till att resurser och tjänster inte oavsiktligt exponeras.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för obehöriga API-anrop
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för obehöriga API-anrop. Övervakning av obehöriga API-anrop hjälper till att avslöja programfel och kan minska tiden för att identifiera skadlig aktivitet.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för användning av "rotkontot"
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Vi rekommenderar att ett måttfilter och larm upprättas för rotinloggningsförsök.
Övervakning för rotkontoinloggningar ger insyn i användningen av ett fullständigt privilegierat konto och en möjlighet att minska användningen av det.
Allvarlighetsgrad: Låg
Se till att det finns ett loggmåttfilter och ett larm för VPC-ändringar
Beskrivning: Realtidsövervakning av API-anrop kan uppnås genom att dirigera CloudTrail-loggar till CloudWatch-loggar och upprätta motsvarande måttfilter och larm. Det är möjligt att ha mer än en virtuell dator i ett konto. Dessutom är det också möjligt att skapa en peer-anslutning mellan två virtuella datorer som gör att nätverkstrafik kan dirigeras mellan virtuella datorer. Vi rekommenderar att ett måttfilter och larm upprättas för ändringar som görs i virtuella datorer. Genom att övervaka ändringar i IAM-principer ser du till att autentiserings- och auktoriseringskontrollerna förblir intakta.
Allvarlighetsgrad: Låg
Se till att inga säkerhetsgrupper tillåter ingress från 0.0.0.0/0 till port 3389
Beskrivning: Säkerhetsgrupper tillhandahåller tillståndskänslig filtrering av inkommande/utgående nätverkstrafik till AWS-resurser. Vi rekommenderar att ingen säkerhetsgrupp tillåter obegränsad ingressåtkomst till port 3389. Om du tar bort ohämmad anslutning till fjärrkonsoltjänster, till exempel RDP, minskar risken för en server.
Allvarlighetsgrad: Hög
RDS-databaser och -kluster bör inte använda en standardport för databasmotorn
Beskrivning: Den här kontrollen kontrollerar om RDS-klustret eller -instansen använder en annan port än databasmotorns standardport. Om du använder en känd port för att distribuera ett RDS-kluster eller en rds-instans kan en angripare gissa information om klustret eller instansen. Angriparen kan använda den här informationen tillsammans med annan information för att ansluta till ett RDS-kluster eller en rds-instans eller få ytterligare information om ditt program. När du ändrar porten måste du också uppdatera de befintliga anslutningssträng som användes för att ansluta till den gamla porten. Du bör också kontrollera säkerhetsgruppen för DB-instansen för att se till att den innehåller en ingressregel som tillåter anslutning på den nya porten.
Allvarlighetsgrad: Låg
RDS-instanser ska distribueras i en VPC
Beskrivning: Virtuella datorer tillhandahåller ett antal nätverkskontroller för att skydda åtkomsten till RDS-resurser. Dessa kontroller omfattar VPC-slutpunkter, nätverks-ACL:er och säkerhetsgrupper. För att dra nytta av dessa kontroller rekommenderar vi att du flyttar EC2-klassiska RDS-instanser till EC2-VPC.
Allvarlighetsgrad: Låg
S3-bucketar bör kräva begäranden om att använda Secure Socket Layer
Beskrivning: Vi rekommenderar att du kräver att begäranden använder Secure Socket Layer (SSL) på alla Amazon S3-bucketar. S3-bucketar bör ha principer som kräver att alla begäranden ("Åtgärd: S3:*") endast accepterar överföring av data via HTTPS i S3-resursprincipen, vilket anges av villkorsnyckeln "aws:SecureTransport".
Allvarlighetsgrad: Medel
Säkerhetsgrupper bör inte tillåta ingress från 0.0.0.0/0 till port 22
Beskrivning: För att minska serverns exponering rekommenderar vi att du inte tillåter obegränsad ingressåtkomst till port "22".
Allvarlighetsgrad: Hög
Säkerhetsgrupper bör inte tillåta obegränsad åtkomst till portar med hög risk
Beskrivning: Den här kontrollen kontrollerar om obegränsad inkommande trafik för säkerhetsgrupperna är tillgänglig för de angivna portarna som har den högsta risken. Den här kontrollen skickas när ingen av reglerna i en säkerhetsgrupp tillåter inkommande trafik från 0.0.0.0/0 för dessa portar. Obegränsad åtkomst (0.0.0.0/0) ökar möjligheterna till skadlig aktivitet, till exempel hackning, överbelastningsattacker och dataförlust. Säkerhetsgrupper tillhandahåller tillståndskänslig filtrering av inkommande och utgående nätverkstrafik till AWS-resurser. Ingen säkerhetsgrupp ska tillåta obegränsad ingressåtkomst till följande portar:
- 3389 (RDP)
- 20, 21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 110 (POP3)
- 143 (IMAP)
- 3306 (MySQL)
- 8080 (proxy)
- 1433, 1434 (MSSQL)
- 9200 eller 9300 (Elasticsearch)
- 5601 (Kibana)
- 25 (SMTP)
- 445 (CIFS)
- 135 (RPC)
- 4333 (ahsp)
- 5432 (postgresql)
- 5500 (fcp-addr-srvr1)
Allvarlighetsgrad: Medel
Säkerhetsgrupper bör endast tillåta obegränsad inkommande trafik för auktoriserade portar
Beskrivning: Den här kontrollen kontrollerar om de säkerhetsgrupper som används tillåter obegränsad inkommande trafik. Om du vill kontrollerar regeln om portnumren visas i parametern "authorizedTcpPorts".
- Om portnumret för säkerhetsgruppens regel tillåter obegränsad inkommande trafik, men portnumret anges i "authorizedTcpPorts", skickas kontrollen. Standardvärdet för "authorizedTcpPorts" är 80, 443.
- Om portnumret för säkerhetsgruppens regel tillåter obegränsad inkommande trafik, men portnumret inte anges i indataparameternauthorizedTcpPorts, misslyckas kontrollen.
- Om parametern inte används misslyckas kontrollen för alla säkerhetsgrupper som har en obegränsad inkommande regel. Säkerhetsgrupper ger tillståndskänslig filtrering av inkommande och utgående nätverkstrafik till AWS. Regler för säkerhetsgrupper bör följa principen om minst privilegierad åtkomst. Obegränsad åtkomst (IP-adress med suffixet /0) ökar möjligheten till skadlig aktivitet, till exempel hackning, överbelastningsattacker och dataförlust. Om inte en port uttryckligen tillåts bör porten neka obegränsad åtkomst.
Allvarlighetsgrad: Hög
Oanvända EC2-EIC:er bör tas bort
Beskrivning: Elastiska IP-adresser som allokeras till en VPC ska kopplas till Amazon EC2-instanser eller elastiska nätverksgränssnitt (ENIs) som används.
Allvarlighetsgrad: Låg
Oanvända listor över nätverksåtkomstkontroll bör tas bort
Beskrivning: Den här kontrollen kontrollerar om det finns några oanvända listor för nätverksåtkomstkontroll (ACL). Kontrollen kontrollerar objektkonfigurationen för resursen "AWS::EC2::NetworkAcl" och avgör nätverks-ACL:ns relationer. Om den enda relationen är den virtuella nätverks-ACL:n misslyckas kontrollen. Om andra relationer visas skickas kontrollen.
Allvarlighetsgrad: Låg
VPC:s standardsäkerhetsgrupp bör begränsa all trafik
Beskrivning: Säkerhetsgruppen bör begränsa all trafik för att minska resursexponeringen.
Allvarlighetsgrad: Låg