Amazon Web Services (AWS) kaynakları için güvenlik önerileri
Bu makalede, Ortam ayarları sayfasını kullanarak bir Amazon Web Services (AWS) hesabına bağlanırsanız Bulut için Microsoft Defender'de görebileceğiniz tüm öneriler listelenir. Ortamınızda görüntülenen öneriler, koruduğunuz kaynakları ve özelleştirilmiş yapılandırmanızı temel alır.
Bu önerilere yanıt olarak gerçekleştirebileceğiniz eylemler hakkında bilgi edinmek için bkz. Bulut için Defender'de önerileri düzeltme.
Güvenlik puanınız, tamamladığınız güvenlik önerilerinin sayısına bağlıdır. Önce hangi önerilerin çözümlenmesi gerektiğine karar vermek için, her önerinin önem derecesine ve güvenlik puanınız üzerindeki olası etkisine bakın.
AWS İşlem önerileri
Systems Manager tarafından yönetilen Amazon EC2 örnekleri, düzeltme eki yüklemesinin ardından UYUMLU düzeltme eki uyumluluk durumuna sahip olmalıdır
Açıklama: Bu denetim, Amazon EC2 Systems Manager yama uyumluluğunun uyumluluk durumunun UYUMLU mu yoksa örnekteki düzeltme eki yüklemesinin ardından NON_COMPLIANT olup olmadığını denetler. Yalnızca AWS Systems Manager Patch Manager tarafından yönetilen örnekleri denetler. Düzeltme ekinin PCI DSS gereksinimi '6.2' tarafından belirlenen 30 günlük sınır içinde uygulanıp uygulanmadığını denetlemez. Ayrıca uygulanan düzeltme eklerinin güvenlik düzeltme ekleri olarak sınıflandırılıp sınıflandırılmadığını doğrulamaz. Uygun temel ayarlarla düzeltme eki uygulama grupları oluşturmalı ve kapsam içi sistemlerin Systems Manager'da bu düzeltme eki grupları tarafından yönetildiğinden emin olmalısınız. Yama grupları hakkında daha fazla bilgi için bkz . AWS Systems Manager Kullanıcı Kılavuzu.
Önem Derecesi: Orta
Amazon EFS, AWS KMS kullanarak bekleyen dosya verilerini şifrelemek için yapılandırılmalıdır
Açıklama: Bu denetim, Amazon Elastic File System'in AWS KMS kullanarak dosya verilerini şifrelemek için yapılandırılıp yapılandırılmadığını denetler. Denetim şu durumlarda başarısız oluyor: *"Encrypted", DescribeFileSystems yanıtında "false" olarak ayarlanır. DescribeFileSystems yanıtında "KmsKeyId" anahtarı, efs-encrypted-check için KmsKeyId parametresiyle eşleşmiyor. Bu denetimin efs-encrypted-check için "KmsKeyId" parametresini kullanmadığını unutmayın. Yalnızca "Encrypted" değerini denetler. Amazon EFS'deki hassas verileriniz için ek bir güvenlik katmanı için şifrelenmiş dosya sistemleri oluşturmanız gerekir. Amazon EFS bekleyen dosya sistemleri için şifrelemeyi destekler. Amazon EFS dosya sistemi oluşturduğunuzda bekleyen verilerin şifrelenmesini etkinleştirebilirsiniz. Amazon EFS şifrelemesi hakkında daha fazla bilgi edinmek için Amazon Elastik Dosya Sistemi Kullanıcı Kılavuzu'nda Amazon EFS'de veri şifreleme bölümüne bakın.
Önem Derecesi: Orta
Amazon EFS birimleri yedekleme planlarında olmalıdır
Açıklama: Bu denetim, Amazon Elastic File System (Amazon EFS) dosya sistemlerinin AWS Backup'taki yedekleme planlarına eklenip eklenmediğini denetler. Amazon EFS dosya sistemleri yedekleme planlarına dahil değilse denetim başarısız olur. Yedekleme planlarına EFS dosya sistemlerini dahil etmek, verilerinizi silme ve veri kaybına karşı korumanıza yardımcı olur.
Önem Derecesi: Orta
Uygulama Load Balancer silme koruması etkinleştirilmelidir
Açıklama: Bu denetim, Bir Uygulama Yük Dengeleyici'nin silme korumasının etkinleştirilip etkinleştirilmediğini denetler. Silme koruması yapılandırılmamışsa denetim başarısız olur. Uygulama Yük Dengeleyicinizi silmeye karşı korumak için silme korumasını etkinleştirin.
Önem Derecesi: Orta
Yük dengeleyiciyle ilişkili otomatik ölçeklendirme grupları sistem durumu denetimlerini kullanmalıdır
Açıklama: Yük dengeleyiciyle ilişkili Otomatik Ölçeklendirme grupları Elastik Yük Dengeleme sistem durumu denetimlerini kullanıyor. PCI DSS için yük dengeleme veya yüksek oranda kullanılabilir yapılandırmalar gerekmez. Bu, AWS en iyi yöntemleri tarafından önerilir.
Önem Derecesi: Düşük
AWS hesaplarında Azure Arc otomatik sağlama etkinleştirilmelidir
Açıklama: Sunucular için Microsoft Defender'dan gelen güvenlik içeriğinin tam görünürlüğü için EC2 örneklerinin Azure Arc'a bağlanması gerekir. Tüm uygun EC2 örneklerinin Azure Arc'ı otomatik olarak aldığından emin olmak için AWS hesabı düzeyinde Bulut için Defender otomatik sağlamayı etkinleştirin. Azure Arc ve Sunucular için Microsoft Defender hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
CloudFront dağıtımlarında kaynak yük devretme yapılandırılmış olmalıdır
Açıklama: Bu denetim, Amazon CloudFront dağıtımının iki veya daha fazla çıkış noktası olan bir kaynak grubuyla yapılandırılıp yapılandırılmadığını denetler. CloudFront kaynak yük devretmesi kullanılabilirliği artırabilir. Kaynak yük devretme, birincil kaynak kullanılamıyorsa veya belirli HTTP yanıt durum kodları döndürüyorsa trafiği otomatik olarak ikincil bir çıkış noktası olarak yönlendirir.
Önem Derecesi: Orta
CodeBuild GitHub veya Bitbucket kaynak deposu URL'leri OAuth kullanmalıdır
Açıklama: Bu denetim GitHub veya Bitbucket kaynak deposu URL'sinin kişisel erişim belirteçleri mi yoksa kullanıcı adı ve parola mı içerdiğini denetler. Kimlik doğrulama kimlik bilgileri hiçbir zaman düz metinde depolanmamalı veya iletilmemeli ya da depo URL'sinde görüntülenmemelidir. Kişisel erişim belirteçleri veya kullanıcı adı ve parolası yerine, GitHub veya Bitbucket depolarına erişim yetkisi vermek için OAuth kullanmalısınız. Kişisel erişim belirteçleri veya kullanıcı adı ve parola kullanmak, kimlik bilgilerinizi istenmeyen verilerin açığa çıkarılmasına ve yetkisiz erişime açık hale gelebilir.
Önem Derecesi: Yüksek
CodeBuild proje ortamı değişkenleri kimlik bilgileri içermemelidir
Açıklama: Bu denetim, projenin ve AWS_SECRET_ACCESS_KEYortam değişkenlerini AWS_ACCESS_KEY_ID içerip içermediğini denetler.
Kimlik doğrulama kimlik bilgileri AWS_ACCESS_KEY_ID ve AWS_SECRET_ACCESS_KEY hiçbir zaman düz metinde depolanmamalıdır, bu da istenmeyen verilerin açığa çıkmasına ve yetkisiz erişime neden olabilir.
Önem Derecesi: Yüksek
DynamoDB Hızlandırıcısı (DAX) kümeleri bekleme sırasında şifrelenmelidir
Açıklama: Bu denetim, bekleyen bir DAX kümesinin şifrelenip şifrelenmediğini denetler. Bekleyen verilerin şifrelenmesi, AWS'de kimliği doğrulanmamış bir kullanıcının diskte depolanan verilere erişme riskini azaltır. Şifreleme, yetkisiz kullanıcıların verilere erişim becerisini sınırlamak için başka bir erişim denetimleri kümesi ekler. Örneğin, okunmadan önce verilerin şifresini çözmek için API izinleri gerekir.
Önem Derecesi: Orta
DynamoDB tabloları kapasiteyi taleple otomatik olarak ölçeklendirmelidir
Açıklama: Bu denetim, Amazon DynamoDB tablosunun okuma ve yazma kapasitesini gerektiği gibi ölçeklendileyip ölçeklendiremeyeceğini denetler. Tabloda otomatik ölçeklendirme yapılandırılmış isteğe bağlı kapasite modu veya sağlanan mod kullanılıyorsa bu denetim geçer. Kapasiteyi taleple ölçeklendirmek, azaltma özel durumlarını önler ve bu da uygulamalarınızın kullanılabilirliğini korumaya yardımcı olur.
Önem Derecesi: Orta
EC2 örnekleri Azure Arc'a bağlanmalıdır
Açıklama: Sunucular için Microsoft Defender güvenlik içeriğine tam görünürlük sağlamak için EC2 örneklerinizi Azure Arc'a Bağlan. Azure Arc ve hibrit bulut ortamındaki Sunucular için Microsoft Defender hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
EC2 örnekleri AWS Systems Manager tarafından yönetilmelidir
Açıklama: Amazon EC2 Systems Manager yama uyumluluğunun durumu, örnekteki düzeltme eki yüklemesinin ardından 'UYUMLU' veya 'NON_COMPLIANT' şeklindedir. Yalnızca AWS Systems Manager Patch Manager tarafından yönetilen örnekler denetlenebilir. PCI DSS gereksinimi '6' tarafından belirlenen 30 günlük sınır içinde uygulanan düzeltme ekleri denetlenmiyor.
Önem Derecesi: Orta
EDR yapılandırma sorunları EC2'lerde çözülmelidir
Açıklama: Sanal makineleri en son tehditlere ve güvenlik açıklarına karşı korumak için, yüklü Uç Nokta Algılama ve Yanıt (EDR) çözümüyle ilgili tüm tanımlanan yapılandırma sorunlarını çözün.
Not: Şu anda bu öneri yalnızca Uç Nokta için Microsoft Defender (MDE) etkinleştirilmiş kaynaklar için geçerlidir.
Önem Derecesi: Yüksek
EDR çözümü EC2'lere yüklenmelidir
Açıklama: EC2'leri korumak için bir Uç Nokta Algılama ve Yanıt (EDR) çözümü yükleyin. EDR'ler gelişmiş tehditleri önlemeye, algılamaya, araştırmaya ve yanıtlamaya yardımcı olur. Uç Nokta için Microsoft Defender dağıtmak için Sunucular için Microsoft Defender'ı kullanın. Kaynak "İyi durumda değil" olarak sınıflandırılırsa desteklenen bir EDR çözümü yüklü değildir. Bu öneri tarafından bulunamayan bir EDR çözümünüz varsa, çözümü muaf tutabilirsiniz.
Önem Derecesi: Yüksek
Systems Manager tarafından yönetilen örneklerin uyumlu ilişkilendirme uyumluluk durumu olmalıdır
Açıklama: Bu denetim, AWS Systems Manager ilişkilendirme uyumluluğu durumunun UYUMLU mu yoksa ilişkilendirme bir örnekte çalıştırıldıktan sonra NON_COMPLIANT olup olmadığını denetler. İlişkilendirme uyumluluk durumu UYUMLU ise denetim geçer. State Manager ilişkilendirmesi, yönetilen örneklerinize atanan bir yapılandırmadır. Yapılandırma, örneklerinizde korumak istediğiniz durumu tanımlar. Örneğin, bir ilişkilendirme, örneklerinizde virüsten koruma yazılımının yüklenmesi ve çalıştırılması gerektiğini veya belirli bağlantı noktalarının kapatılması gerektiğini belirtebilir. Bir veya daha fazla State Manager ilişkilendirmesi oluşturduktan sonra uyumluluk durumu bilgileri konsolda veya AWS CLI komutlarına veya ilgili Systems Manager API işlemlerine yanıt olarak hemen kullanılabilir. İlişkilendirmeler için "Yapılandırma" Uyumluluğu, Uyumlu veya Uyumsuz durumlarını ve İlişkilendirmeye atanan önem düzeyini (Kritik veya Orta gibi) gösterir. State Manager ilişkilendirme uyumluluğu hakkında daha fazla bilgi edinmek için AWS Systems Manager Kullanıcı Kılavuzu'ndaki State Manager ilişkilendirme uyumluluğu hakkında bölümüne bakın. Systems Manager ilişkilendirmesi için kapsam içi EC2 örneklerinizi yapılandırmanız gerekir. Ayrıca düzeltme eki satıcısının güvenlik derecelendirmesi için düzeltme eki taban çizgisini yapılandırmanız ve otomatik onay tarihini PCI DSS 3.2.1 gereksinimi 6.2'yi karşılayacak şekilde ayarlamanız gerekir. İlişkilendirme oluşturma hakkında daha fazla kılavuz için bkz. AWS Systems Manager Kullanıcı Kılavuzu'nda ilişkilendirme oluşturma. Systems Manager'da düzeltme eki uygulamayla çalışma hakkında daha fazla bilgi için AWS Systems Manager Kullanıcı Kılavuzu'ndaki AWS Systems Manager Patch Manager'a bakın.
Önem Derecesi: Düşük
Lambda işlevlerinde bir teslim edilemeyen ileti kuyruğu yapılandırılmış olmalıdır
Açıklama: Bu denetim, lambda işlevinin teslim edilemeyen bir kuyrukla yapılandırılıp yapılandırılmadığını denetler. Lambda işlevi teslim edilemeyen bir kuyrukla yapılandırılmamışsa denetim başarısız olur. Hata durumundaki hedefe alternatif olarak, atılan olayları daha fazla işlenmek üzere kaydetmek üzere işlevinizi bir teslim edilemeyen ileti kuyruğuyla yapılandırabilirsiniz. Teslim edilemeyen bir kuyruk, hata üzerindeki hedefle aynı işlevi görür. Bir olay tüm işleme girişimlerinde başarısız olduğunda veya işlenmeden sona erdiğinde kullanılır. Teslim edilemeyen bir kuyruk, hata ayıklamak veya olağan dışı davranışları belirlemek için Lambda işlevinize yönelik hatalara veya başarısız isteklere bakmanıza olanak tanır. Güvenlik açısından bakıldığında, işlevinizin neden başarısız olduğunu anlamak ve işlevinizin veri bırakmadığından veya sonuç olarak veri güvenliğini tehlikeye atmadığından emin olmak önemlidir. Örneğin, işleviniz temel alınan bir kaynakla iletişim kuramıyorsa bu, ağdaki başka bir yerde hizmet reddi (DoS) saldırısının belirtisi olabilir.
Önem Derecesi: Orta
Lambda işlevleri desteklenen çalışma zamanlarını kullanmalıdır
Açıklama: Bu denetim, çalışma zamanları için Lambda işlev ayarlarının her dil için desteklenen çalışma zamanları için ayarlanan beklenen değerlerle eşleştiklerini denetler. Bu denetim şu çalışma zamanlarını denetler: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Lambda çalışma zamanları işletim sistemi, programlama dili ve bakım ve güvenlik güncelleştirmelerine tabi yazılım kitaplıklarının bir bileşimi etrafında oluşturulur. Bir çalışma zamanı bileşeni artık güvenlik güncelleştirmeleri için desteklenmediğinde, Lambda çalışma zamanını kullanımdan kaldırıyor. Kullanım dışı bırakılmış çalışma zamanını kullanan işlevler oluşturamasanız da işlev çağırma olaylarını işlemek için kullanılabilir. Lambda işlevlerinizin güncel olduğundan ve güncel olmayan çalışma zamanı ortamlarını kullanmadığından emin olun. Bu denetimin desteklenen dilleri denetlediğini desteklenen çalışma zamanları hakkında daha fazla bilgi edinmek için bkz . AWS Lambda Geliştirici Kılavuzu'nda AWS Lambda çalışma zamanları .
Önem Derecesi: Orta
EC2 örneklerinin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır
Açıklama: Bulut için Microsoft Defender ağınızdaki yönetim bağlantı noktaları için aşırı izinli gelen kuralları tanımladı. Örneklerinizi İnternet tabanlı deneme yanılma saldırılarına karşı korumak için tam zamanında erişim denetimini etkinleştirin. Daha fazla bilgi edinin.
Önem Derecesi: Yüksek
Kullanılmayan EC2 güvenlik grupları kaldırılmalıdır
Açıklama: Güvenlik grupları Amazon EC2 örneklerine veya eni'ye eklenmelidir. Sağlıklı bulma, kullanılmayan Amazon EC2 güvenlik gruplarının olduğunu gösterebilir.
Önem Derecesi: Düşük
AWS Kapsayıcı önerileri
[Önizleme] AWS kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir
Açıklama: Bulut için Defender kayıt defteri görüntülerinizi bilinen güvenlik açıklarına (CVE) karşı tarar ve taranan her görüntü için ayrıntılı bulgular sağlar. Kayıt defterindeki kapsayıcı görüntüleri için güvenlik açıklarının taranması ve düzeltilmesi, güvenli ve güvenilir bir yazılım tedarik zincirinin korunmasına yardımcı olur, güvenlik olayı riskini azaltır ve sektör standartlarına uyumluluğu sağlar.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
[Önizleme] AWS'de çalışan kapsayıcıların güvenlik açığı bulguları çözümlenmelidir
Açıklama: Bulut için Defender Kubernetes kümelerinizde çalışmakta olan tüm kapsayıcı iş yüklerinin envanterini oluşturur ve kullanılan görüntülerle kayıt defteri görüntüleri için oluşturulan güvenlik açığı raporlarını eşleştirerek bu iş yükleri için güvenlik açığı raporları sağlar. Kapsayıcı iş yüklerinin güvenlik açıklarının taranması ve düzeltilmesi, sağlam ve güvenli bir yazılım tedarik zincirinin sağlanması, güvenlik olayı riskinin azaltılması ve sektör standartlarıyla uyumluluğun sağlanması açısından kritik öneme sahiptir.
Önem Derecesi: Yüksek
Tür: Güvenlik Açığı Değerlendirmesi
EKS kümeleri Bulut için Microsoft Defender için gerekli AWS izinlerini vermelidir
Açıklama: Kapsayıcılar için Microsoft Defender, EKS kümeleriniz için koruma sağlar. Kümenizi güvenlik açıklarına ve tehditlere karşı izlemek için Kapsayıcılar için Defender'ın AWS hesabınız için izinlere ihtiyacı vardır. Bu izinler, kümenizde Kubernetes denetim düzlemi günlüğünü etkinleştirmek ve kümenizle buluttaki Bulut için Defender arka ucu arasında güvenilir bir işlem hattı oluşturmak için kullanılır. kapsayıcılı ortamlar için Bulut için Microsoft Defender güvenlik özellikleri hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
EKS kümelerinde Azure Arc için Microsoft Defender uzantısı yüklü olmalıdır
Açıklama: Microsoft Defender'ın küme uzantısı , EKS kümeleriniz için güvenlik özellikleri sağlar. Uzantı, güvenlik açıklarını ve tehditleri belirlemek için kümeden ve düğümlerinden veri toplar. Uzantı, Azure Arc özellikli Kubernetes ile çalışır. kapsayıcılı ortamlar için Bulut için Microsoft Defender güvenlik özellikleri hakkında daha fazla bilgi edinin.
Önem Derecesi: Yüksek
Aws bağlayıcılarında Kapsayıcılar için Microsoft Defender etkinleştirilmelidir
Açıklama: Kapsayıcılar için Microsoft Defender kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler hakkında uyarılar oluşturur. Kubernetes kümelerinin güvenliğini sağlamlaştırmak ve güvenlik sorunlarını düzeltmek için bu bilgileri kullanın.
Önemli: Kapsayıcılar için Microsoft Defender'ı etkinleştirdiğinizde ve EKS kümelerinize Azure Arc dağıttığınızda korumalar ve ücretler başlar. Azure Arc'ı bir kümeye dağıtmazsanız Kapsayıcılar için Defender bunu korumaz ve bu küme için bu Microsoft Defender planı için ücret alınmaz.
Önem Derecesi: Yüksek
Veri düzlemi önerileri
Kubernetes için Azure İlkesi etkinleştirdikten sonra AWS için tüm Kubernetes veri düzlemi güvenlik önerileri desteklenir.
AWS Veri önerileri
Amazon Aurora kümelerinde geri izleme etkinleştirilmelidir
Açıklama: Bu denetim Amazon Aurora kümelerinde geri izlemenin etkinleştirilip etkinleştirilmediğini denetler. Yedeklemeler, bir güvenlik olayından daha hızlı kurtarmanıza yardımcı olur. Ayrıca sistemlerinizin dayanıklılığını da güçlendirirler. Aurora geri izlemesi, veritabanını belirli bir noktaya kurtarma süresini azaltır. Bunun için veritabanı geri yüklemesi gerekmez. Aurora'da geri izleme hakkında daha fazla bilgi için Amazon Aurora Kullanıcı Kılavuzu'nda Aurora DB kümesini geri izleme bölümüne bakın.
Önem Derecesi: Orta
Amazon EBS anlık görüntüleri genel olarak geri yüklenemez
Açıklama: Amazon EBS anlık görüntüleri, verilerin yanlışlıkla açığa çıkmaması için açıkça izin verilmediği sürece herkes tarafından genel olarak geri yüklenemez. Ayrıca Amazon EBS yapılandırmalarını değiştirme izni yalnızca yetkili AWS hesaplarıyla sınırlandırılmalıdır.
Önem Derecesi: Yüksek
Amazon ECS görev tanımlarında güvenli ağ modları ve kullanıcı tanımları olmalıdır
Açıklama: Bu denetim, konak ağ moduna sahip etkin bir Amazon ECS görev tanımının ayrıca ayrıcalıklı mı yoksa kullanıcı kapsayıcı tanımları mı olduğunu denetler. Denetim, privileged=false veya boş ve user=root veya boş olduğunda konak ağ moduna ve kapsayıcı tanımlarına sahip görev tanımları için başarısız olur. Bir görev tanımının yükseltilmiş ayrıcalıkları varsa, bunun nedeni müşterinin özel olarak bu yapılandırmayı kabul ettiğidir. Bu denetim, bir görev tanımında konak ağı etkinleştirildiğinde ancak müşteri yükseltilmiş ayrıcalıkları kabul etmediğinde beklenmeyen ayrıcalık yükseltmesini denetler.
Önem Derecesi: Yüksek
Amazon Elasticsearch Service etki alanları düğümler arasında gönderilen verileri şifrelemelidir
Açıklama: Bu denetim Amazon ES etki alanlarında düğümden düğüme şifrelemenin etkinleştirilip etkinleştirilmediğini denetler. HTTPS (TLS), olası saldırganların ortadaki kişi veya benzer saldırıları kullanarak ağ trafiğini dinlemesini veya işlemesini önlemeye yardımcı olmak için kullanılabilir. Yalnızca HTTPS (TLS) üzerinden şifrelenmiş bağlantılara izin verilmelidir. Amazon ES etki alanları için düğümden düğüme şifrelemeyi etkinleştirmek, aktarım sırasında küme içi iletişimlerin şifrelenmesini sağlar. Bu yapılandırmayla ilişkili bir performans cezası olabilir. Bu seçeneği etkinleştirmeden önce performans dengelemesinin farkında olmanız ve test etmeniz gerekir.
Önem Derecesi: Orta
Amazon Elasticsearch Hizmeti etki alanlarında bekleyen şifreleme etkinleştirilmelidir
Açıklama: Hassas verileri korumak için Amazon ES etki alanlarının geri kalanını şifrelemeyi etkinleştirmek önemlidir
Önem Derecesi: Orta
Amazon RDS veritabanı müşteri tarafından yönetilen anahtar kullanılarak şifrelenmelidir
Açıklama: Bu denetim, müşteri tarafından yönetilen anahtarlarla değil, varsayılan KMS anahtarlarıyla şifrelenmiş RDS veritabanlarını tanımlar. Önde gelen bir uygulama olarak, RDS veritabanlarınızdaki verileri şifrelemek ve hassas iş yükleri üzerindeki anahtarlarınızın ve verilerinizin denetimini korumak için müşteri tarafından yönetilen anahtarları kullanın.
Önem Derecesi: Orta
Amazon RDS örneği otomatik yedekleme ayarlarıyla yapılandırılmalıdır
Açıklama: Bu denetim, otomatik yedekleme ayarıyla ayarlanmayan RDS örneklerini tanımlar. Otomatik Yedekleme ayarlanırsa RDS, veritabanı örneğinizin bir depolama birimi anlık görüntüsünü oluşturur ve yalnızca belirli bir noktaya kurtarma sağlayan tek tek veritabanlarını değil tüm VERITABANı örneğini yedekler. Otomatik yedekleme, belirtilen yedekleme penceresi zamanında gerçekleşir ve yedeklemeleri bekletme süresinde tanımlandığı gibi sınırlı bir süre boyunca tutar. Veri geri yükleme işlemine yardımcı olacak kritik RDS sunucularınız için otomatik yedeklemeler ayarlamanız önerilir.
Önem Derecesi: Orta
Amazon Redshift kümelerinde denetim günlüğü etkinleştirilmelidir
Açıklama: Bu denetim, Amazon Redshift kümesinde denetim günlüğünün etkinleştirilip etkinleştirilmediğini denetler. Amazon Redshift denetim günlüğü, kümenizdeki bağlantılar ve kullanıcı etkinlikleri hakkında ek bilgiler sağlar. Bu veriler Amazon S3'te depolanabilir ve güvenli hale getirilebilir ve güvenlik denetimleri ve araştırmalarında yararlı olabilir. Daha fazla bilgi için bkz. Amazon Redshift Kümesi Yönetim Kılavuzu'nda veritabanı denetim günlüğü.
Önem Derecesi: Orta
Amazon Redshift kümelerinde otomatik anlık görüntüler etkinleştirilmelidir
Açıklama: Bu denetim, Amazon Redshift kümelerinde otomatik anlık görüntülerin etkinleştirilip etkinleştirilmediğini denetler. Ayrıca anlık görüntü saklama süresinin yediden büyük mü yoksa yediye eşit mi olduğunu denetler. Yedeklemeler, bir güvenlik olayından daha hızlı kurtarmanıza yardımcı olur. Sistemlerinizin dayanıklılığını güçlendirirler. Amazon Redshift varsayılan olarak düzenli anlık görüntüler alır. Bu denetim, otomatik anlık görüntülerin etkinleştirilip etkinleştirilmediğini ve en az yedi gün boyunca tutulup tutulmadığını denetler. Amazon Redshift otomatik anlık görüntüleri hakkında daha fazla bilgi için bkz. Amazon Redshift Kümesi Yönetim Kılavuzu'nda otomatik anlık görüntüler.
Önem Derecesi: Orta
Amazon Redshift kümeleri genel erişimi yasaklamalıdır
Açıklama: Küme yapılandırma öğesindeki 'publiclyAccessible' alanını değerlendirerek genel erişilebilirliği önlemek için Amazon Redshift kümelerini öneririz.
Önem Derecesi: Yüksek
Amazon Redshift'in ana sürümlere otomatik yükseltmeleri etkinleştirilmelidir
Açıklama: Bu denetim, Amazon Redshift kümesi için otomatik ana sürüm yükseltmelerinin etkinleştirilip etkinleştirilmediğini denetler. Otomatik ana sürüm yükseltmelerinin etkinleştirilmesi, bakım penceresi sırasında Amazon Redshift kümelerinde en son ana sürüm güncelleştirmelerinin yüklenmesini sağlar. Bu güncelleştirmeler güvenlik düzeltme eklerini ve hata düzeltmelerini içerebilir. Düzeltme eki yüklemesini güncel tutmak, sistemlerin güvenliğini sağlamada önemli bir adımdır.
Önem Derecesi: Orta
Amazon SQS kuyrukları bekleme durumunda şifrelenmelidir
Açıklama: Bu denetim, Amazon SQS kuyruklarının bekleme sırasında şifrelenip şifrelenmediğini denetler. Sunucu tarafı şifrelemesi (SSE), şifrelenmiş kuyruklarda hassas verileri iletmenizi sağlar. SSE, kuyruklardaki iletilerin içeriğini korumak için AWS KMS'de yönetilen anahtarları kullanır. Daha fazla bilgi için bkz . Amazon Simple Queue Service Geliştirici Kılavuzu'nda bekleyen şifreleme.
Önem Derecesi: Orta
Kritik küme olayları için bir RDS olay bildirimleri aboneliği yapılandırılmalıdır
Açıklama: Bu denetim, aşağıdaki kaynak türü, olay kategorisi anahtar-değer çiftleri için bildirimlerin etkinleştirildiği bir Amazon RDS olay aboneliği olup olmadığını denetler. DBCluster: ["maintenance" and "failure"]. RDS olay bildirimleri, RDS kaynaklarınızın kullanılabilirliği veya yapılandırmasındaki değişiklikleri fark etmeniz için Amazon SNS'yi kullanır. Bu bildirimler hızlı yanıt verilmesini sağlar. RDS olay bildirimleri hakkında daha fazla bilgi için Amazon RDS Kullanıcı Kılavuzu'ndaki Amazon RDS olay bildirimini kullanma bölümüne bakın.
Önem Derecesi: Düşük
Kritik veritabanı örneği olayları için bir RDS olay bildirimleri aboneliği yapılandırılmalıdır
Açıklama: Bu denetim, aşağıdaki kaynak türü için bildirimlerin etkinleştirildiği bir Amazon RDS olay aboneliği olup olmadığını denetler. olay kategorisi anahtar-değer çiftleri. DBInstance: ["maintenance", "configuration change" and "failure"]. RDS olay bildirimleri, RDS kaynaklarınızın kullanılabilirliği veya yapılandırmasındaki değişiklikleri fark etmeniz için Amazon SNS'yi kullanır. Bu bildirimler hızlı yanıt verilmesini sağlar. RDS olay bildirimleri hakkında daha fazla bilgi için Amazon RDS Kullanıcı Kılavuzu'ndaki Amazon RDS olay bildirimini kullanma bölümüne bakın.
Önem Derecesi: Düşük
Kritik veritabanı parametre grubu olayları için bir RDS olay bildirimleri aboneliği yapılandırılmalıdır
Açıklama: Bu denetim, aşağıdaki kaynak türü için bildirimlerin etkinleştirildiği bir Amazon RDS olay aboneliği olup olmadığını denetler. olay kategorisi anahtar-değer çiftleri. DBParameterGroup: ["configuration","change"]. RDS olay bildirimleri, RDS kaynaklarınızın kullanılabilirliği veya yapılandırmasındaki değişiklikleri fark etmeniz için Amazon SNS'yi kullanır. Bu bildirimler hızlı yanıt verilmesini sağlar. RDS olay bildirimleri hakkında daha fazla bilgi için Amazon RDS Kullanıcı Kılavuzu'ndaki Amazon RDS olay bildirimini kullanma bölümüne bakın.
Önem Derecesi: Düşük
Kritik veritabanı güvenlik grubu olayları için bir RDS olay bildirimleri aboneliği yapılandırılmalıdır
Açıklama: Bu denetim, aşağıdaki kaynak türü, olay kategorisi anahtar-değer çiftleri için etkinleştirilmiş bildirimlerle bir Amazon RDS olay aboneliği olup olmadığını denetler. DBSecurityGroup: ["configuration","change","failure"]. RDS olay bildirimleri, RDS kaynaklarınızın kullanılabilirliği veya yapılandırmasındaki değişiklikleri fark etmeniz için Amazon SNS'yi kullanır. Bu bildirimler hızlı yanıt verilmesini sağlar. RDS olay bildirimleri hakkında daha fazla bilgi için Amazon RDS Kullanıcı Kılavuzu'ndaki Amazon RDS olay bildirimini kullanma bölümüne bakın.
Önem Derecesi: Düşük
API Gateway REST ve WebSocket API günlüğü etkinleştirilmelidir
Açıklama: Bu denetim, Amazon API Gateway REST veya WebSocket API'sinin tüm aşamalarında günlüğe kaydetmenin etkinleştirilip etkinleştirilmediğini denetler. Bir aşamanın tüm yöntemleri için günlüğe kaydetme etkinleştirilmediyse veya günlük düzeyi HATA veya BİlGİ değilse denetim başarısız olur. API Gateway REST veya WebSocket API aşamalarında ilgili günlükler etkinleştirilmelidir. API Gateway REST ve WebSocket API yürütme günlüğü, API Gateway REST ve WebSocket API aşamalarına yapılan isteklerin ayrıntılı kayıtlarını sağlar. Aşamalar API tümleştirmesi arka uç yanıtlarını, Lambda yetkili yanıtlarını ve AWS tümleştirme uç noktaları için requestId'yi içerir.
Önem Derecesi: Orta
API Gateway REST API önbellek verileri bekleme sırasında şifrelenmelidir
Açıklama: Bu denetim, önbelleği etkinleştirilmiş API Gateway REST API aşamalarındaki tüm yöntemlerin şifrelenip şifrelenmediğini denetler. API Gateway REST API aşamasındaki herhangi bir yöntem önbelleğe almak üzere yapılandırılmışsa ve önbellek şifrelenmemişse denetim başarısız olur. Bekleyen verilerin şifrelenmesi, AWS'de kimliği doğrulanmamış bir kullanıcının diskte depolanan verilere erişme riskini azaltır. Yetkisiz kullanıcıların verilere erişimini sınırlamak için başka bir erişim denetimleri kümesi ekler. Örneğin, okunmadan önce verilerin şifresini çözmek için API izinleri gerekir. API Gateway REST API önbellekleri, ek bir güvenlik katmanı için bekleme sırasında şifrelenmelidir.
Önem Derecesi: Orta
API Gateway REST API aşamaları, arka uç kimlik doğrulaması için SSL sertifikalarını kullanacak şekilde yapılandırılmalıdır
Açıklama: Bu denetim, Amazon API Gateway REST API aşamalarında SSL sertifikalarının yapılandırılıp yapılandırılmadığını denetler. Arka uç sistemleri, gelen isteklerin API Gateway'den geldiğini doğrulamak için bu sertifikaları kullanır. API Gateway REST API aşamaları, arka uç sistemlerinin isteklerin API Gateway'den geldiğini doğrulamasını sağlamak için SSL sertifikaları ile yapılandırılmalıdır.
Önem Derecesi: Orta
API Gateway REST API aşamalarında AWS X-Ray izleme etkinleştirilmelidir
Açıklama: Bu denetim, Amazon API Gateway REST API aşamalarınız için AWS X-Ray etkin izlemenin etkinleştirilip etkinleştirilmediğini denetler. X-Ray etkin izleme, temel altyapıdaki performans değişikliklerine daha hızlı yanıt vermenizi sağlar. Performanstaki değişiklikler API'nin kullanılabilir olmamasıyla sonuçlanabilir. X-Ray etkin izleme, API Gateway REST API işlemleriniz ve bağlı hizmetleriniz aracılığıyla akan kullanıcı isteklerinin gerçek zamanlı ölçümlerini sağlar.
Önem Derecesi: Düşük
API Gateway bir AWS WAF web ACL'siyle ilişkilendirilmelidir
Açıklama: Bu denetim, API Gateway aşamasının AWS WAF web erişim denetim listesi (ACL) kullanıp kullanmadığını denetler. BIR AWS WAF web ACL'si REST API Gateway aşamasına bağlı değilse bu denetim başarısız olur. AWS WAF, web uygulamalarının ve API'lerin saldırılara karşı korunmasına yardımcı olan bir web uygulaması güvenlik duvarıdır. Tanımladığınız özelleştirilebilir web güvenlik kuralları ve koşullarına göre web isteklerine izin veren, engelleyen veya sayan bir dizi kural olan bir ACL yapılandırmanızı sağlar. API Gateway aşamanızın kötü amaçlı saldırılardan korunmasına yardımcı olmak için bir AWS WAF web ACL'siyle ilişkilendirildiğinden emin olun.
Önem Derecesi: Orta
Uygulama ve Klasik Yük Dengeleyiciler günlüğü etkinleştirilmelidir
Açıklama: Bu denetim, Application Load Balancer ve Klasik Load Balancer'ın günlüğe kaydetme özelliğinin etkinleştirilip etkinleştirilmediğini denetler. Yanlışsa access_logs.s3.enabled denetim başarısız olur.
Elastik Yük Dengeleme, yük dengeleyicinize gönderilen isteklerle ilgili ayrıntılı bilgileri yakalayan erişim günlükleri sağlar. Her günlük isteğin alındığı zaman, istemcinin IP adresi, gecikme süreleri, istek yolları ve sunucu yanıtları gibi bilgileri içerir. Trafik desenlerini analiz etmek ve sorunları gidermek için bu erişim günlüklerini kullanabilirsiniz.
Daha fazla bilgi edinmek için Bkz . Klasik Yük Dengeleyiciler için Kullanıcı Kılavuzu'nda Klasik Yük Dengeleyiciniz için erişim günlükleri.
Önem Derecesi: Orta
Ekli EBS birimleri bekleme sırasında şifrelenmelidir
Açıklama: Bu denetim, bağlı durumdaki EBS birimlerinin şifrelenip şifrelenmediğini denetler. Bu denetimi geçirmek için EBS birimlerinin kullanımda ve şifrelenmiş olması gerekir. EBS birimi bağlı değilse bu denetime tabi değildir. EBS birimlerindeki hassas verilerinizin ek güvenlik katmanı için bekleyen EBS şifrelemesini etkinleştirmeniz gerekir. Amazon EBS şifrelemesi, EBS kaynaklarınız için kendi anahtar yönetimi altyapınızı oluşturmanızı, korumanızı ve güvenliğini sağlamanızı gerektirmeyen basit bir şifreleme çözümü sunar. Şifrelenmiş birimler ve anlık görüntüler oluştururken AWS KMS müşteri ana anahtarlarını (CMK) kullanır. Amazon EBS şifrelemesi hakkında daha fazla bilgi edinmek için Bkz . Linux Örnekleri için Amazon EC2 Kullanıcı Kılavuzu'nda Amazon EBS şifrelemesi .
Önem Derecesi: Orta
AWS Veritabanı Geçiş Hizmeti çoğaltma örnekleri genel olmamalıdır
Açıklama: Çoğaltılan örneklerinizi tehditlere karşı korumak için. Özel çoğaltma örneği, çoğaltma ağının dışında erişemezseniz özel bir IP adresine sahip olmalıdır. Kaynak ve hedef veritabanları aynı ağda olduğunda ve ağ bir VPN, AWS Direct Bağlan veya VPC eşlemesi kullanarak çoğaltma örneğinin VPC'sine bağlandığında çoğaltma örneğinin özel IP adresi olmalıdır. Ayrıca AWS DMS örnek yapılandırmanıza erişimin yalnızca yetkili kullanıcılarla sınırlı olduğundan emin olmalısınız. Bunu yapmak için kullanıcıların AWS DMS ayarlarını ve kaynaklarını değiştirmek için IAM izinlerini kısıtlayın.
Önem Derecesi: Yüksek
Klasik Load Balancer dinleyicileri HTTPS veya TLS sonlandırma ile yapılandırılmalıdır
Açıklama: Bu denetim, Klasik Load Balancer dinleyicilerinizin ön uç (istemciden yük dengeleyiciye) bağlantıları için HTTPS veya TLS protokolü ile yapılandırılıp yapılandırılmadığını denetler. Klasik Load Balancer'da dinleyiciler varsa denetim geçerlidir. Klasik Load Balancer'ınızın yapılandırılmış bir dinleyicisi yoksa, denetim herhangi bir bulgu bildirmez. Klasik Load Balancer dinleyicileri ön uç bağlantıları için TLS veya HTTPS ile yapılandırılmışsa denetim geçer. Dinleyici ön uç bağlantıları için TLS veya HTTPS ile yapılandırılmamışsa denetim başarısız olur. Yük dengeleyici kullanmaya başlamadan önce bir veya daha fazla dinleyici eklemeniz gerekir. Dinleyici, bağlantı isteklerini denetlemek için yapılandırılmış protokolü ve bağlantı noktasını kullanan bir işlemdir. Dinleyiciler hem HTTP hem de HTTPS/TLS protokollerini destekleyebilir. Yük dengeleyicinin aktarım sırasında şifreleme ve şifre çözme işini yapması için her zaman bir HTTPS veya TLS dinleyicisi kullanmanız gerekir.
Önem Derecesi: Orta
Klasik Load Balancer'larda bağlantı boşaltma etkin olmalıdır
Açıklama: Bu denetim, Klasik Load Balancer'ların bağlantı boşaltma özelliğinin etkinleştirilip etkinleştirilmediğini denetler. Klasik Load Balancer'larda bağlantı boşaltmanın etkinleştirilmesi, yük dengeleyicinin kaydı kaldıran veya iyi durumda olmayan örneklere istek göndermeyi durdurmasını sağlar. Mevcut bağlantıları açık tutar. Bu, bağlantıların ani bir şekilde kesilmesini sağlamak için Otomatik Ölçeklendirme gruplarındaki örnekler için kullanışlıdır.
Önem Derecesi: Orta
CloudFront dağıtımlarında AWS WAF etkinleştirilmelidir
Açıklama: Bu denetim, CloudFront dağıtımlarının AWS WAF veya AWS WAFv2 web ACL'leriyle ilişkilendirilip ilişkilendirilmediğini denetler. Dağıtım bir web ACL'siyle ilişkilendirilmiyorsa denetim başarısız olur. AWS WAF, web uygulamalarının ve API'lerin saldırılara karşı korunmasına yardımcı olan bir web uygulaması güvenlik duvarıdır. Tanımladığınız özelleştirilebilir web güvenlik kuralları ve koşullarına göre web isteklerine izin veren, engelleyen veya sayan web erişim denetim listesi (web ACL) olarak adlandırılan bir kural kümesi yapılandırmanıza olanak tanır. CloudFront dağıtımınızın kötü amaçlı saldırılardan korunmasına yardımcı olmak için bir AWS WAF web ACL'siyle ilişkilendirildiğinden emin olun.
Önem Derecesi: Orta
CloudFront dağıtımlarında günlüğe kaydetme etkinleştirilmelidir
Açıklama: Bu denetim, CloudFront dağıtımlarında sunucu erişim günlüğünün etkinleştirilip etkinleştirilmediğini denetler. Erişim günlüğü bir dağıtım için etkinleştirilmediyse denetim başarısız olur. CloudFront erişim günlükleri, CloudFront'un aldığı her kullanıcı isteği hakkında ayrıntılı bilgi sağlar. Her günlük, isteğin alındığı tarih ve saat, isteği yapan görüntüleyicinin IP adresi, isteğin kaynağı ve görüntüleyiciden gelen isteğin bağlantı noktası numarası gibi bilgileri içerir. Bu günlükler, güvenlik ve erişim denetimleri ve adli inceleme gibi uygulamalar için kullanışlıdır. Erişim günlüklerini analiz etme hakkında daha fazla bilgi için Amazon Athena Kullanıcı Kılavuzu'nda Amazon CloudFront günlüklerini sorgulama bölümüne bakın.
Önem Derecesi: Orta
CloudFront dağıtımları aktarım sırasında şifreleme gerektirmelidir
Açıklama: Bu denetim, Amazon CloudFront dağıtımının görüntüleyicilerin doğrudan HTTPS kullanmasını mı yoksa yeniden yönlendirme mi kullandığını denetler. ViewerProtocolPolicy defaultCacheBehavior veya cacheBehaviors için tümüne izin ver olarak ayarlandıysa denetim başarısız olur. HTTPS (TLS), olası saldırganların ağ trafiğini dinlemek veya işlemek için ortadaki kişi veya benzer saldırıları kullanmasını önlemeye yardımcı olmak için kullanılabilir. Yalnızca HTTPS (TLS) üzerinden şifrelenmiş bağlantılara izin verilmelidir. Aktarımdaki verilerin şifrelenmesi performansı etkileyebilir. Performans profilini ve TLS'nin etkisini anlamak için uygulamanızı bu özellik ile test etmelisiniz.
Önem Derecesi: Orta
CloudTrail günlükleri KMS CMK'leri kullanılarak bekleme sırasında şifrelenmelidir
Açıklama: CloudTrail'i SSE-KMS kullanacak şekilde yapılandırmanızı öneririz. CloudTrail'in SSE-KMS kullanacak şekilde yapılandırılması, belirli bir kullanıcının ilgili günlük demetinde S3 okuma iznine sahip olması ve CMK ilkesi tarafından şifre çözme izni verilmesi gerektiğinden günlük verilerinde daha fazla gizlilik denetimi sağlar.
Önem Derecesi: Orta
Amazon Redshift kümelerine yönelik Bağlan yonlar aktarım sırasında şifrelenmelidir
Açıklama: Bu denetim, aktarım sırasında şifreleme kullanmak için Amazon Redshift kümelerine yönelik bağlantıların gerekli olup olmadığını denetler. Amazon Redshift küme parametresi require_SSL 1 olarak ayarlı değilse denetim başarısız olur. TLS, olası saldırganların ağ trafiğini dinlemek veya işlemek için ortadaki kişi veya benzer saldırıları kullanmasını önlemeye yardımcı olmak için kullanılabilir. Yalnızca TLS üzerinden şifrelenmiş bağlantılara izin verilmelidir. Aktarımdaki verilerin şifrelenmesi performansı etkileyebilir. Performans profilini ve TLS'nin etkisini anlamak için uygulamanızı bu özellik ile test etmelisiniz.
Önem Derecesi: Orta
Elasticsearch etki alanlarına yönelik Bağlan, TLS 1.2 kullanılarak şifrelenmelidir
Açıklama: Bu denetim, Elasticsearch etki alanlarına yönelik bağlantıların TLS 1.2 kullanmak için gerekli olup olmadığını denetler. Elasticsearch etki alanı TLSSecurityPolicy Policy-Min-TLS-1-2-2019-07 değilse denetim başarısız olur. HTTPS (TLS), olası saldırganların ağ trafiğini dinlemek veya işlemek için ortadaki kişi veya benzer saldırıları kullanmasını önlemeye yardımcı olmak için kullanılabilir. Yalnızca HTTPS (TLS) üzerinden şifrelenmiş bağlantılara izin verilmelidir. Aktarımdaki verilerin şifrelenmesi performansı etkileyebilir. Performans profilini ve TLS'nin etkisini anlamak için uygulamanızı bu özellik ile test etmelisiniz. TLS 1.2, TLS'nin önceki sürümlerine göre çeşitli güvenlik geliştirmeleri sağlar.
Önem Derecesi: Orta
DynamoDB tablolarında belirli bir noktaya kurtarma etkinleştirilmelidir
Açıklama: Bu denetim, bir Amazon DynamoDB tablosu için belirli bir noktaya kurtarmanın (PITR) etkinleştirilip etkinleştirilmediğini denetler. Yedeklemeler, bir güvenlik olayından daha hızlı kurtarmanıza yardımcı olur. Ayrıca sistemlerinizin dayanıklılığını da güçlendirirler. DynamoDB belirli bir noktaya kurtarma, DynamoDB tabloları için yedeklemeleri otomatikleştirir. Yanlışlıkla silme veya yazma işlemlerinden kurtarma süresini azaltır. PITR'nin etkinleştirildiği DynamoDB tabloları son 35 gün içinde herhangi bir noktaya geri yüklenebilir.
Önem Derecesi: Orta
EBS varsayılan şifrelemesi etkinleştirilmelidir
Açıklama: Bu denetim, Hesap düzeyinde şifrelemenin Amazon Elastic Block Store (Amazon EBS) için varsayılan olarak etkinleştirilip etkinleştirilmediğini denetler. Hesap düzeyinde şifreleme etkinleştirilmediyse denetim başarısız olur. Hesabınız için şifreleme etkinleştirildiğinde, Amazon EBS birimleri ve anlık görüntü kopyaları bekleme durumunda şifrelenir. Bu, verileriniz için başka bir koruma katmanı ekler. Daha fazla bilgi için Bkz . Linux Örnekleri için Amazon EC2 Kullanıcı Kılavuzu'nda varsayılan olarak şifreleme. Aşağıdaki örnek türlerinin şifrelemeyi desteklemediğini unutmayın: R1, C1 ve M1.
Önem Derecesi: Orta
Elastic Beanstalk ortamlarında gelişmiş sistem durumu raporlaması etkinleştirilmelidir
Açıklama: Bu denetim, AWS Elastic Beanstalk ortamlarınız için gelişmiş sistem durumu raporlamanın etkinleştirilip etkinleştirilmediğini denetler. Elastic Beanstalk gelişmiş sistem durumu raporlaması, temel alınan altyapının sistem durumundaki değişikliklere daha hızlı yanıt vermenizi sağlar. Bu değişiklikler uygulamanın kullanılabilir olmamasıyla sonuçlanabilir. Elastic Beanstalk gelişmiş sistem durumu raporlaması, tanımlanan sorunların önem derecesini ölçmek ve araştırmak için olası nedenleri belirlemek için bir durum tanımlayıcısı sağlar. Desteklenen Amazon Machine Images'a (AMI) dahil olan Elastic Beanstalk sistem durumu aracısı, ortam EC2 örneklerinin günlüklerini ve ölçümlerini değerlendirir.
Önem Derecesi: Düşük
Elastic Beanstalk yönetilen platform güncelleştirmeleri etkinleştirilmelidir
Açıklama: Bu denetim, Yönetilen platform güncelleştirmelerinin Elastic Beanstalk ortamı için etkinleştirilip etkinleştirilmediğini denetler. Yönetilen platform güncelleştirmelerinin etkinleştirilmesi, ortam için en son kullanılabilir platform düzeltmelerinin, güncelleştirmelerinin ve özelliklerinin yüklenmesini sağlar. Düzeltme eki yüklemesini güncel tutmak, sistemlerin güvenliğini sağlamada önemli bir adımdır.
Önem Derecesi: Yüksek
Elastik Load Balancer'ın ACM sertifikasının süresi 90 gün içinde dolmamalıdır.
Açıklama: Bu denetim, süresi dolan veya süresi 90 gün içinde dolan ACM sertifikalarını kullanan Elastik Yük Dengeleyicileri (ELB) tanımlar. AWS Sertifika Yöneticisi (ACM), sunucu sertifikalarınızı sağlamak, yönetmek ve dağıtmak için tercih edilen araçtır. ACM ile bir sertifika isteyebilir veya mevcut bir ACM veya dış sertifikayı AWS kaynaklarına dağıtabilirsiniz. En iyi yöntem olarak, özgün sertifikanın ELB ilişkilendirmelerini korurken süresi dolan/süresi dolan sertifikaların yeniden aktarılması önerilir.
Önem Derecesi: Yüksek
CloudWatch Günlüklerine elasticsearch etki alanı hata günlüğü etkinleştirilmelidir
Açıklama: Bu denetim, Elasticsearch etki alanlarının CloudWatch Günlüklerine hata günlükleri gönderecek şekilde yapılandırılıp yapılandırılmadığını denetler. Elasticsearch etki alanları için hata günlüklerini etkinleştirmeniz ve saklama ve yanıt için bu günlükleri CloudWatch Günlüklerine göndermeniz gerekir. Etki alanı hata günlükleri güvenlik ve erişim denetimlerine yardımcı olabilir ve kullanılabilirlik sorunlarını tanılamaya yardımcı olabilir.
Önem Derecesi: Orta
Elasticsearch etki alanları en az üç ayrılmış ana düğümle yapılandırılmalıdır
Açıklama: Bu denetim Elasticsearch etki alanlarının en az üç ayrılmış ana düğümle yapılandırılıp yapılandırılmadığını denetler. Etki alanı ayrılmış ana düğümler kullanmıyorsa bu denetim başarısız olur. Elasticsearch etki alanlarının beş ayrılmış ana düğümü varsa bu denetim geçer. Ancak, kullanılabilirlik riskini azaltmak için üçten fazla ana düğüm kullanmak gereksiz olabilir ve daha fazla maliyetle sonuçlanır. Elasticsearch etki alanı, yüksek kullanılabilirlik ve hataya dayanıklılık için en az üç ayrılmış ana düğüm gerektirir. Yönetilecek daha fazla düğüm olduğundan, veri düğümü mavi/yeşil dağıtımları sırasında ayrılmış ana düğüm kaynakları zorlanabilir. En az üç ayrılmış ana düğüme sahip bir Elasticsearch etki alanı dağıtmak, düğüm başarısız olursa yeterli ana düğüm kaynak kapasitesi ve küme işlemleri sağlar.
Önem Derecesi: Orta
Elasticsearch etki alanlarında en az üç veri düğümü olmalıdır
Açıklama: Bu denetim Elasticsearch etki alanlarının en az üç veri düğümü ve zoneAwarenessEnabled ile yapılandırılıp yapılandırılmadığını denetler. Elasticsearch etki alanı, yüksek kullanılabilirlik ve hataya dayanıklılık için en az üç veri düğümü gerektirir. Elasticsearch etki alanının en az üç veri düğümüyle dağıtılması, bir düğümün başarısız olması durumunda küme işlemlerinin gerçekleştirilmesini sağlar.
Önem Derecesi: Orta
Elasticsearch etki alanlarında denetim günlüğü etkinleştirilmelidir
Açıklama: Bu denetim, Elasticsearch etki alanlarında denetim günlüğünün etkinleştirilip etkinleştirilmediğini denetler. Elasticsearch etki alanında denetim günlüğü etkin değilse bu denetim başarısız olur. Denetim günlükleri yüksek oranda özelleştirilebilir. Bunlar, kimlik doğrulama başarıları ve hataları, OpenSearch istekleri, dizin değişiklikleri ve gelen arama sorguları dahil olmak üzere Elasticsearch kümelerinizdeki kullanıcı etkinliğini izlemenize olanak tanır.
Önem Derecesi: Orta
RDS DB örnekleri ve kümeleri için gelişmiş izleme yapılandırılmalıdır
Açıklama: Bu denetim, RDS DB örnekleriniz için gelişmiş izlemenin etkinleştirilip etkinleştirilmediğini denetler. Amazon RDS'de Gelişmiş İzleme, temel altyapıdaki performans değişikliklerine daha hızlı yanıt vermenizi sağlar. Bu performans değişiklikleri verilerin kullanılabilir olmamasıyla sonuçlanabilir. Gelişmiş İzleme, RDS DB örneğinizin üzerinde çalıştığı işletim sisteminin gerçek zamanlı ölçümlerini sağlar. Örnekte bir aracı yüklüdür. Aracı, hiper yönetici katmanından mümkün olandan daha doğru ölçümler alabilir. Gelişmiş İzleme ölçümleri, bir VERITABANı örneğindeki farklı işlemlerin veya iş parçacıklarının CPU'ları nasıl kullandığını görmek istediğinizde kullanışlıdır. Daha fazla bilgi için bkz. Amazon RDS Kullanıcı Kılavuzu'nda Gelişmiş İzleme.
Önem Derecesi: Düşük
Müşteri tarafından oluşturulan CMK'ler için döndürmenin etkinleştirildiğinden emin olun
Açıklama: AWS Anahtar Yönetim Merkezi (KMS), müşterilerin, Müşteri Tarafından Oluşturulan müşteri ana anahtarının (CMK) anahtar kimliğine bağlı KMS içinde depolanan anahtar malzemesi olan yedekleme anahtarını döndürmesine olanak tanır. Şifreleme ve şifre çözme gibi şifreleme işlemlerini gerçekleştirmek için kullanılan yedekleme anahtarıdır. Otomatik anahtar döndürme şu anda şifrelenmiş verilerin şifresinin saydam bir şekilde çözülebilmesi için önceki tüm yedekleme anahtarlarını korur. CMK anahtarı döndürmenin etkinleştirilmesi önerilir. Şifreleme anahtarlarını döndürmek, güvenliği aşılmış anahtarın olası etkisini azaltmaya yardımcı olur çünkü yeni bir anahtarla şifrelenen verilere, kullanıma açık olabilecek önceki bir anahtarla erişilemiyor.
Önem Derecesi: Orta
CloudTrail S3 demetinde S3 demeti erişim günlüğünün etkinleştirildiğinden emin olun
Açıklama: S3 Demet Erişim Günlüğü, erişim kayıtlarını içeren bir günlük oluşturur S3 demetinize yapılan her istek için CloudTrail S3 demetinde S3 demeti erişim günlüğünün etkinleştirildiğinden emin olun. Erişim günlüğü kaydı istekle ilgili istek türü, istekte belirtilen kaynakların çalışması ve isteğin işlendiği saat ve tarih gibi ayrıntıları içerir. CloudTrail S3 demetinde demet erişim günlüğünün etkinleştirilmesi önerilir. Hedef S3 demetlerinde S3 demeti günlüğünü etkinleştirerek, hedef demetlerdeki nesneleri etkileyebilecek tüm olayları yakalamak mümkündür. Günlükleri ayrı bir demete yerleştirilecek şekilde yapılandırmak, güvenlik ve olay yanıtı iş akışlarında yararlı olabilecek günlük bilgilerine erişim sağlar.
Önem Derecesi: Düşük
CloudTrail günlüklerini depolamak için kullanılan S3 demetinin genel olarak erişilebilir olmadığından emin olun
Açıklama: CloudTrail, AWS hesabınızda yapılan her API çağrısının kaydını günlüğe kaydeder. Bu günlük dosyaları bir S3 demetinde depolanır. CloudTrail günlüklerine genel erişimi engellemek için CloudTrail'in günlüklediği S3 demetine demet ilkesinin veya erişim denetimi listesinin (ACL) uygulanması önerilir. CloudTrail günlük içeriğine genel erişime izin vermek, bir saldırganın etkilenen hesabın kullanımı veya yapılandırmasındaki zayıflıkları belirlemesine yardımcı olabilir.
Önem Derecesi: Yüksek
IAM'nin süresi dolmamış SSL/TLS sertifikaları olmamalıdır
Açıklama: Bu denetim süresi dolan SSL/TLS sertifikalarını tanımlar. AWS'de web sitenize veya uygulamanıza HTTPS bağlantılarını etkinleştirmek için bir SSL/TLS sunucu sertifikasına ihtiyacınız vardır. Sunucu sertifikalarını depolamak ve dağıtmak için ACM veya IAM kullanabilirsiniz. Süresi dolan SSL/TLS sertifikalarının kaldırılması geçersiz bir sertifikanın AWS Elastic Load Balancer (ELB) gibi bir kaynağa yanlışlıkla dağıtılması riskini ortadan kaldırır ve bu da ELB'nin arkasındaki uygulamanın/web sitesinin güvenilirliğine zarar verebilir. Bu denetim, AWS IAM'de depolanan süresi dolmuş SSL/TLS sertifikaları varsa uyarılar oluşturur. En iyi yöntem olarak süresi dolan sertifikaların silinmesi önerilir.
Önem Derecesi: Yüksek
İçeri aktarılan ACM sertifikaları belirtilen süre sonunda yenilenmelidir
Açıklama: Bu denetim, hesabınızdaki ACM sertifikalarının 30 gün içinde süre sonu olarak işaretlenip işaretlenmediğini denetler. AWS Sertifika Yöneticisi tarafından sağlanan hem içeri aktarılan sertifikaları hem de sertifikaları denetler. ACM, DNS doğrulama kullanan sertifikaları otomatik olarak yenileyebilir. E-posta doğrulama kullanan sertifikalar için bir etki alanı doğrulama e-postasına yanıt vermelisiniz. ACM ayrıca içeri aktardığınız sertifikaları otomatik olarak yenilemez. İçeri aktarılan sertifikaları el ile yenilemeniz gerekir. ACM sertifikaları için yönetilen yenileme hakkında daha fazla bilgi için AWS Sertifika Yöneticisi Kullanıcı Kılavuzu'ndaki ACM sertifikaları için yönetilen yenileme bölümüne bakın.
Önem Derecesi: Orta
İzin Sürünme Dizini'ni (PCI) azaltmak için hesaplarda aşırı sağlanan kimlikler araştırılmalıdır
Açıklama: İzin Sürünme Dizini'ni (PCI) azaltmak ve altyapınızı korumak için hesaplarda aşırı sağlanan kimlikler araştırılmalıdır. Kullanılmayan yüksek riskli izin atamalarını kaldırarak PCI'yi azaltın. Yüksek PCI, normal veya gerekli kullanımlarını aşan izinlere sahip kimliklerle ilişkili riski yansıtır.
Önem Derecesi: Orta
RDS otomatik ikincil sürüm yükseltmeleri etkinleştirilmelidir
Açıklama: Bu denetim, RDS veritabanı örneği için otomatik ikincil sürüm yükseltmelerinin etkinleştirilip etkinleştirilmediğini denetler. Otomatik ikincil sürüm yükseltmelerinin etkinleştirilmesi, ilişkisel veritabanı yönetim sisteminde (RDBMS) en son ikincil sürüm güncelleştirmelerinin yüklenmesini sağlar. Bu yükseltmeler güvenlik düzeltme eklerini ve hata düzeltmelerini içerebilir. Düzeltme eki yüklemesini güncel tutmak, sistemlerin güvenliğini sağlamada önemli bir adımdır.
Önem Derecesi: Yüksek
RDS kümesi anlık görüntüleri ve veritabanı anlık görüntüleri bekleme sırasında şifrelenmelidir
Açıklama: Bu denetim RDS DB anlık görüntülerinin şifrelenip şifrelenmediğini denetler. Bu denetim RDS DB örnekleri için tasarlanmıştır. Ancak Aurora DB örneklerinin, Neptune DB örneklerinin ve Amazon DocumentDB kümelerinin anlık görüntüleri için de bulgular oluşturabilir. Bu bulgular yararlı değilse, bunları gizleyebilirsiniz. Bekleyen verilerin şifrelenmesi, kimliği doğrulanmamış bir kullanıcının diskte depolanan verilere erişme riskini azaltır. RDS anlık görüntülerindeki veriler, ek bir güvenlik katmanı için bekleme sırasında şifrelenmelidir.
Önem Derecesi: Orta
RDS kümelerinde silme koruması etkinleştirilmelidir
Açıklama: Bu denetim, RDS kümelerinde silme korumasının etkinleştirilip etkinleştirilmediğini denetler. Bu denetim RDS DB örnekleri için tasarlanmıştır. Ancak Aurora DB örnekleri, Neptune DB örnekleri ve Amazon DocumentDB kümeleri için de bulgular oluşturabilir. Bu bulgular yararlı değilse, bunları gizleyebilirsiniz. Küme silme korumasının etkinleştirilmesi, yetkisiz bir varlık tarafından yanlışlıkla veritabanı silinmesine veya silinmesine karşı bir diğer koruma katmanıdır. Silme koruması etkinleştirildiğinde RDS kümesi silinemez. Silme isteğinin başarılı olması için silme koruması devre dışı bırakılmalıdır.
Önem Derecesi: Düşük
RDS DB kümeleri birden çok Kullanılabilirlik Alanları için yapılandırılmalıdır
Açıklama: RDS DB kümeleri depolanan birden çok veri için yapılandırılmalıdır. Birden çok Kullanılabilirlik Alanları dağıtım, Kullanılabilirlik Alanı kullanılabilirliği sorunu durumunda ve normal RDS bakım olayları sırasında ed yük devretmenin kullanılabilirliğini sağlamak için Kullanılabilirlik Alanları otomatikleştirmeye olanak tanır.
Önem Derecesi: Orta
RDS DB kümeleri, etiketleri anlık görüntülere kopyalanacak şekilde yapılandırılmalıdır
Açıklama: BT varlıklarınızın tanımlanması ve envanteri, idare ve güvenliğin önemli bir yönüdür. Güvenlik duruşlarını değerlendirebilmek ve olası zayıflık alanları üzerinde işlem yapmak için tüm RDS DB kümelerinizin görünürlüğüne sahip olmanız gerekir. Anlık görüntüler, üst RDS veritabanı kümeleriyle aynı şekilde etiketlenmelidir. Bu ayarın etkinleştirilmesi, anlık görüntülerin üst veritabanı kümelerinin etiketlerini devralmasını sağlar.
Önem Derecesi: Düşük
RDS DB örnekleri, etiketleri anlık görüntülere kopyalanacak şekilde yapılandırılmalıdır
Açıklama: Bu denetim, RDS DB örneklerinin anlık görüntüler oluşturulduğunda tüm etiketleri anlık görüntülere kopyalanacak şekilde yapılandırılıp yapılandırılmadığını denetler. BT varlıklarınızın tanımlanması ve envanteri, idare ve güvenliğin önemli bir yönüdür. Güvenlik duruşlarını değerlendirebilmeniz ve olası zayıflık alanları üzerinde eyleme geçebilmeniz için tüm RDS DB örneklerinizin görünürlüğüne sahip olmanız gerekir. Anlık görüntüler, üst RDS veritabanı örnekleriyle aynı şekilde etiketlenmelidir. Bu ayarın etkinleştirilmesi, anlık görüntülerin üst veritabanı örneklerinin etiketlerini devralmasını sağlar.
Önem Derecesi: Düşük
RDS DB örnekleri birden çok Kullanılabilirlik Alanları ile yapılandırılmalıdır
Açıklama: Bu denetim, RDS DB örnekleriniz için yüksek kullanılabilirlik özelliğinin etkinleştirilip etkinleştirilmediğini denetler. RDS DB örnekleri birden çok Kullanılabilirlik Alanları (AZ) için yapılandırılmalıdır. Bu, depolanan verilerin kullanılabilirliğini sağlar. Multi-AZ dağıtımları, Kullanılabilirlik Alanı kullanılabilirliğiyle ilgili bir sorun varsa ve düzenli RDS bakımı sırasında otomatik yük devretmeye olanak sağlar.
Önem Derecesi: Orta
RDS DB örneklerinde silme koruması etkinleştirilmelidir
Açıklama: Bu denetim, listelenen veritabanı altyapılarından birini kullanan RDS VERITABANı örneklerinizde silme korumasının etkinleştirilip etkinleştirilmediğini denetler. Örnek silme korumasının etkinleştirilmesi, yetkisiz bir varlık tarafından yanlışlıkla veritabanı silinmesine veya silinmesine karşı başka bir koruma katmanıdır. Silme koruması etkinken RDS DB örneği silinemez. Silme isteğinin başarılı olması için silme koruması devre dışı bırakılmalıdır.
Önem Derecesi: Düşük
RDS DB örneklerinde bekleyen şifreleme etkinleştirilmelidir
Açıklama: Bu denetim, Amazon RDS DB örnekleriniz için depolama şifrelemenin etkinleştirilip etkinleştirilmediğini denetler. Bu denetim RDS DB örnekleri için tasarlanmıştır. Ancak Aurora DB örnekleri, Neptune DB örnekleri ve Amazon DocumentDB kümeleri için de bulgular oluşturabilir. Bu bulgular yararlı değilse, bunları gizleyebilirsiniz. RDS DB örneklerindeki hassas verilerinize yönelik ek bir güvenlik katmanı için RDS VERITABANı örneklerinizi bekleyenlerde şifrelenecek şekilde yapılandırmanız gerekir. BEKLEYEN RDS VERITABANı örneklerinizi ve anlık görüntülerinizi şifrelemek için RDS VERITABANı örnekleriniz için şifreleme seçeneğini etkinleştirin. Bekleyen veriler veritabanı örnekleri için temel depolamayı, otomatik yedeklemelerini, okuma çoğaltmalarını ve anlık görüntüleri içerir. RDS şifrelenmiş VERITABANı örnekleri, RDS VERITABANı örneklerinizi barındıran sunucuda verilerinizi şifrelemek için açık standart AES-256 şifreleme algoritmasını kullanır. Verileriniz şifrelendikten sonra Amazon RDS, verilerinizin erişim ve şifre çözme kimlik doğrulamalarını performansı en düşük düzeyde etkileyip şeffaf bir şekilde işler. Şifrelemeyi kullanmak için veritabanı istemci uygulamalarınızı değiştirmeniz gerekmez. Amazon RDS şifrelemesi şu anda tüm veritabanı altyapıları ve depolama türleri için kullanılabilir. Amazon RDS şifrelemesi çoğu VERITABANı örneği sınıfı için kullanılabilir. Amazon RDS şifrelemesini desteklemeyen veritabanı örneği sınıfları hakkında bilgi edinmek için bkz. Amazon RDS Kullanıcı Kılavuzu'nda Amazon RDS kaynaklarını şifreleme.
Önem Derecesi: Orta
RDS DB Örnekleri genel erişimi yasaklamalıdır
Açıklama: Kullanıcıların RDS örneklerinin ayarlarını ve kaynaklarını değiştirmek için IAM izinlerini kısıtlayarak RDS örneğinizin yapılandırmasına erişimin yalnızca yetkili kullanıcılarla sınırlı olduğundan emin olmanız önerilir.
Önem Derecesi: Yüksek
RDS anlık görüntüleri genel erişimi yasaklamalıdır
Açıklama: Yalnızca yetkili sorumluların anlık görüntüye erişmesine ve Amazon RDS yapılandırmasını değiştirmesine izin vermenizi öneririz.
Önem Derecesi: Yüksek
Kullanılmayan Gizli Dizi Yöneticisi gizli dizilerini kaldırma
Açıklama: Bu denetim, gizli dizilerinize belirtilen sayıda gün içinde erişilip erişilemediğini denetler. Varsayılan değer 90 gündür. Tanımlanan gün sayısı içinde gizli diziye erişimezse, bu denetim başarısız olur. Kullanılmayan gizli dizileri silmek, gizli dizileri döndürmek kadar önemlidir. Kullanılmayan gizli diziler, artık bu gizli dizilere erişmesi gerekmeyen eski kullanıcıları tarafından kötüye kullanılabilir. Ayrıca, bir gizli diziye daha fazla kullanıcı eriştikçe, birisi bunu yanlış işleyip yetkisiz bir varlığa sızdırmış olabilir ve bu da kötüye kullanım riskini artırır. Kullanılmayan gizli dizileri silmek, artık ihtiyacı olmayan kullanıcıların gizli dizi erişimini iptal etmenize yardımcı olur. Ayrıca Gizli Dizi Yöneticisi'ni kullanmanın maliyetini azaltmaya da yardımcı olur. Bu nedenle kullanılmayan gizli dizileri düzenli olarak silmek önemlidir.
Önem Derecesi: Orta
S3 demetlerinde bölgeler arası çoğaltma etkinleştirilmelidir
Açıklama: S3 bölgeler arası çoğaltmanın etkinleştirilmesi, verilerin farklı farklı Bölgelerde birden çok sürümünün kullanılabilir olmasını sağlar. Bu sayede S3 demetinizi DDoS saldırılarına ve veri bozulması olaylarına karşı koruyabilirsiniz.
Önem Derecesi: Düşük
S3 demetlerinde sunucu tarafı şifreleme etkinleştirilmelidir
Açıklama: S3 demetlerinizdeki verileri korumak için sunucu tarafı şifrelemeyi etkinleştirin. Verilerin şifrelenmesi, veri ihlali durumunda hassas verilere erişimi engelleyebilir.
Önem Derecesi: Orta
Otomatik döndürme ile yapılandırılan Gizli Dizi Yöneticisi gizli dizileri başarıyla döndürülmelidir
Açıklama: Bu denetim, AWS Secrets Manager gizli dizisinin döndürme zamanlamasına göre başarıyla döndürülmüş olup olmadığını denetler. RotationOccurringAsScheduled false olduğunda denetim başarısız olur. Denetim, döndürme yapılandırılmamış gizli dizileri değerlendirmez. Gizli Dizi Yöneticisi, kuruluşunuzun güvenlik duruşunu geliştirmenize yardımcı olur. Gizli diziler veritabanı kimlik bilgilerini, parolaları ve üçüncü taraf API anahtarlarını içerir. Gizli dizileri merkezi olarak depolamak, gizli dizileri otomatik olarak şifrelemek, gizli dizilere erişimi denetlemek ve gizli dizileri güvenli ve otomatik olarak döndürmek için Gizli DiziLer Yöneticisi'ni kullanabilirsiniz. Gizli Dizi Yöneticisi gizli dizileri döndürebilir. Uzun vadeli gizli dizileri kısa vadeli gizli dizilerle değiştirmek için döndürmeyi kullanabilirsiniz. Gizli dizilerinizi döndürmek, yetkisiz bir kullanıcının gizliliği tehlikeye girmiş bir gizli diziyi ne kadar süre kullanabileceğini sınırlar. Bu nedenle gizli dizilerinizi sık sık döndürmeniz gerekir. Gizli dizileri otomatik olarak döndürülecek şekilde yapılandırmaya ek olarak, bu gizli dizilerin döndürme zamanlamasına göre başarıyla döndürüldüğünden emin olmanız gerekir. Döndürme hakkında daha fazla bilgi edinmek için AWS Secrets Manager Kullanıcı Kılavuzu'nda AWS Secrets Manager gizli dizilerinizi döndürme bölümüne bakın.
Önem Derecesi: Orta
Gizli Dizi Yöneticisi gizli dizileri belirtilen sayıda gün içinde döndürülmelidir
Açıklama: Bu denetim, gizli dizilerinizin 90 gün içinde en az bir kez döndürülmüş olup olmadığını denetler. Gizli dizileri döndürmek, AWS hesabınızda gizli dizilerinizin yetkisiz kullanımı riskini azaltmanıza yardımcı olabilir. Örnek olarak veritabanı kimlik bilgileri, parolalar, üçüncü taraf API anahtarları ve hatta rastgele metinler verilebilir. Gizli dizilerinizi uzun bir süre değiştirmezseniz, gizli dizilerin gizliliğinin tehlikeye atılması daha olasıdır. Bir gizli diziye daha fazla kullanıcı eriştikçe, birinin gizli diziyi yanlış işleyip yetkisiz bir varlığa sızdırmış olma olasılığı daha yüksek olabilir. Gizli diziler günlükler ve önbellek verileri aracılığıyla sızdırılabilir. Bunlar hata ayıklama amacıyla paylaşılabilir ve hata ayıklama tamamlandıktan sonra değiştirilemez veya iptal edilebilir. Tüm bu nedenlerle gizli diziler sık sık döndürülmelidir. Gizli dizilerinizi AWS Secrets Manager'da otomatik döndürme için yapılandırabilirsiniz. Otomatik döndürme ile uzun vadeli gizli dizileri kısa vadeli gizli dizilerle değiştirerek risk riskini önemli ölçüde azaltabilirsiniz. Güvenlik Hub'ı Gizli Dizi Yöneticisi gizli dizileriniz için döndürmeyi etkinleştirmenizi önerir. Döndürme hakkında daha fazla bilgi edinmek için AWS Secrets Manager Kullanıcı Kılavuzu'nda AWS Secrets Manager gizli dizilerinizi döndürme bölümüne bakın.
Önem Derecesi: Orta
SNS konuları AWS KMS kullanılarak bekleme sırasında şifrelenmelidir
Açıklama: Bu denetim, AWS KMS kullanılarak bekleyen bir SNS konusunun şifrelenip şifrelenmediğini denetler. Bekleyen verilerin şifrelenmesi, AWS'de kimliği doğrulanmamış bir kullanıcının diskte depolanan verilere erişme riskini azaltır. Ayrıca, yetkisiz kullanıcıların verilere erişme becerisini sınırlamak için başka bir erişim denetimleri kümesi ekler. Örneğin, okunmadan önce verilerin şifresini çözmek için API izinleri gerekir. SNS konuları, ek bir güvenlik katmanı için bekleme sırasında şifrelenmelidir. Daha fazla bilgi için bkz. Amazon Simple Notification Service Geliştirici Kılavuzu'nda bekleyen şifreleme.
Önem Derecesi: Orta
VPC akış günlüğü tüm VPC'lerde etkinleştirilmelidir
Açıklama: VPC Akış Günlükleri, VPC'den geçen ağ trafiğine görünürlük sağlar ve güvenlik olayları sırasında anormal trafiği veya içgörüleri algılamak için kullanılabilir.
Önem Derecesi: Orta
AWS IdentityAndAccess önerileri
Amazon Elasticsearch Service etki alanları bir VPC'de olmalıdır
Açıklama: VPC, ortak uç noktaya sahip etki alanları içeremez. Not: Bu, genel erişilebilirliği belirlemek için VPC alt ağ yönlendirme yapılandırmasını değerlendirmez.
Önem Derecesi: Yüksek
Demet ilkelerinde diğer AWS hesaplarına verilen Amazon S3 izinleri kısıtlanmalıdır
Açıklama: En az ayrıcalık erişimi uygulamak, güvenlik riskini ve hataların veya kötü amaçlı amacın etkisini azaltmanın temelidir. Bir S3 demeti ilkesi dış hesaplardan erişime izin veriyorsa, bir iç tehdit veya saldırgan tarafından veri sızdırmaya neden olabilir. 'blacklistedactionpatterns' parametresi, S3 demetleri için kuralın başarılı bir şekilde değerlendirilmesini sağlar. parametresi, 'blacklistedactionpatterns' listesine dahil olmayan eylem desenleri için dış hesaplara erişim verir.
Önem Derecesi: Yüksek
"kök" hesabı kullanmaktan kaçının
Açıklama: "Kök" hesabı, AWS hesabındaki tüm kaynaklara sınırsız erişime sahiptir. Bu hesabın kullanımından kaçınılması kesinlikle önerilir. "Kök" hesap en ayrıcalıklı AWS hesabıdır. Bu hesabın kullanımını en aza indirmek ve erişim yönetimi için en az ayrıcalık ilkesini benimsemek, yanlışlıkla değişiklik yapılması ve yüksek ayrıcalıklı kimlik bilgilerinin istenmeyen şekilde açıklanması riskini azaltır.
Önem Derecesi: Yüksek
AWS KMS anahtarları yanlışlıkla silinmemelidir
Açıklama: Bu denetim, KMS anahtarlarının silinmek üzere zamanlanıp zamanılmadığını denetler. KmS anahtarı silinmek üzere zamanlanmışsa denetim başarısız olur. KMS anahtarları silindikten sonra kurtarılamaz. KMS anahtarı altında şifrelenen veriler, KMS anahtarı silinirse kalıcı olarak kurtarılamaz. Silinmek üzere zamanlanan bir KMS anahtarı altında anlamlı veriler şifrelendiyse, kasıtlı olarak bir şifreleme silme işlemi gerçekleştirmediğiniz sürece verilerin şifresini çözmeyi veya yeni bir KMS anahtarı altında verileri yeniden şifrelemeyi göz önünde bulundurun. Bir KMS anahtarı silinmek üzere zamanlandığında, hatayla zamanlanmışsa silme işleminin geri alınabilmesi için zorunlu bir bekleme süresi uygulanır. Varsayılan bekleme süresi 30 gündür, ancak KMS anahtarının silinmesi zamanlandığında bu süre yedi güne kadar kısa olabilir. Bekleme süresi boyunca zamanlanan silme işlemi iptal edilebilir ve KMS anahtarı silinmez. KMS anahtarlarını silme hakkında daha fazla bilgi için AWS Anahtar Yönetim Merkezi Geliştirici Kılavuzu'nda KMS anahtarlarını silme bölümüne bakın.
Önem Derecesi: Yüksek
AWS WAF Klasik genel web ACL günlüğü etkinleştirilmelidir
Açıklama: Bu denetim, AWS WAF genel Web ACL'sinde günlüğe kaydetmenin etkinleştirilip etkinleştirilmediğini denetler. Günlük web ACL'sinde etkinleştirilmediyse bu denetim başarısız olur. Günlüğe kaydetme, AWS WAF'nin küresel olarak güvenilirliğini, kullanılabilirliğini ve performansını korumanın önemli bir parçasıdır. Bu, birçok kuruluşta bir iş ve uyumluluk gereksinimidir ve uygulama davranışı sorunlarını gidermenize olanak tanır. Ayrıca AWS WAF'ye bağlı olan web ACL'sinin analiz ettiği trafik hakkında ayrıntılı bilgi sağlar.
Önem Derecesi: Orta
CloudFront dağıtımlarında varsayılan kök nesne yapılandırılmış olmalıdır
Açıklama: Bu denetim, Amazon CloudFront dağıtımının varsayılan kök nesne olan belirli bir nesneyi döndürecek şekilde yapılandırılıp yapılandırılmadığını denetler. CloudFront dağıtımında varsayılan kök nesne yapılandırılmamışsa denetim başarısız olur. Kullanıcı bazen dağıtımdaki bir nesne yerine dağıtım kök URL'sini isteyebilir. Bu durumda, varsayılan bir kök nesne belirtmek web dağıtımınızın içeriğini açığa çıkarmaktan kaçınmanıza yardımcı olabilir.
Önem Derecesi: Yüksek
CloudFront dağıtımlarında kaynak erişim kimliği etkinleştirilmelidir
Açıklama: Bu denetim, Amazon S3 Origin türüne sahip bir Amazon CloudFront dağıtımının Kaynak Erişim Kimliği (OAI) yapılandırılmış olup olmadığını denetler. OAI yapılandırılmamışsa denetim başarısız olur. CloudFront OAI, kullanıcıların S3 demeti içeriğine doğrudan erişmesini engeller. Kullanıcılar bir S3 demetine doğrudan eriştiğinde CloudFront dağıtımını ve temel alınan S3 demeti içeriğine uygulanan tüm izinleri etkin bir şekilde atlar.
Önem Derecesi: Orta
CloudTrail günlük dosyası doğrulaması etkinleştirilmelidir
Açıklama: CloudTrail günlüklerinde ek bütünlük denetimi sağlamak için tüm CloudTrail'lerde dosya doğrulamayı etkinleştirmenizi öneririz.
Önem Derecesi: Düşük
CloudTrail etkinleştirilmelidir
Açıklama: AWS CloudTrail, hesabınız için AWS API çağrılarını kaydeden ve günlük dosyalarını size teslim eden bir web hizmetidir. Tüm hizmetler tüm API'ler ve olaylar için varsayılan olarak günlüğe kaydetmeyi etkinleştirmez. CloudTrail dışında tüm ek denetim izlerini uygulamalı ve CloudTrail Desteklenen Hizmetler ve Tümleştirmeler'deki her hizmetin belgelerini gözden geçirmelisiniz.
Önem Derecesi: Yüksek
CloudTrail izleri CloudWatch Günlükleri ile tümleştirilmelidir
Açıklama: CloudTrail günlüklerini uzun vadeli analiz için belirtilen bir S3 demetinde yakalamaya ek olarak, CloudTrail'i CloudWatch Günlüklerine günlük gönderecek şekilde yapılandırarak gerçek zamanlı analiz gerçek zamanlı analiz yapılabilir. Bir hesaptaki tüm bölgelerde etkinleştirilen bir iz için CloudTrail, tüm bu bölgelerdeki günlük dosyalarını CloudWatch Günlükleri günlük grubuna gönderir. AWS hesabı etkinliğinin yakalandığından, izlendiğinden ve uygun şekilde alarma geçirildiğinden emin olmak için CloudTrail günlüklerinin CloudWatch Günlüklerine gönderilmesini öneririz. CloudTrail günlüklerinin CloudWatch Günlüklerine gönderilmesi, kullanıcı, API, kaynak ve IP adresine göre gerçek zamanlı ve geçmiş etkinlik günlüğünü kolaylaştırır ve anormal veya duyarlılık hesabı etkinliği için alarmlar ve bildirimler oluşturma fırsatı sunar.
Önem Derecesi: Düşük
Veritabanı günlüğü etkinleştirilmelidir
Açıklama: Bu denetim, aşağıdaki Amazon RDS günlüklerinin etkinleştirilip etkinleştirilmediğini ve CloudWatch Günlüklerine gönderilip gönderilmediğini denetler:
- Oracle: (Uyarı, Denetim, İzleme, Dinleyici)
- PostgreSQL: (Postgresql, Yükseltme)
- MySQL: (Denetim, Hata, Genel, Yavaş Sorgu)
- MariaDB: (Denetim, Hata, Genel, Yavaş Sorgu)
- SQL Server: (Hata, Aracı)
- Aurora: (Denetim, Hata, Genel, SlowQuery)
- Aurora-MySQL: (Denetim, Hata, Genel, SlowQuery)
- Aurora-PostgreSQL: (Postgresql, Yükseltme). RDS veritabanlarında ilgili günlükler etkinleştirilmelidir. Veritabanı günlüğü, RDS'ye yapılan isteklerin ayrıntılı kayıtlarını sağlar. Veritabanı günlükleri güvenlik ve erişim denetimlerine yardımcı olabilir ve kullanılabilirlik sorunlarını tanılamaya yardımcı olabilir.
Önem Derecesi: Orta
Amazon SageMaker not defteri örnekleri için doğrudan İnternet erişimini devre dışı bırakma
Açıklama: SageMaker not defteri örneği için doğrudan İnternet erişimi devre dışı bırakılmalıdır. Bu, not defteri örneği için 'DirectInternetAccess' alanının devre dışı bırakılıp bırakılmadığını denetler. Örneğinin bir VPC ile yapılandırılması ve varsayılan ayarın Devre Dışı Bırak - VPC aracılığıyla İnternet'e erişme olması gerekir. Not defterinden modelleri eğitmek veya barındırmak için İnternet erişimini etkinleştirmek için VPC'nizin nat ağ geçidine sahip olduğundan ve güvenlik grubunuzun giden bağlantılara izin verdiğinden emin olun. SageMaker yapılandırmanıza erişimin yalnızca yetkili kullanıcılarla sınırlı olduğundan emin olun ve kullanıcıların SageMaker ayarlarını ve kaynaklarını değiştirmek için IAM izinlerini kısıtlayın.
Önem Derecesi: Yüksek
Konsol parolası olan tüm IAM kullanıcıları için ilk kullanıcı kurulumu sırasında erişim anahtarlarını ayarlama
Açıklama: AWS konsolu varsayılan olarak etkin erişim anahtarları oluşturmak için onay kutusunu kullanır. Bu, birçok erişim anahtarının gereksiz yere oluşturulmasına neden olur. Gereksiz kimlik bilgilerine ek olarak, bu anahtarların denetlenip döndürülmesinde de gereksiz yönetim çalışmaları oluşturur. Profili oluşturulduktan sonra kullanıcı tarafından ek adımların atılması gerektiğinde, erişim anahtarlarının çalışması için [a] gerekli olduğu ve erişim anahtarı kuruluşun herhangi bir yerinde kullanımda olabileceği bir hesapta oluşturulduktan sonra [b] erişim anahtarlarının gerekli olduğuna dair daha güçlü bir gösterge sağlanır.
Önem Derecesi: Orta
AWS Desteği ile olayları yönetmek için bir destek rolü oluşturulduğunu emin olun
Açıklama: AWS, olay bildirimi ve yanıtının yanı sıra teknik destek ve müşteri hizmetleri için kullanılabilecek bir destek merkezi sağlar. Yetkili kullanıcıların AWS Desteği ile olayları yönetmesine izin vermek için bir IAM Rolü oluşturun. Erişim denetimi için en az ayrıcalık uygulayan IAM Rolü, AWS Desteği ile Olayları yönetmek için Destek Merkezi Erişimine izin vermek için uygun bir IAM İlkesi gerektirir.
Önem Derecesi: Düşük
Erişim anahtarlarının 90 günde bir veya daha kısa bir sürede döndürüldüğünden emin olun
Açıklama: Erişim anahtarları, AWS'ye yaptığınız programlı istekleri imzalamak için kullanılan bir erişim anahtarı kimliği ve gizli erişim anahtarından oluşur. AWS kullanıcıları AWS Komut Satırı Arabirimi (AWS CLI), Windows PowerShell Araçları, AWS SDK'ları veya tek tek AWS hizmetlerinin API'lerini kullanarak HTTP çağrılarını yönlendirmek için kendi erişim anahtarları gerekir. Tüm erişim anahtarlarının düzenli olarak döndürülmüş olması önerilir. Erişim anahtarlarını döndürmek, güvenliği aşılmış veya sonlandırılan bir hesapla ilişkili erişim anahtarının kullanılabilmesi için fırsat penceresini azaltır. Verilere eski bir anahtarla erişilmediğinden emin olmak için erişim anahtarları döndürülmelidir. Bu anahtarlar kaybolmuş, kırılmış veya çalınmış olabilir.
Önem Derecesi: Orta
AWS Yapılandırması'nın tüm bölgelerde etkinleştirildiğinden emin olun
Açıklama: AWS Config, hesabınızda desteklenen AWS kaynaklarının yapılandırma yönetimini gerçekleştiren ve günlük dosyalarını size teslim eden bir web hizmetidir. Kaydedilen bilgiler yapılandırma öğesini (AWS kaynağı), yapılandırma öğeleri arasındaki ilişkileri (AWS kaynakları), kaynaklar arasındaki yapılandırma değişikliklerini içerir. AWS Config'in tüm bölgelerde etkinleştirilmesi önerilir.
AWS Yapılandırması tarafından yakalanan AWS yapılandırma öğesi geçmişi, güvenlik analizi, kaynak değişikliği izleme ve uyumluluk denetimi sağlar.
Önem Derecesi: Orta
CloudTrail'in tüm bölgelerde etkinleştirildiğinden emin olun
Açıklama: AWS CloudTrail, hesabınız için AWS API çağrılarını kaydeden ve günlük dosyalarını size teslim eden bir web hizmetidir. Kaydedilen bilgiler API çağıranın kimliğini, API çağrısının zamanını, API çağıranın kaynak IP adresini, istek parametrelerini ve AWS hizmeti tarafından döndürülen yanıt öğelerini içerir. CloudTrail, Yönetim Konsolu, SDK'lar, komut satırı araçları ve üst düzey AWS hizmetleri (CloudFormation gibi) aracılığıyla yapılan API çağrıları dahil olmak üzere AWS API çağrılarının geçmişini sağlar. CloudTrail tarafından üretilen AWS API çağrı geçmişi, güvenlik analizi, kaynak değişikliği izleme ve uyumluluk denetimi sağlar. Ayrıca:
- Çok bölgeli bir izin mevcut olduğundan emin olmak, kullanılmayan bölgelerde beklenmeyen etkinliğin algılanmasını sağlar
- Çok bölgeli bir kaydın mevcut olduğundan emin olmak, AWS küresel hizmetlerinde oluşturulan olayların kaydını yakalamak için "Genel Hizmet Günlüğü" seçeneğinin varsayılan olarak bir iz için etkinleştirilmesini sağlar
- çok bölgeli bir iz için, her tür Okuma/Yazma için yapılandırılan yönetim olaylarının bir AWS hesabındaki tüm kaynaklarda gerçekleştirilen yönetim işlemlerinin kaydedilmesini sağlar
Önem Derecesi: Yüksek
Kimlik bilgilerinin 90 gün veya daha uzun süre kullanılmadığından emin olun
Açıklama: AWS IAM kullanıcıları, aws kaynaklarına parolalar veya erişim anahtarları gibi farklı kimlik bilgileri kullanarak erişebilir. 90 veya daha fazla gün içinde kullanılmayan tüm kimlik bilgilerinin kaldırılması veya devre dışı bırakılması önerilir. Gereksiz kimlik bilgilerinin devre dışı bırakılması veya kaldırılması, güvenliği aşılmış veya bırakılmış bir hesapla ilişkili kimlik bilgilerinin kullanılabilmesi için fırsat penceresini azaltır.
Önem Derecesi: Orta
IAM parola ilkesinin parolaların süresinin 90 gün veya daha kısa sürede dolduğundan emin olun
Açıklama: IAM parola ilkeleri, parolaların belirli sayıda gün sonra döndürülmelerini veya süresinin dolmalarını gerektirebilir. Parola ilkesinin parolaların süresinin 90 gün veya daha kısa bir süre sonra dolması önerilir. Parola ömrünü azaltmak deneme yanılma girişimine karşı hesap dayanıklılığını artırır. Buna ek olarak, normal parola değişiklikleri gerektirmek aşağıdaki senaryolarda yardımcı olur:
- Parolalar bazen sizin bilginiz olmadan çalınabilir veya tehlikeye girebilir. Bu durum sistem güvenliğinin aşılmasına, yazılım güvenlik açığına veya iç tehditlere neden olabilir.
- Bazı kurumsal ve kamu web filtreleri veya proxy sunucuları, şifrelenmiş olsa bile trafiği kesme ve kaydetme özelliğine sahiptir.
- Birçok kişi iş, e-posta ve kişisel gibi birçok sistem için aynı parolayı kullanır.
- Güvenliği aşılmış son kullanıcı iş istasyonlarında tuş vuruşu günlükçü olabilir.
Önem Derecesi: Düşük
IAM parola ilkesinin parola yeniden kullanılmasını engellediğinden emin olun
Açıklama: IAM parola ilkeleri, belirli bir parolanın aynı kullanıcı tarafından yeniden kullanılmasını engelleyebilir. Parola ilkesinin parolaların yeniden kullanılmasını engellemesi önerilir. Parolanın yeniden kullanılmasını önlemek deneme yanılma oturum açma girişimlerine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Düşük
IAM parola ilkesinin en az bir küçük harf gerektirdiğine emin olun
Açıklama: Parola ilkeleri kısmen parola karmaşıklığı gereksinimlerini zorunlu kılmak için kullanılır. IAM parola ilkeleri, parolanın farklı karakter kümelerinden oluştuğundan emin olmak için kullanılabilir. Parola ilkesinin en az bir küçük harf gerektirmesi önerilir. Parola karmaşıklık ilkesi ayarlamak, deneme yanılma girişimine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Orta
IAM parola ilkesinin en az bir numara gerektirdiğine emin olun
Açıklama: Parola ilkeleri kısmen parola karmaşıklığı gereksinimlerini zorunlu kılmak için kullanılır. IAM parola ilkeleri, parolanın farklı karakter kümelerinden oluştuğundan emin olmak için kullanılabilir. Parola ilkesinin en az bir numara gerektirmesi önerilir. Parola karmaşıklık ilkesi ayarlamak, deneme yanılma girişimine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Orta
IAM parola ilkesinin en az bir simge gerektirdiğine emin olun
Açıklama: Parola ilkeleri kısmen parola karmaşıklığı gereksinimlerini zorunlu kılmak için kullanılır. IAM parola ilkeleri, parolanın farklı karakter kümelerinden oluştuğundan emin olmak için kullanılabilir. Parola ilkesinin en az bir simge gerektirmesi önerilir. Parola karmaşıklık ilkesi ayarlamak, deneme yanılma girişimine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Orta
IAM parola ilkesinin en az bir büyük harf gerektirdiğine emin olun
Açıklama: Parola ilkeleri kısmen parola karmaşıklığı gereksinimlerini zorunlu kılmak için kullanılır. IAM parola ilkeleri, parolanın farklı karakter kümelerinden oluştuğundan emin olmak için kullanılabilir. Parola ilkesinin en az bir büyük harf gerektirmesi önerilir. Parola karmaşıklık ilkesi ayarlamak, deneme yanılma girişimine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Orta
IAM parola ilkesinin en az 14 veya daha uzun bir uzunluk gerektirdiğinden emin olun
Açıklama: Parola ilkeleri kısmen parola karmaşıklığı gereksinimlerini zorunlu kılmak için kullanılır. IAM parola ilkeleri, parolanın en az belirli bir uzunlukta olduğundan emin olmak için kullanılabilir. Parola ilkesinin en az '14' parola uzunluğu gerektirmesi önerilir. Parola karmaşıklık ilkesi ayarlamak, deneme yanılma girişimine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Orta
Konsol parolası olan tüm IAM kullanıcıları için çok faktörlü kimlik doğrulamasının (MFA) etkinleştirildiğinden emin olun
Açıklama: Çok Faktörlü Kimlik Doğrulaması (MFA), kullanıcı adı ve parolanın üzerine ek bir koruma katmanı ekler. MFA etkinleştirildiğinde, bir kullanıcı bir AWS web sitesinde oturum açtığında, kullanıcı adı ve parolasının yanı sıra AWS MFA cihazından kimlik doğrulama kodu istenir. Konsol parolası olan tüm hesaplar için MFA'nın etkinleştirilmesi önerilir. MFA'nın etkinleştirilmesi, kimlik doğrulama sorumlusunun zamana duyarlı bir anahtar yayan ve kimlik bilgisi bilgisi olan bir cihaza sahip olmasını gerektirdiğinden konsol erişimi için daha fazla güvenlik sağlar.
Önem Derecesi: Orta
GuardDuty etkinleştirilmelidir
Açıklama: İzinsiz girişlere karşı ek koruma sağlamak için AWS hesabınızda ve bölgenizde GuardDuty etkinleştirilmelidir. Not: GuardDuty her ortam için eksiksiz bir çözüm olmayabilir.
Önem Derecesi: Orta
"Kök" hesap için donanım MFA'sı etkinleştirilmelidir
Açıklama: Kök hesap, bir hesaptaki en ayrıcalıklı kullanıcıdır. MFA, kullanıcı adı ve parolanın üzerine ek bir koruma katmanı ekler. MFA etkinleştirildiğinde, bir kullanıcı aws web sitesinde oturum açtığında, aws MFA cihazından kullanıcı adı ve parolası ve kimlik doğrulama kodu istenir. Düzey 2 için, kök hesabı bir donanım MFA'sı ile korumanız önerilir. Donanım MFA'sı, sanal MFA'dan daha küçük bir saldırı yüzeyine sahiptir. Örneğin, bir donanım MFA'sı, sanal bir MFA'nın bulunduğu mobil akıllı telefon tarafından sunulan saldırı yüzeyinden etkilenmez. Birçok hesap için donanım MFA'sını kullanmak lojistik cihaz yönetimi sorunu oluşturabilir. Bu durumda, bu Düzey 2 önerisini en yüksek güvenlik hesaplarına seçmeli olarak uygulamayı göz önünde bulundurun. Ardından Düzey 1 önerisini kalan hesaplara uygulayabilirsiniz.
Önem Derecesi: Düşük
RDS kümeleri için IAM kimlik doğrulaması yapılandırılmalıdır
Açıklama: Bu denetim, bir RDS DB kümesinde IAM veritabanı kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini denetler. IAM veritabanı kimlik doğrulaması, veritabanı örneklerinde parolasız kimlik doğrulamasına olanak tanır. Kimlik doğrulaması bir kimlik doğrulama belirteci kullanır. Veritabanından gelen ve veritabanından gelen ağ trafiği SSL kullanılarak şifrelenir. Daha fazla bilgi için bkz. Amazon Aurora Kullanıcı Kılavuzu'nda IAM veritabanı kimlik doğrulaması.
Önem Derecesi: Orta
RDS örnekleri için IAM kimlik doğrulaması yapılandırılmalıdır
Açıklama: Bu denetim, bir RDS DB örneğinde IAM veritabanı kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini denetler. IAM veritabanı kimlik doğrulaması, veritabanı örneklerine parola yerine kimlik doğrulama belirteci ile kimlik doğrulaması sağlar. Veritabanından gelen ve veritabanından gelen ağ trafiği SSL kullanılarak şifrelenir. Daha fazla bilgi için bkz. Amazon Aurora Kullanıcı Kılavuzu'nda IAM veritabanı kimlik doğrulaması.
Önem Derecesi: Orta
IAM müşteri tarafından yönetilen ilkeler tüm KMS anahtarlarında şifre çözme eylemlerine izin vermemelidir
Açıklama: IAM müşteri tarafından yönetilen ilkelerin varsayılan sürümünün sorumluların tüm kaynaklarda AWS KMS şifre çözme eylemlerini kullanmasına izin verip vermediğini denetler. Bu denetim, AWS hesapları genelinde gizli dizilerinize geniş erişim izni verebilen ilkeleri doğrulamak ve sizi uyarmak için otomatik bir akıl yürütme altyapısı olan Zelkova'yı kullanır. Tüm KMS anahtarlarında "kms:Decrypt" veya "kms:ReEncryptFrom" eylemlerine izin verilirse bu denetim başarısız olur. Denetim hem ekli hem de eklenmemiş müşteri tarafından yönetilen ilkeleri değerlendirir. Satır içi ilkeleri veya AWS yönetilen ilkelerini denetlemez. AWS KMS ile KMS anahtarlarınızı kimlerin kullanabileceğini denetler ve şifrelenmiş verilerinize erişim elde edebilirsiniz. IAM ilkeleri, bir kimliğin (kullanıcı, grup veya rol) hangi kaynaklarda hangi eylemleri gerçekleştirebileceğini tanımlar. En iyi güvenlik uygulamalarını takip eden AWS, en az ayrıcalıklara izin vermenizi önerir. Başka bir deyişle, kimliklere yalnızca "kms:Decrypt" veya "kms:ReEncryptFrom" izinlerini ve yalnızca bir görevi gerçekleştirmek için gereken anahtarları vermelisiniz. Aksi takdirde, kullanıcı verileriniz için uygun olmayan anahtarları kullanabilir. Tüm anahtarlar için izin vermek yerine, kullanıcıların şifrelenmiş verilere erişmesi için gereken en düşük anahtar kümesini belirleyin. Ardından, kullanıcıların yalnızca bu anahtarları kullanmasına olanak sağlayan ilkeler tasarlayın. Örneğin, tüm KMS anahtarlarında "kms:Decrypt" iznine izin verme. Bunun yerine, yalnızca hesabınız için belirli bir Bölgedeki anahtarlarda "kms:Decrypt" seçeneğine izin verin. En az ayrıcalık ilkesini benimseyerek, verilerinizin istenmeyen şekilde açıklanma riskini azaltabilirsiniz.
Önem Derecesi: Orta
Oluşturduğunuz IAM müşteri tarafından yönetilen ilkeler, hizmetler için joker karakter eylemlerine izin vermemelidir
Açıklama: Bu denetim, oluşturduğunuz IAM kimlik tabanlı ilkelerin herhangi bir hizmet üzerindeki tüm eylemler için izin vermek üzere * joker karakteri kullanan allow deyimlerine sahip olup olmadığını denetler. Herhangi bir ilke deyimi 'Effect': 'Allow' with 'Action': 'Service:*' içeriyorsa denetim başarısız olur. Örneğin, bir ilkedeki aşağıdaki deyim başarısız bulmayla sonuçlanıyor.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:*',
'Resource': '*'
}
'Efekt': 'NotAction' ile 'İzin Ver': 'service:' kullanırsanız da denetim başarısız olur. Bu durumda NotAction öğesi, NotAction'da belirtilen eylemler dışında bir AWS hizmetindeki tüm eylemlere erişim sağlar. Bu denetim yalnızca müşteri tarafından yönetilen IAM ilkeleri için geçerlidir. AWS tarafından yönetilen IAM ilkeleri için geçerli değildir. AWS hizmetlerine izin atadığınızda, IAM ilkelerinizde izin verilen IAM eylemlerini kapsamanız önemlidir. IAM eylemlerini yalnızca gerekli eylemlerle kısıtlamanız gerekir. Bu, en az ayrıcalık izinleri sağlamanıza yardımcı olur. fazla izin veren ilkeler, ilkeler izne gerek duymayabilecek bir IAM sorumlusuna bağlıysa ayrıcalık yükseltmesine neden olabilir. Bazı durumlarda, DescribeFlowLogs ve DescribeAvailabilityZones gibi benzer ön eke sahip IAM eylemlerine izin vermek isteyebilirsiniz. Bu yetkili durumlarda, ortak ön eke son ekli joker karakter ekleyebilirsiniz. Örneğin, ec2:Describe.
Sonekli joker karakterle ön ekli bir IAM eylemi kullanırsanız bu denetim geçer. Örneğin, bir ilkedeki aşağıdaki deyim geçirilen bir bulguyla sonuçlanıyor.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:Describe*',
'Resource': '*'
}
İlgili IAM eylemlerini bu şekilde gruplandırdığınızda, IAM ilke boyutu sınırlarını aşmaktan da kaçınabilirsiniz.
Önem Derecesi: Düşük
IAM ilkeleri yalnızca gruplara veya rollere eklenmelidir
Açıklama: Varsayılan olarak IAM kullanıcılarının, gruplarının ve rollerinin AWS kaynaklarına erişimi yoktur. IAM ilkeleri, kullanıcılara, gruplara veya rollere ayrıcalıkların verildiği araçlardır. IAM ilkelerinin kullanıcılara değil, gruplara ve rollere doğrudan uygulanması önerilir. Grup veya rol düzeyinde ayrıcalık atamak, kullanıcı sayısı arttıkça erişim yönetiminin karmaşıklığını azaltır. Erişim yönetimi karmaşıklığını azaltmak, bir sorumluya yanlışlıkla aşırı ayrıcalıklar alma veya koruma fırsatı azaltabilir.
Önem Derecesi: Düşük
Tam ":" yönetim ayrıcalıklarına izin veren IAM ilkeleri oluşturulmamalıdır
Açıklama: IAM ilkeleri, kullanıcılara, gruplara veya rollere ayrıcalıkların verildiği araçlardır. Yalnızca bir görevi gerçekleştirmek için gereken izinleri vermek için en az ayrıcalık verilmesi önerilir ve standart bir güvenlik önerisi olarak kabul edilir. Kullanıcıların ne yapması gerektiğini belirleyin ve sonra tam yönetim ayrıcalıklarına izin vermek yerine kullanıcıların yalnızca bu görevleri gerçekleştirmesine izin veren ilkeler oluşturun. En düşük izin kümesiyle başlayıp, çok müsamaha gösteren izinlerle başlayıp daha sonra sıkılaştırmaya çalışmak yerine, gerektiğinde ek izinler vermek daha güvenlidir. Kullanıcının yapması gereken en düşük izin kümesiyle kısıtlamak yerine tam yönetim ayrıcalıkları sağlamak, kaynakları istenmeyebilecek eylemlere maruz bırakır. "Effect": "Allow" ve "Action": "" over "Resource": "" deyimine sahip IAM ilkeleri kaldırılmalıdır.
Önem Derecesi: Yüksek
IAM sorumluları, tüm KMS anahtarlarında şifre çözme eylemlerine izin veren IAM satır içi ilkelerine sahip olmamalıdır
Açıklama: IAM kimliklerinize (rol, kullanıcı veya grup) eklenmiş satır içi ilkelerin tüm KMS anahtarlarında AWS KMS şifre çözme eylemlerine izin verip vermediğini denetler. Bu denetim, AWS hesapları genelinde gizli dizilerinize geniş erişim izni verebilen ilkeleri doğrulamak ve sizi uyarmak için otomatik bir akıl yürütme altyapısı olan Zelkova'yı kullanır. Satır içi ilkedeki tüm KMS anahtarlarında "kms:Decrypt" veya "kms:ReEncryptFrom" eylemlerine izin verilirse bu denetim başarısız olur. AWS KMS ile KMS anahtarlarınızı kimlerin kullanabileceğini denetler ve şifrelenmiş verilerinize erişim elde edebilirsiniz. IAM ilkeleri, bir kimliğin (kullanıcı, grup veya rol) hangi kaynaklarda hangi eylemleri gerçekleştirebileceğini tanımlar. En iyi güvenlik uygulamalarını takip eden AWS, en az ayrıcalıklara izin vermenizi önerir. Başka bir deyişle, kimliklere yalnızca ihtiyaç duydukları izinleri ve yalnızca bir görevi gerçekleştirmek için gereken anahtarları vermelisiniz. Aksi takdirde, kullanıcı verileriniz için uygun olmayan anahtarları kullanabilir. Tüm anahtarlar için izin vermek yerine, kullanıcıların şifrelenmiş verilere erişmesi için gereken en düşük anahtar kümesini belirleyin. Ardından, kullanıcıların yalnızca bu anahtarları kullanmasına olanak sağlayan ilkeler tasarlayın. Örneğin, tüm KMS anahtarlarında "kms:Decrypt" iznine izin verme. Bunun yerine, yalnızca hesabınız için belirli bir Bölgedeki anahtarlarda bu anahtarlara izin verin. En az ayrıcalık ilkesini benimseyerek, verilerinizin istenmeyen şekilde açıklanma riskini azaltabilirsiniz.
Önem Derecesi: Orta
Lambda işlevleri genel erişimi kısıtlamalıdır
Açıklama: Lambda işlevi kaynak tabanlı ilke genel erişimi kısıtlamalıdır. Bu öneri, iç sorumluların erişimini denetlemez. İşleve erişimin yalnızca en az ayrıcalıklı kaynak tabanlı ilkeler kullanılarak yetkili sorumlularla kısıtlandığından emin olun.
Önem Derecesi: Yüksek
MFA tüm IAM kullanıcıları için etkinleştirilmelidir
Açıklama: Tüm IAM kullanıcılarının çok faktörlü kimlik doğrulaması (MFA) etkinleştirilmelidir.
Önem Derecesi: Orta
"Kök" hesap için MFA etkinleştirilmelidir
Açıklama: Kök hesap, bir hesaptaki en ayrıcalıklı kullanıcıdır. MFA, kullanıcı adı ve parolanın üzerine ek bir koruma katmanı ekler. MFA etkinleştirildiğinde, bir kullanıcı aws web sitesinde oturum açtığında, aws MFA cihazından kullanıcı adı ve parolası ve kimlik doğrulama kodu istenir. Kök hesaplar için sanal MFA kullandığınızda, kullanılan cihazın kişisel bir cihaz olmadığı önerilir. Bunun yerine, tek tek kişisel cihazlardan bağımsız olarak ücretlendirilip güvenliğini sağlamak için yönettiğiniz ayrılmış bir mobil cihaz (tablet veya telefon) kullanın. Bu, cihaz kaybı, cihaz takası veya cihaza sahip olan kişinin artık şirkette çalışmamış olması nedeniyle MFA'ya erişimi kaybetme riskini azaltıyor.
Önem Derecesi: Düşük
IAM kullanıcıları için parola ilkelerinin güçlü yapılandırmaları olmalıdır
Açıklama: IAM kullanıcıları için hesap parolası ilkesinin aşağıdaki en düşük yapılandırmaları kullanıp kullanmadığını denetler.
- RequireUppercaseCharacters- Parolada en az bir büyük harf karakteri iste. (Varsayılan = true)
- RequireLowercaseCharacters- Parolada en az bir küçük harf karakteri iste. (Varsayılan = true)
- RequireNumbers- Parolada en az bir sayı iste. (Varsayılan = true)
- MinimumPasswordLength- Parola minimum uzunluğu. (Varsayılan = 7 veya daha uzun)
- PasswordReusePrevention- Yeniden kullanıma izin vermeden önce parola sayısı. (Varsayılan = 4)
- MaxPasswordAge- Parola süresinin dolmasından önceki gün sayısı. (Varsayılan = 90)
Önem Derecesi: Orta
Kök hesap erişim anahtarı mevcut olmamalıdır
Açıklama: Kök hesap, AWS hesabındaki en ayrıcalıklı kullanıcıdır. AWS Erişim Anahtarları, belirli bir AWS hesabına programlı erişim sağlar. Kök hesapla ilişkili tüm erişim anahtarlarının kaldırılması önerilir. Kök hesapla ilişkili erişim anahtarlarının kaldırılması, hesabın gizliliğinin tehlikeye atılabildiği vektörleri sınırlar. Ayrıca, kök erişim anahtarlarının kaldırılması, en az ayrıcalıklı rol tabanlı hesapların oluşturulmasını ve kullanılmasını teşvik eder.
Önem Derecesi: Yüksek
S3 Genel Erişimi Engelle ayarı etkinleştirilmelidir
Açıklama: S3 demetiniz için Genel Erişimi Engelle ayarını etkinleştirmek, hassas veri sızıntılarını önlemeye ve demetinizi kötü amaçlı eylemlerden korumaya yardımcı olabilir.
Önem Derecesi: Orta
S3 Genel Erişimi Engelle ayarı demet düzeyinde etkinleştirilmelidir
Açıklama: Bu denetim, S3 demetlerinin demet düzeyinde genel erişim bloklarının uygulanıp uygulanmadığını denetler. Aşağıdaki ayarlardan herhangi biri false olarak ayarlanırsa bu denetim başarısız olur:
- ignorePublicAcls
- blockPublicPolicy
- blockPublicAcls
- restrictPublicBuckets S3 demet düzeyinde Genel Erişimi Engelle, nesnelerin hiçbir zaman genel erişime sahip olmamasını sağlamak için denetimler sağlar. Erişim denetim listeleri (ACL'ler), demet ilkeleri veya her ikisi aracılığıyla demetlere ve nesnelere genel erişim verilir. S3 demetlerinize genel erişim sağlamayı düşünmüyorsanız, demet düzeyinde Amazon S3 Genel Erişimi Engelle özelliğini yapılandırmanız gerekir.
Önem Derecesi: Yüksek
S3 demetleri genel okuma erişimi kaldırılmalıdır
Açıklama: S3 demetinize genel okuma erişimini kaldırmak verilerinizi korumaya ve veri ihlalini önlemeye yardımcı olabilir.
Önem Derecesi: Yüksek
S3 demetleri genel yazma erişimi kaldırılmalıdır
Açıklama: S3 demetinize genel yazma erişimine izin vermek, verilerinizi sizin masrafınıza göre depolama, dosyalarınızı fidye için şifreleme veya demetinizi kötü amaçlı yazılım çalıştırmak için kullanma gibi kötü amaçlı eylemlere karşı savunmasız bırakmanızı sağlayabilir.
Önem Derecesi: Yüksek
Gizli Dizi Yöneticisi gizli dizilerinin otomatik döndürme özelliği etkinleştirilmelidir
Açıklama: Bu denetim, AWS Secrets Manager'da depolanan bir gizli dizinin otomatik döndürme ile yapılandırılıp yapılandırılmadığını denetler. Gizli Dizi Yöneticisi, kuruluşunuzun güvenlik duruşunu geliştirmenize yardımcı olur. Gizli diziler veritabanı kimlik bilgilerini, parolaları ve üçüncü taraf API anahtarlarını içerir. Gizli dizileri merkezi olarak depolamak, gizli dizileri otomatik olarak şifrelemek, gizli dizilere erişimi denetlemek ve gizli dizileri güvenli ve otomatik olarak döndürmek için Gizli DiziLer Yöneticisi'ni kullanabilirsiniz. Gizli Dizi Yöneticisi gizli dizileri döndürebilir. Uzun vadeli gizli dizileri kısa vadeli gizli dizilerle değiştirmek için döndürmeyi kullanabilirsiniz. Gizli dizilerinizi döndürmek, yetkisiz bir kullanıcının gizliliği tehlikeye girmiş bir gizli diziyi ne kadar süre kullanabileceğini sınırlar. Bu nedenle gizli dizilerinizi sık sık döndürmeniz gerekir. Döndürme hakkında daha fazla bilgi edinmek için AWS Secrets Manager Kullanıcı Kılavuzu'nda AWS Secrets Manager gizli dizilerinizi döndürme bölümüne bakın.
Önem Derecesi: Orta
Durdurulan EC2 örnekleri belirtilen süre sonunda kaldırılmalıdır
Açıklama: Bu denetim herhangi bir EC2 örneğinin izin verilen gün sayısından fazla süreyle durdurulup durdurulmadığını denetler. Ec2 örneği, varsayılan olarak 30 gün olan izin verilen en uzun süre boyunca durdurulup durdurulmadığını denetlemede başarısız olur. Başarısız bir bulgu, bir EC2 örneğinin önemli bir süre boyunca çalışmadığını gösterir. EC2 örneği etkin bir şekilde korunmadığından (analiz edildi, düzeltme eki uygulandı, güncelleştirildi) bu bir güvenlik riski oluşturur. Daha sonra başlatılırsa, uygun bakım olmaması AWS ortamınızda beklenmeyen sorunlara neden olabilir. Ec2 örneğini zaman içinde çalıştırılmayan bir durumda güvenli bir şekilde korumak için, bakım için düzenli aralıklarla başlatın ve bakımdan sonra durdurun. İdeal olan bu otomatik bir işlemdir.
Önem Derecesi: Orta
AWS fazla sağlanan kimlikler yalnızca gerekli izinlere sahip olmalıdır (Önizleme)
Açıklama: Aşırı sağlanan etkin kimlik, kullanmadıkları ayrıcalıklara erişimi olan bir kimliktir. Özellikle tanımlanmış eylemleri ve sorumlulukları olan insan olmayan hesaplar için aşırı sağlanan etkin kimlikler, kullanıcı, anahtar veya kaynak güvenliğinin tehlikeye atması durumunda patlama yarıçapını artırabilir. Gerekli olmayan izinleri kaldırın ve en az ayrıcalıklı izinlere ulaşmak için gözden geçirme işlemleri oluşturun.
Önem Derecesi: Orta
AWS ortamınızda kullanılmayan kimlikler kaldırılmalıdır (Önizleme)
Açıklama: Etkin olmayan kimlikler, son 90 gün içinde herhangi bir kaynak üzerinde herhangi bir eylem gerçekleştirmemiş insan ve insan olmayan varlıklardır. AWS hesabınızda yüksek riskli izinlere sahip etkin olmayan IAM kimlikleri olduğu gibi bırakılırsa saldırılara açık olabilir ve kuruluşları kimlik bilgilerinin kötüye kullanılmasına veya kötüye kullanılmasına açık bırakabilir. Kullanılmayan kimlikleri proaktif olarak algılamak ve yanıtlamak, yetkisiz varlıkların AWS kaynaklarınıza erişmesini önlemenize yardımcı olur.
Önem Derecesi: Orta
AWS Ağ önerileri
Amazon EC2, VPC uç noktalarını kullanacak şekilde yapılandırılmalıdır
Açıklama: Bu denetim, her VPC için Amazon EC2 için bir hizmet uç noktasının oluşturulup oluşturulmadığını denetler. Bir VPC'de Amazon EC2 hizmeti için oluşturulmuş bir VPC uç noktası yoksa denetim başarısız olur. VPC'nizin güvenlik duruşunu geliştirmek için Amazon EC2'yi bir arabirim VPC uç noktası kullanacak şekilde yapılandırabilirsiniz. Arabirim uç noktaları, Amazon EC2 API işlemlerine özel olarak erişmenizi sağlayan bir teknoloji olan AWS PrivateLink tarafından desteklenir. VPC ile Amazon EC2 arasındaki tüm ağ trafiğini Amazon ağıyla kısıtlar. Uç noktalar yalnızca aynı Bölge içinde desteklendiği için, VPC ile farklı bir Bölgedeki bir hizmet arasında uç nokta oluşturamazsınız. Bu, diğer Bölgelere istenmeyen Amazon EC2 API çağrılarını önler. Amazon EC2 için VPC uç noktaları oluşturma hakkında daha fazla bilgi edinmek için Linux Örnekleri için Amazon EC2 Kullanıcı Kılavuzu'ndaki Amazon EC2 ve arabirim VPC uç noktalarına bakın.
Önem Derecesi: Orta
Amazon ECS hizmetlerinin kendilerine otomatik olarak atanmış genel IP adresleri olmamalıdır
Açıklama: Genel IP adresi, İnternet'ten ulaşılabilen bir IP adresidir. Amazon ECS örneklerinizi genel IP adresiyle başlatırsanız Amazon ECS örneklerinize İnternet'ten erişilebilir. Kapsayıcı uygulama sunucularınıza istenmeyen erişime izin verebileceği için Amazon ECS hizmetlerine genel erişim sağlanmamalıdır.
Önem Derecesi: Yüksek
Amazon EMR küme ana düğümlerinin genel IP adresleri olmamalıdır
Açıklama: Bu denetim, Amazon EMR kümelerindeki ana düğümlerin genel IP adresleri olup olmadığını denetler. Ana düğümün herhangi bir örneğiyle ilişkilendirilmiş genel IP adresleri varsa denetim başarısız olur. Genel IP adresleri, örneğin NetworkInterfaces yapılandırmasının PublicIp alanında belirlenir. Bu denetim yalnızca ÇALıŞıYOR veya BEKLENİYOR durumundaki Amazon EMR kümelerini denetler.
Önem Derecesi: Yüksek
Amazon Redshift kümeleri gelişmiş VPC yönlendirmesi kullanmalıdır
Açıklama: Bu denetim, Amazon Redshift kümesinde EnhancedVpcRouting özelliğinin etkinleştirilip etkinleştirilmediğini denetler. İyileştirilmiş VPC yönlendirmesi, küme ve veri depoları arasındaki tüm COPY ve UNLOAD trafiğini VPC'nizden geçmeye zorlar. Ardından, ağ trafiğinin güvenliğini sağlamak için güvenlik grupları ve ağ erişim denetim listeleri gibi VPC özelliklerini kullanabilirsiniz. Ağ trafiğini izlemek için VPC Akış Günlüklerini de kullanabilirsiniz.
Önem Derecesi: Yüksek
Uygulama Load Balancer tüm HTTP isteklerini HTTPS'ye yeniden yönlendirecek şekilde yapılandırılmalıdır
Açıklama: Aktarım sırasında şifrelemeyi zorlamak için, istemci HTTP isteklerini 443 numaralı bağlantı noktasındaki bir HTTPS isteğine yönlendirmek için Application Load Balancers ile yeniden yönlendirme eylemlerini kullanmanız gerekir.
Önem Derecesi: Orta
Uygulama yük dengeleyicileri HTTP üst bilgilerini bırakacak şekilde yapılandırılmalıdır
Açıklama: Bu denetim, geçersiz HTTP üst bilgilerini bırakacak şekilde yapılandırıldıklarından emin olmak için AWS Uygulama Yük Dengeleyicilerini (ALB) değerlendirir. routing.http.drop_invalid_header_fields.enabled değerinin false olarak ayarlanması durumunda denetim başarısız olur. Varsayılan olarak, ALB'ler geçersiz HTTP üst bilgi değerlerini bırakacak şekilde yapılandırılmaz. Bu üst bilgi değerlerinin kaldırılması HTTP zaman uyumsuz saldırılarını önler.
Önem Derecesi: Orta
Lambda işlevlerini VPC'ye yapılandırma
Açıklama: Bu denetim, Lambda işlevinin VPC'de olup olmadığını denetler. Genel erişilebilirliği belirlemek için VPC alt ağ yönlendirme yapılandırmasını değerlendirmez. Hesapta Lambda@Edge bulunursa, bu denetimin başarısız bulgular oluşturduğunu unutmayın. Bu bulguları önlemek için bu denetimi devre dışı bırakabilirsiniz.
Önem Derecesi: Düşük
EC2 örneklerinin genel IP adresi olmamalıdır
Açıklama: Bu denetim, EC2 örneklerinin genel IP adresine sahip olup olmadığını denetler. EC2 örneği yapılandırma öğesinde "publicIp" alanı varsa denetim başarısız olur. Bu denetim yalnızca IPv4 adresleri için geçerlidir. Genel IPv4 adresi, İnternet'ten erişilebilen bir IP adresidir. Örneğinizi genel IP adresiyle başlatırsanız EC2 örneğine İnternet'ten erişilebilir. Özel IPv4 adresi, İnternet'ten ulaşılamayan bir IP adresidir. Aynı VPC'deki veya bağlı özel ağınızdaki EC2 örnekleri arasındaki iletişim için özel IPv4 adresleri kullanabilirsiniz. IPv6 adresleri genel olarak benzersizdir ve bu nedenle İnternet'ten erişilebilir. Ancak varsayılan olarak tüm alt ağlarda IPv6 adresleme özniteliği false olarak ayarlanmıştır. IPv6 hakkında daha fazla bilgi için Amazon VPC Kullanıcı Kılavuzu'ndaki VPC'nizde IP adresleme bölümüne bakın. Genel IP adreslerine sahip EC2 örneklerini korumak için geçerli bir kullanım örneğiniz varsa, bu denetimdeki bulguları gizleyebilirsiniz. Ön uç mimari seçenekleri hakkında daha fazla bilgi için AWS Mimari Blogu'na veya This Is My Architecture serisine bakın.
Önem Derecesi: Yüksek
EC2 örnekleri birden çok ENI kullanmamalıdır
Açıklama: Bu denetim, ec2 örneğinin birden çok Elastik Ağ Arabirimi (ENI) mı yoksa Elastik Yapı Bağdaştırıcıları mı (EFA) kullandığını denetler. Bu denetim, tek bir ağ bağdaştırıcısı kullanılırsa geçer. Denetim, izin verilen ENI'leri tanımlamak için isteğe bağlı bir parametre listesi içerir. Birden çok ENI, birden çok alt ağa sahip örnekler anlamına gelen çift girişli örneklere neden olabilir. Bu, ağ güvenliği karmaşıklığını ekleyebilir ve istenmeyen ağ yolları ile erişime neden olabilir.
Önem Derecesi: Düşük
EC2 örnekleri I AVH v2 kullanmalıdır
Açıklama: Bu denetim, EC2 örneği meta veri sürümünüzün Örnek Meta Veri Hizmeti Sürüm 2 (I AVH v2) ile yapılandırılıp yapılandırılmadığını denetler. Denetim, "HttpTokens" I AVH v2 için "gerekli" olarak ayarlandıysa geçer. "HttpTokens" "isteğe bağlı" olarak ayarlanırsa denetim başarısız olur. Çalışan örneği yapılandırmak veya yönetmek için örnek meta verilerini kullanırsınız. I AVH geçici, sık döndürülen kimlik bilgilerine erişim sağlar. Bu kimlik bilgileri, hassas kimlik bilgilerini el ile veya program aracılığıyla örneklere sabit kodla veya dağıtma gereksinimini ortadan kaldırır. I AVH her EC2 örneğine yerel olarak eklenir. 169.254.169.254 özel bir 'yerel bağlantı' IP adresinde çalışır. Bu IP adresine yalnızca örnekte çalışan yazılımlar erişebilir. I AVH sürüm 2, aşağıdaki güvenlik açığı türleri için yeni korumalar ekler. Bu güvenlik açıkları I AVH erişimi denemek için kullanılabilir.
- Web sitesi uygulaması güvenlik duvarlarını açma
- Ters proxy'leri açma
- Sunucu tarafı istek sahteciliği (SSRF) güvenlik açıkları
- 3. Katman güvenlik duvarlarını açma ve ağ adresi çevirisi (NAT) Güvenlik Hub'ı EC2 örneklerinizi I AVH v2 ile yapılandırmanızı önerir.
Önem Derecesi: Yüksek
EC2 alt ağları otomatik olarak genel IP adresleri atamamalıdır
Açıklama: Bu denetim, Amazon Virtual Private Cloud (Amazon VPC) alt ağlarındaki genel IP'lerin atamasının "MapPublicIpOnLaunch" değerinin "FALSE" olarak ayarlanıp ayarlanmadığını denetler. Bayrak "YANLIŞ" olarak ayarlanırsa denetim geçer. Tüm alt ağların, alt ağda oluşturulan bir ağ arabiriminin otomatik olarak bir genel IPv4 adresi alıp almadığını belirleyen bir özniteliği vardır. Bu özniteliğin etkinleştirildiği alt ağlarda başlatılan örneklerin birincil ağ arabirimine atanmış bir genel IP adresi vardır.
Önem Derecesi: Orta
AWS Yapılandırma yapılandırma değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. CloudTrail yapılandırmalarında yapılan değişiklikleri algılamak için bir ölçüm filtresi ve alarm oluşturulması önerilir. AWS Yapılandırma yapılandırmasındaki değişiklikleri izlemek, AWS hesabındaki yapılandırma öğelerinin sürekli görünürlüğünü sağlamaya yardımcı olur.
Önem Derecesi: Düşük
AWS Yönetim Konsolu kimlik doğrulama hataları için bir günlük ölçümü filtresi ve alarm olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Başarısız konsol kimlik doğrulaması girişimleri için bir ölçüm filtresi ve alarm oluşturulması önerilir. Başarısız konsol oturum açmalarının izlenmesi, kimlik bilgilerini deneme yanılma girişimini algılamaya yönelik sağlama süresini azaltabilir. Bu, diğer olay bağıntılarında kullanılabilecek kaynak IP gibi bir gösterge sağlayabilir.
Önem Derecesi: Düşük
Ağ Erişim Denetim Listelerinde (NACL) yapılan değişiklikler için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. NACL'ler, VPC içindeki alt ağların giriş ve çıkış trafiğini denetlemek için durum bilgisi olmayan paket filtresi olarak kullanılır. NACL'lerde yapılan değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. NACL'lerde yapılan değişiklikleri izlemek, AWS kaynaklarının ve hizmetlerinin istemeden kullanıma sunulmamasını sağlamaya yardımcı olur.
Önem Derecesi: Düşük
Ağ geçitlerindeki değişiklikler için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Ağ ağ geçitleri, VPC dışındaki bir hedefe trafik göndermek/almak için gereklidir. Ağ geçitlerindeki değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. Ağ geçitlerindeki değişiklikleri izlemek, tüm giriş/çıkış trafiğinin denetimli bir yol üzerinden VPC sınırından geçmesine yardımcı olur.
Önem Derecesi: Düşük
CloudTrail yapılandırma değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. CloudTrail yapılandırmalarında yapılan değişiklikleri algılamak için bir ölçüm filtresi ve alarm oluşturulması önerilir.
CloudTrail'in yapılandırmasındaki değişiklikleri izlemek, AWS hesabında gerçekleştirilen etkinliklere sürekli görünürlük sağlamaya yardımcı olur.
Önem Derecesi: Düşük
Müşteri tarafından oluşturulan CMK'lerin devre dışı bırakılması veya zamanlanmış silinmesi için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Müşteri tarafından oluşturulan CMK'ler için durumu devre dışı veya zamanlanmış silme olarak değiştiren bir ölçüm filtresi ve alarm oluşturulması önerilir. Devre dışı bırakılmış veya silinmiş anahtarlarla şifrelenmiş verilere artık erişilemez.
Önem Derecesi: Düşük
IAM ilke değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Kimlik ve Erişim Yönetimi (IAM) ilkelerde yapılan değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. IAM ilkelerindeki değişiklikleri izlemek, kimlik doğrulama ve yetkilendirme denetimlerinin bozulmadan kalmasını sağlamaya yardımcı olur.
Önem Derecesi: Düşük
MFA olmadan Yönetim Konsolu oturum açma işlemleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Çok faktörlü kimlik doğrulaması (MFA) tarafından korunmayan konsol oturum açma işlemleri için bir ölçüm filtresi ve alarm oluşturulması önerilir. Tek faktörlü konsol oturum açma bilgilerinin izlenmesi, MFA tarafından korunmayan hesapların görünürlüğünü artırır.
Önem Derecesi: Düşük
Yönlendirme tablosu değişiklikleri için bir günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Yönlendirme tabloları, alt ağlar arasındaki ağ trafiğini ağ ağ geçitlerine yönlendirmek için kullanılır. Yönlendirme tablolarındaki değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. Yönlendirme tablolarındaki değişiklikleri izlemek, tüm VPC trafiğinin beklenen bir yoldan akmasını sağlamaya yardımcı olur.
Önem Derecesi: Düşük
S3 demet ilkesi değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. S3 demet ilkelerindeki değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. S3 demet ilkelerindeki değişiklikleri izlemek, hassas S3 demetlerindeki izin verme ilkelerini algılama ve düzeltme süresini kısaltabilir.
Önem Derecesi: Düşük
Güvenlik grubu değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Güvenlik Grupları, bir VPC içindeki giriş ve çıkış trafiğini denetleen durum bilgisi olan bir paket filtresidir. Güvenlik Grupları'na bir ölçüm filtresi ve alarm oluşturulması önerilir. Güvenlik grubundaki değişiklikleri izlemek, kaynakların ve hizmetlerin istemeden kullanıma sunulmamasını sağlamaya yardımcı olur.
Önem Derecesi: Düşük
Yetkisiz API çağrıları için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Yetkisiz API çağrıları için bir ölçüm filtresi ve alarm oluşturulması önerilir. Yetkisiz API çağrılarının izlenmesi, uygulama hatalarını ortaya çıkarmak için yardımcı olur ve kötü amaçlı etkinlikleri algılama süresini kısaltabilir.
Önem Derecesi: Düşük
'root' hesabı kullanımı için bir günlük ölçümü filtresi ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Kök oturum açma girişimleri için bir ölçüm filtresi ve alarm oluşturulması önerilir.
Kök hesap oturum açma bilgilerini izlemek, tam ayrıcalıklı bir hesabın kullanımına ilişkin görünürlük ve bu hesabın kullanımını azaltma fırsatı sağlar.
Önem Derecesi: Düşük
VPC değişiklikleri için günlük ölçümü filtresinin ve alarmın mevcut olduğundan emin olun
Açıklama: CloudTrail Günlükleri CloudWatch Günlüklerine yönlendirilerek ve ilgili ölçüm filtreleri ve alarmlar oluşturularak API çağrılarının gerçek zamanlı izlenmesi sağlanabilir. Bir hesapta birden fazla VPC olması mümkündür, ayrıca 2 VPC arasında eş bağlantı oluşturmak da mümkündür ve bu da ağ trafiğinin VPC'ler arasında yönlendirilmesini sağlar. VPC'lerde yapılan değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. IAM ilkelerindeki değişiklikleri izlemek, kimlik doğrulama ve yetkilendirme denetimlerinin bozulmadan kalmasını sağlamaya yardımcı olur.
Önem Derecesi: Düşük
0.0.0.0/0'dan 3389 numaralı bağlantı noktasına girişe izin veren güvenlik grubu olmadığından emin olun
Açıklama: Güvenlik grupları, AWS kaynaklarına yönelik giriş/çıkış ağ trafiğinin durum bilgisi olan filtrelemesini sağlar. Hiçbir güvenlik grubunun 3389 numaralı bağlantı noktasına sınırsız giriş erişimine izin vermemesi önerilir. RDP gibi uzak konsol hizmetlerine bağlanmamış bağlantıyı kaldırmak, sunucunun riske maruz kalmasını azaltır.
Önem Derecesi: Yüksek
RDS veritabanları ve kümeleri veritabanı altyapısı varsayılan bağlantı noktasını kullanmamalıdır
Açıklama: Bu denetim, RDS kümesinin veya örneğinin veritabanı altyapısının varsayılan bağlantı noktası dışında bir bağlantı noktası kullanıp kullanmadığını denetler. RDS kümesini veya örneğini dağıtmak için bilinen bir bağlantı noktası kullanırsanız, saldırgan küme veya örnek hakkındaki bilgileri tahmin edebilir. Saldırgan, bir RDS kümesine veya örneğine bağlanmak veya uygulamanız hakkında ek bilgi edinmek için bu bilgileri diğer bilgilerle birlikte kullanabilir. Bağlantı noktasını değiştirdiğinizde, eski bağlantı noktasına bağlanmak için kullanılan mevcut bağlantı dizesi de güncelleştirmeniz gerekir. Yeni bağlantı noktasında bağlantıya izin veren bir giriş kuralı içerdiğinden emin olmak için veritabanı örneğinin güvenlik grubunu da denetlemeniz gerekir.
Önem Derecesi: Düşük
RDS örnekleri bir VPC'de dağıtılmalıdır
Açıklama: VPC'ler, RDS kaynaklarına erişimin güvenliğini sağlamak için bir dizi ağ denetimi sağlar. Bu denetimler VPC Uç Noktaları, ağ ACL'leri ve güvenlik gruplarını içerir. Bu denetimlerden yararlanmak için EC2-Klasik RDS örneklerini EC2-VPC'ye taşımanızı öneririz.
Önem Derecesi: Düşük
S3 demetleri, Güvenli Yuva Katmanı'nın kullanılması için istekler gerektirmelidir
Açıklama: Tüm Amazon S3 demetinde Güvenli Yuva Katmanı (SSL) kullanmak için istekler gerektirmenizi öneririz. S3 demetleri, 'aws:SecureTransport' koşul anahtarıyla belirtilen S3 kaynak ilkesinde yalnızca HTTPS üzerinden veri aktarımını kabul etmek için tüm isteklerin ('Eylem: S3:*') gerektirdiği ilkelere sahip olmalıdır.
Önem Derecesi: Orta
Güvenlik grupları 0.0.0.0/0'dan 22 numaralı bağlantı noktasına girişe izin vermemelidir
Açıklama: Sunucunun maruz kalmasını azaltmak için '22' bağlantı noktasına sınırsız giriş erişimine izin verilmemesi önerilir.
Önem Derecesi: Yüksek
Güvenlik grupları yüksek riskli bağlantı noktalarına sınırsız erişime izin vermemelidir
Açıklama: Bu denetim, güvenlik grupları için sınırsız gelen trafiğe en yüksek riske sahip belirtilen bağlantı noktaları için erişilebilir olup olmadığını denetler. Bu denetim, bir güvenlik grubundaki kurallardan hiçbiri bu bağlantı noktaları için 0.0.0.0/0'dan gelen giriş trafiğine izin vermediğinde geçer. Kısıtlanmamış erişim (0.0.0.0/0), korsanlık, hizmet reddi saldırıları ve veri kaybı gibi kötü amaçlı etkinliklere yönelik fırsatları artırır. Güvenlik grupları, AWS kaynaklarına yönelik giriş ve çıkış ağ trafiğinin durum bilgisi olan filtrelemesini sağlar. Hiçbir güvenlik grubu aşağıdaki bağlantı noktalarına sınırsız giriş erişimine izin vermemelidir:
- 3389 (RDP)
- 20, 21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 110 (POP3)
- 143 (IMAP)
- 3306 (MySQL)
- 8080 (proxy)
- 1433, 1434 (MSSQL)
- 9200 veya 9300 (Elasticsearch)
- 5601 (Kibana)
- 25 (SMTP)
- 445 (CIFS)
- 135 (RPC)
- 4333 (ahsp)
- 5432 (postgresql)
- 5500 (fcp-addr-srvr1)
Önem Derecesi: Orta
Güvenlik grupları yalnızca yetkili bağlantı noktaları için sınırsız gelen trafiğe izin vermelidir
Açıklama: Bu denetim, kullanımda olan güvenlik gruplarının sınırsız gelen trafiğe izin verip vermediğini denetler. İsteğe bağlı olarak kural, bağlantı noktası numaralarının "authorizedTcpPorts" parametresinde listelenip listelenmediğini denetler.
- Güvenlik grubu kuralı bağlantı noktası numarası kısıtlanmamış gelen trafiğe izin veriyorsa, ancak bağlantı noktası numarası "authorizedTcpPorts" içinde belirtilmişse, denetim geçer. "authorizedTcpPorts" için varsayılan değer 80, 443'dür.
- Güvenlik grubu kuralı bağlantı noktası numarası kısıtlanmamış gelen trafiğe izin veriyorsa ancak bağlantı noktası numarası authorizedTcpPorts giriş parametresinde belirtilmemişse, denetim başarısız olur.
- Parametresi kullanılmıyorsa, sınırsız bir gelen kuralı olan herhangi bir güvenlik grubu için denetim başarısız olur. Güvenlik grupları AWS'ye giriş ve çıkış ağ trafiğinin durum bilgisi olan filtrelemesini sağlar. Güvenlik grubu kuralları en az ayrıcalıklı erişim ilkesine uymalıdır. Kısıtlanmamış erişim (/0 soneki olan IP adresi), korsanlık, hizmet reddi saldırıları ve veri kaybı gibi kötü amaçlı etkinliklere yönelik fırsatı artırır. Bir bağlantı noktasına özel olarak izin verilmediği sürece, bağlantı noktası sınırsız erişimi reddetmelidir.
Önem Derecesi: Yüksek
Kullanılmayan EC2 EIP'ler kaldırılmalıdır
Açıklama: Bir VPC'ye ayrılan elastik IP adresleri Amazon EC2 örneklerine veya kullanımdaki elastik ağ arabirimlerine (ENI) eklenmelidir.
Önem Derecesi: Düşük
Kullanılmayan ağ erişim denetim listeleri kaldırılmalıdır
Açıklama: Bu denetim, kullanılmayan ağ erişim denetim listeleri (ACL) olup olmadığını denetler. Denetim, "AWS::EC2::NetworkAcl" kaynağının öğe yapılandırmasını denetler ve ağ ACL'sinin ilişkilerini belirler. Tek ilişki ağ ACL'sinin VPC'yse, denetim başarısız olur. Diğer ilişkiler listeleniyorsa, denetim geçer.
Önem Derecesi: Düşük
VPC'nin varsayılan güvenlik grubu tüm trafiği kısıtlamalıdır
Açıklama: Güvenlik grubu, kaynak kullanımını azaltmak için tüm trafiği kısıtlamalıdır.
Önem Derecesi: Düşük