Bewährte Betriebspraktiken für NZISM 3.9 (Foundation)

Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.

Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen dem Information Security Manual (NZISM) 2025-11 Version 3.9 des Neuseeland Government Communications Security Bureau (GCSB) und den Managed Config-Regeln. AWS Jede Config-Regel gilt für einen bestimmten AWS Ressourcentyp und bezieht sich auf ein oder mehrere NZISM-Steuerelemente. Eine NZISM-Kontrolle kann mehreren Konfigurationsregeln zugeordnet werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen. In den Zuordnungen sind nur Kontrollen enthalten, die eine empfohlene oder grundlegende Vorgehensweise für Informationen darstellen, die als EINGESCHRÄNKT und weiter unten eingestuft sind.

Diese Vorlage für ein Konformitätspaket enthält Zuordnungen zu Kontrollen innerhalb des NZISM-Frameworks, das ein integraler Bestandteil des PSR-Frameworks (Protective Security Requirements) ist, das die Erwartungen der neuseeländischen Regierung an das Personal-, Informations- und physische Sicherheitsmanagement festlegt.

Der Foundation-Teil dieses Konformitätspakets kann in Sydney und weltweit eingesetzt werden. Der Teil NZ Transition enthält die Teilmenge der Foundation Config-Regeln, die derzeit in der Region Neuseeland verfügbar sind. Der Foundation-Teil wird derzeit nicht in der Region Neuseeland eingesetzt. Der Erweiterungsteil dieses Konformitätspakets kann in den Regionen Sydney und Neuseeland bereitgestellt werden, um die in den Teilen Foundation und NZ Transition enthaltenen Konfigurationsregeln zu erweitern.

Das NZISM ist unter der Creative Commons Attribution 4.0 New Zealand-Lizenz lizenziert, verfügbar unter. https://creativecommons.org/licenses/by/4.0/ Informationen zum Urheberrecht finden Sie unter NZISM New Zealand Information Security Manual | Legal, Privacy, and Copyright.

Kontroll-ID	Beschreibung der Kontrolle	AWS-Konfigurationsregel	Empfehlung
1149	Softwaresicherheit, Standardbetriebsumgebungen, Entwicklung robuster SOEs (14.1.8. C.01.)	ec2-instance-managed-by-systems-manager	Eine Bestandsaufnahme der Softwareplattformen und Anwendungen innerhalb des Unternehmens ist möglich, indem Amazon Elastic Compute Cloud (Amazon EC2) -Instances mit AWS Systems Manager verwaltet werden. Verwenden Sie AWS Systems Manager, um detaillierte Systemkonfigurationen, Betriebssystem-Patch-Levels, Namen und Typ der Services, Softwareinstallationen, Anwendungsname, Herausgeber und Version sowie weitere Details zu Ihrer Umgebung bereitzustellen.
1149	Softwaresicherheit, Standardbetriebsumgebungen, Entwicklung robuster SOEs (14.1.8. C.01.)	ec2-managedinstance-association-compliance-status-check	Verwenden Sie AWS Systems Manager Associations, um bei der Inventarisierung von Softwareplattformen und Anwendungen innerhalb eines Unternehmens zu helfen. AWS Systems Manager weist Ihren verwalteten Instances einen Konfigurationsstatus zu und ermöglicht es Ihnen, Baselines für Betriebssystem-Patch-Levels, Softwareinstallationen, Anwendungskonfigurationen und andere Details zu Ihrer Umgebung festzulegen.
1149	Softwaresicherheit, Standardbetriebsumgebungen, Entwicklung robuster SOEs (14.1.8. C.01.)	ecs-containers-nonprivileged	Dieses Steuerelement prüft, ob der privilegierte Parameter in der Container-Definition von Amazon ECS-Aufgabendefinitionen auf true gesetzt ist. Die Steuerung schlägt fehl, wenn dieser Parameter den Wert true hat. Dieses Steuerelement bewertet nur die letzte aktive Revision einer Amazon ECS-Aufgabendefinition. Wir empfehlen, dass Sie erhöhte Rechte aus Ihren ECS-Aufgabendefinitionen entfernen. Wenn der Berechtigungsparameter true ist, erhält der Container erhöhte Rechte auf der Host-Container-Instance (ähnlich wie dem Root-Benutzer).
1149	Softwaresicherheit, Standardbetriebsumgebungen, Entwicklung robuster SOEs (14.1.8. C.01.)	ecs-containers-readonly-access	Diese Kontrolle prüft, ob Amazon ECS-Container auf den schreibgeschützten Zugriff auf bereitgestellte Root-Dateisysteme beschränkt sind. Diese Steuerung schlägt fehl, wenn der ReadonlyRootFilesystem Parameter in der Container-Definition der Amazon ECS-Aufgabendefinitionen auf False gesetzt ist. Dieses Steuerelement bewertet nur die letzte aktive Revision einer Amazon ECS-Aufgabendefinition. Durch die Aktivierung dieser Option werden Sicherheitsangriffsvektoren reduziert, da das Dateisystem der Container-Instance nur manipuliert oder beschrieben werden kann, wenn sie über explizite Lese- und Schreibberechtigungen für ihren Dateisystemordner und ihre Verzeichnisse verfügt. Diese Steuerung folgt außerdem dem Prinzip der geringsten Rechte.
1154	Informationssicherheitsvorfälle, Erkennung von Informationssicherheitsvorfällen, Vorbeugung und Erkennung von Informationssicherheitsvorfällen (7.1.7. C.02.)	GuardDuty-Laufzeitüberwachung aktiviert	Diese Kontrolle prüft, ob Runtime Monitoring für Amazon GuardDuty in Ihrem Konto oder Ihrer Organisation aktiviert ist. Runtime Monitoring beobachtet und analysiert Ereignisse auf Betriebssystemebene, Netzwerk- und Dateiereignisse, um Ihnen zu helfen, potenzielle Bedrohungen in bestimmten AWS-Workloads in Ihrer Umgebung zu erkennen.
1661	Softwaresicherheit, Entwicklung von Webanwendungen, Inhalt der Website der Agentur (14.5.6. C.01.)	cloudfront-default-root-object-configured	Dieses Steuerelement prüft, ob eine CloudFront Amazon-Distribution so konfiguriert ist, dass sie ein bestimmtes Objekt zurückgibt, das das Standard-Root-Objekt ist. Die Steuerung schlägt fehl, wenn für die CloudFront Distribution kein Standard-Stammobjekt konfiguriert ist. Ein Benutzer kann manchmal die Stamm-URL der Distribution anstelle eines Objekts in der Distribution anfordern. In diesem Fall können Sie durch die Festlegung eines Standardstammobjekt verhindern, dass die Inhalte Ihrer Web-Verteilung preisgegeben werden. Diese Regel muss in der Region us-east-1 angewendet werden. Bereitstellen mit dem Vorlagenparameter DeployEdgeRules = true.
1667	Softwaresicherheit, Entwicklung von Webanwendungen, Webanwendungen (14.5.8. C.01.)	acm-certificate-expiration-check	Stellen Sie sicher, dass die Netzwerkintegrität geschützt ist, indem Sie sicherstellen, dass X509-Zertifikate von AWS ACM ausgestellt werden. Diese Zertifikate müssen gültig und dürfen nicht abgelaufen sein. Diese Regel erfordert einen Wert für Tage. ToExpiration Der Wert ist 90 Tage.
1667	Softwaresicherheit, Entwicklung von Webanwendungen, Webanwendungen (14.5.8. C.01.)	elb-tls-https-listeners-only	Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
1841	Zugriffskontrolle und Passwörter, Identifikation, Authentifizierung und Passwörter, Methoden zur Identifizierung und Authentifizierung von Systembenutzern (16.1.35. C.02.)	iam-user-mfa-enabled	Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS-Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für IAM-Benutzer vorschreiben.
1841	Zugriffskontrolle und Passwörter, Identifikation, Authentifizierung und Passwörter, Methoden zur Identifizierung und Authentifizierung von Systembenutzern (16.1.35. C.02.)	mfa-enabled-for-iam-console-access	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert ist, die über ein Konsolenpasswort verfügen. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für IAM-Benutzer vorschreiben, können Sie Vorfälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
1841	Zugriffskontrolle und Passwörter, Identifikation, Authentifizierung und Passwörter, Methoden zur Identifizierung und Authentifizierung von Systembenutzern (16.1.35. C.02.)	root-account-hardware-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass die Hardware-Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS-Konto. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter AWS-Konten reduzieren.
1841	Zugriffskontrolle und Passwörter, Identifikation, Authentifizierung und Passwörter, Methoden zur Identifizierung und Authentifizierung von Systembenutzern (16.1.35. C.02.)	root-account-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS-Konto. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter AWS-Konten reduzieren.
1847	Zugriffskontrolle und Passwörter, Identifikation, Authentifizierung und Passwörter, Schutz von Authentifizierungsdaten bei der Übertragung (16.1.37. C.01.)	alb-http-to-https-Weiterleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
1847	Zugriffskontrolle und Passwörter, Identifikation, Authentifizierung und Passwörter, Schutz von Authentifizierungsdaten bei der Übertragung (16.1.37. C.01.)	cloudfront-viewer-policy-https	Diese Kontrolle prüft, ob bei einer CloudFront Amazon-Distribution Zuschauer HTTPS direkt verwenden müssen oder ob sie eine Umleitung verwendet. Das Steuerelement schlägt fehl, wenn ViewerProtocolPolicy es für die Standardeinstellung CacheBehavior oder für CacheBehaviors auf allow-all gesetzt ist. HTTPS (TLS) kann verwendet werden, um potenzielle Angreifer daran zu hindern, Person-in-the-Middle- oder ähnliche Angriffe zu nutzen, um den Netzwerkverkehr abzuhören oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Diese Regel muss in der Region us-east-1 angewendet werden. Bereitstellen mit dem Vorlagenparameter = true. DeployEdgeRules
1847	Zugriffskontrolle und Passwörter, Identifikation, Authentifizierung und Passwörter, Schutz von Authentifizierungsdaten bei der Übertragung (16.1.37. C.01.)	elasticsearch-node-to-node-encryption-check	Dieses Steuerelement prüft, ob für Elasticsearch-Domains die Verschlüsselung von Knoten zu Knoten aktiviert ist. Diese Kontrolle schlägt fehl, wenn die Knoten-zu-Knoten-Verschlüsselung in der Domain deaktiviert ist. HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer den Netzwerkverkehr mit Person-in-the-Middle- oder ähnlichen Angriffen abhören oder manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Durch die Aktivierung der Knoten-zu-Knoten-Verschlüsselung für Elasticsearch-Domains wird sichergestellt, dass die Kommunikation innerhalb des Clusters während der Übertragung verschlüsselt wird.
1847	Zugriffskontrolle und Passwörter, Identifikation, Authentifizierung und Passwörter, Schutz von Authentifizierungsdaten bei der Übertragung (16.1.37. C.01.)	elb-tls-https-listeners-only	Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
1847	Zugriffskontrolle und Passwörter, Identifikation, Authentifizierung und Passwörter, Schutz von Authentifizierungsdaten bei der Übertragung (16.1.37. C.01.)	opensearch-node-to-node-encryption-check	Dieses Steuerelement prüft, ob in OpenSearch Domänen die Verschlüsselung von Knoten zu Knoten aktiviert ist. Diese Steuerung schlägt fehl, wenn die Knoten-zu-Knoten-Verschlüsselung in der Domäne deaktiviert ist. HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer den Netzwerkverkehr mit Person-in-the-Middle- oder ähnlichen Angriffen abhören oder manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Durch die Aktivierung der Knoten-zu-Knoten-Verschlüsselung für OpenSearch Domänen wird sichergestellt, dass die Kommunikation innerhalb des Clusters während der Übertragung verschlüsselt wird.
1893	Zugriffskontrolle und Passwörter, Identifizierung, Authentifizierung und Passwörter, Sperrung des Zugangs (16.1.46. C.02.)	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie das and/or Entfernen der Anmeldeinformationen deaktivieren, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Diese Regel legt maximal CredentialUsageAge 30 Tage fest.
1946	Zugriffskontrolle und Passwörter, Zugriff für privilegierte Benutzer, Verwendung privilegierter Konten (16.3.5. C.02.)	iam-policy-no-statements-with-admin-access	AWS Identity and Access Management (IAM) kann Ihnen dabei helfen, die Prinzipien der geringsten Rechte und der Aufgabentrennung in Zugriffsberechtigungen und Autorisierungen zu integrieren und so zu verhindern, dass Richtlinien „Effect“: „Allow“ mit „Action“: „“ anstelle von „Resource“: „“ enthalten. Wenn Benutzern mehr Rechte eingeräumt werden, als für die Ausführung einer Aufgabe erforderlich sind, kann dies gegen das Prinzip der geringsten Berechtigung und der Aufgabentrennung verstoßen.
1946	Zugriffskontrolle und Passwörter, Zugriff für privilegierte Benutzer, Verwendung privilegierter Konten (16.3.5. C.02.)	iam-root-access-key-check	Der Zugriff auf Systeme und Ressourcen kann gesteuert werden, indem überprüft wird, ob der Root-Benutzer keine Zugriffsschlüssel mit seiner AWS Identity and Access Management (IAM) -Rolle verknüpft hat. Stellen Sie sicher, dass die Root-Zugriffsschlüssel gelöscht werden. Erstellen und verwenden Sie stattdessen rollenbasierte AWS-Konten, um das Prinzip der geringsten Funktionalität zu integrieren.
1998	Zugriffskontrolle und Passwörter, Ereignisprotokollierung und -überwachung, Pflege von Systemverwaltungsprotokollen (16.6.6. C.02.)	cloud-trail-cloud-watch-logs-enabled	Sie sollten CloudTrail mit CloudWatch Logs konfigurieren, um Ihre Trail-Logs zu überwachen und bei bestimmten Aktivitäten benachrichtigt zu werden. Diese Regel prüft, ob CloudTrail AWS-Trails so konfiguriert sind, dass sie Logs an CloudWatch Amazon-Logs senden.
1998	Zugriffskontrolle und Passwörter, Ereignisprotokollierung und -überwachung, Pflege von Systemverwaltungsprotokollen (16.6.6. C.02.)	cloudtrail-enabled	AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es Aktionen und API-Aufrufe der AWS-Managementkonsole aufzeichnet. Sie können die Benutzer und AWS-Konten, die einen AWS-Service aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe identifizieren. Einzelheiten der erfassten Daten werden in den CloudTrail AWS-Datensatzinhalten angezeigt.
1998	Zugriffskontrolle und Passwörter, Ereignisprotokollierung und -überwachung, Pflege von Systemverwaltungsprotokollen (16.6.6. C.02.)	cw-loggroup-retention-period-check	Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. Die Mindestaufbewahrungsdauer beträgt 18 Monate.
2013	Zugriffskontrolle und Passwörter, Ereignisprotokollierung und -überwachung, Zusätzliche zu protokollierende Ereignisse (16.6.10. C.02.)	api-gw-execution-logging-enabled	Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten.
2013	Zugriffskontrolle und Passwörter, Ereignisprotokollierung und Überwachung, Zusätzliche zu protokollierende Ereignisse (16.6.10. C.02.)	cloudfront-accesslogs-enabled	Dieses Steuerelement prüft, ob die Serverzugriffsprotokollierung auf CloudFront Distributionen aktiviert ist. Die Steuerung schlägt fehl, wenn die Zugriffsprotokollierung für eine Verteilung nicht aktiviert ist. CloudFront Zugriffsprotokolle enthalten detaillierte Informationen zu jeder eingehenden CloudFront Benutzeranfrage. Jedes Protokoll enthält Informationen wie Datum und Uhrzeit des Eingangs der Anfrage, die IP-Adresse des Betrachters, der die Anfrage gestellt hat, die Quelle der Anfrage und die Portnummer der Anfrage vom Betrachter. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Diese Regel muss in der Region us-east-1 angewendet werden. Mit dem Vorlagenparameter DeployEdgeRules = true bereitstellen
2013	Zugriffskontrolle und Passwörter, Ereignisprotokollierung und Überwachung, Zusätzliche zu protokollierende Ereignisse (16.6.10. C.02.)	cloudtrail-enabled	AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es Aktionen und API-Aufrufe der AWS-Managementkonsole aufzeichnet. Sie können die Benutzer und AWS-Konten, die einen AWS-Service aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe identifizieren. Einzelheiten der erfassten Daten werden in den CloudTrail AWS-Datensatzinhalten angezeigt.
2013	Zugriffskontrolle und Passwörter, Protokollierung und Prüfung von Ereignissen, Zusätzliche zu protokollierende Ereignisse (16.6.10. C.02.)	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
2013	Zugriffskontrolle und Passwörter, Ereignisprotokollierung und Überwachung, Zusätzliche zu protokollierende Ereignisse (16.6.10. C.02.)	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (RDS) aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
2013	Zugriffskontrolle und Passwörter, Ereignisprotokollierung und -überwachung, Zusätzliche zu protokollierende Ereignisse (16.6.10. C.02.)	wafv2-logging-enabled	Um Sie bei der Protokollierung und Überwachung in Ihrer Umgebung zu unterstützen, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. Die AWS-WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. Die Protokolle zeichnen den Zeitpunkt auf, zu dem AWS WAF die Anfrage von Ihrer AWS-Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
2022	Zugriffskontrolle und Passwörter, Ereignisprotokollierung und -überwachung, Schutz von Ereignisprotokollen (16.6.12. C.01.)	cloud-trail-log-file-validation-enabled	Verwenden Sie die CloudTrail AWS-Protokolldateivalidierung, um die Integrität von CloudTrail Protokollen zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der CloudTrail Lieferung unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA-256 für Hashing und SHA-256 mit RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen CloudTrail .
2022	Zugriffskontrolle und Passwörter, Ereignisprotokollierung und -überwachung, Schutz von Ereignisprotokollen (16.6.12. C.01.)	cloudwatch-log-group-encrypted	Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
2028	Zugriffskontrolle und Passwörter, Ereignisprotokollierung und -überwachung, Ereignisprotokollarchive (16.6.13. C.01.)	cw-loggroup-retention-period-check	Stellen Sie sicher, dass die Ereignisprotokolldaten für Ihre Protokollgruppen über eine Mindestdauer aufbewahrt werden, um die Fehlerbehebung und forensische Untersuchungen zu unterstützen. Fehlende frühere Ereignisprotokolldaten erschweren die Rekonstruierung und Identifizierung potenziell schädlicher Ereignisse. Die Mindestaufbewahrungsdauer beträgt 18 Monate.
2082	Kryptographie, kryptografische Grundlagen, Reduzierung der Speicher- und physischen Übertragungsanforderungen (17.1.53. C.04.)	cloud-trail-encryption-enabled	Da sensible Daten vorhanden sein können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre CloudTrail AWS-Trails aktiviert ist.
2082	Kryptographie, kryptografische Grundlagen, Reduzierung der Speicher- und physischen Übertragungsanforderungen (17.1.53. C.04.)	ec2-ebs-encryption-by-default	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (EBS) -Volumes aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
2082	Kryptographie, kryptografische Grundlagen, Reduzierung der Speicher- und physischen Übertragungsanforderungen (17.1.53. C.04.)	efs-encrypted-check	Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
2082	Kryptographie, kryptografische Grundlagen, Reduzierung der Speicher- und physischen Übertragungsanforderungen (17.1.53. C.04.)	elasticsearch-encrypted-at-rest	Dieses Steuerelement prüft, ob für Elasticsearch-Domains die Konfiguration „Verschlüsselung im Ruhezustand“ aktiviert ist. Die Prüfung schlägt fehl, wenn die Verschlüsselung im Ruhezustand nicht aktiviert ist. Für eine zusätzliche Sicherheitsebene für sensible Daten sollten Sie Ihre Elasticsearch Service-Domain so konfigurieren, dass sie im Ruhezustand verschlüsselt wird. Wenn Sie die Verschlüsselung von Daten im Ruhezustand konfigurieren, speichert und verwaltet Amazon Key Management Service (KMS) Ihre Verschlüsselungsschlüssel. Für die Verschlüsselung verwendet AWS KMS den Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln ()AES-256.
2082	Kryptographie, kryptografische Grundlagen, Reduzierung der Speicher- und physischen Übertragungsanforderungen (17.1.53. C.04.)	encrypted-volumes	Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (EBS) -Volumes aktiviert ist.
2082	Kryptographie, kryptografische Grundlagen, Reduzierung der Speicher- und physischen Übertragungsanforderungen (17.1.53. C.04.)	opensearch-encrypted-at-rest	Dieses Steuerelement prüft, ob für OpenSearch Domänen die Konfiguration „Verschlüsselung im Ruhezustand“ aktiviert ist. Die Prüfung schlägt fehl, wenn die Verschlüsselung im Ruhezustand nicht aktiviert ist. Für eine zusätzliche Sicherheitsebene für vertrauliche Daten sollten Sie Ihre OpenSearch Service-Domain so konfigurieren, dass sie im Ruhezustand verschlüsselt wird. Wenn Sie die Verschlüsselung von Daten im Ruhezustand konfigurieren, speichert und verwaltet Amazon Key Management Service (KMS) Ihre Verschlüsselungsschlüssel. Für die Verschlüsselung verwendet AWS KMS den Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln ()AES-256.
2082	Kryptographie, kryptografische Grundlagen, Reduzierung der Speicher- und physischen Übertragungsanforderungen (17.1.53. C.04.)	rds-snapshot-encrypted	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (RDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
2082	Kryptographie, kryptografische Grundlagen, Reduzierung der Speicher- und physischen Übertragungsanforderungen (17.1.53. C.04.)	rds-storage-encrypted	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (RDS) -Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
2082	Kryptographie, kryptografische Grundlagen, Reduzierung der Speicher- und physischen Übertragungsanforderungen (17.1.53. C.04.)	s3-bucket-server-side-encryption-enabled	Zum Schutz von Daten im Ruhezustand müssen Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Simple Storage Service (Amazon S3)-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-S3-Buckets zu schützen, muss die Verschlüsselung aktiviert sein.
2090	Kryptographie, kryptografische Grundlagen, Informations- und Systemschutz (17.1.55. C.02.)	alb-http-to-https-Weiterleitungsprüfung	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihr Application Load Balancer unverschlüsselte HTTP-Anfragen automatisch an HTTPS umleitet. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
2090	Kryptographie, kryptografische Grundlagen, Informations- und Systemschutz (17.1.55. C.02.)	elb-tls-https-listeners-only	Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
2090	Kryptographie, kryptografische Grundlagen, Informations- und Systemschutz (17.1.55. C.02.)	redshift-require-tls-ssl	Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster für die Verbindung mit SQL-Clients TLS/SSL verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
2598	Kryptografie, Transport Layer Security, Verwendung von TLS (17.4.16. C.01.)	elb-custom-security-policy-ssl-check	Stellen Sie zum Schutz von Daten während der Übertragung sicher, dass Ihre Classic ElasticLoadBalancer SSL-Listener eine benutzerdefinierte Sicherheitsrichtlinie verwenden. Diese Richtlinien können verschiedene hochsichere kryptografische Algorithmen bereitstellen, um eine verschlüsselte Netzwerkkommunikation zwischen Systemen sicherzustellen. Diese Regel erfordert, dass Sie eine benutzerdefinierte Sicherheitsrichtlinie für Ihre SSL-Listener festlegen. Die Sicherheitsrichtlinie lautet: Protocol-TLSv1.2,ECDHE-ECDSA-AES128-GCM-SHA256.
2600	Kryptografie, Transport Layer Security, Verwendung von TLS (17.4.16. C.02.)	elb-custom-security-policy-ssl-check	Stellen Sie zum Schutz von Daten während der Übertragung sicher, dass Ihre Classic ElasticLoadBalancer SSL-Listener eine benutzerdefinierte Sicherheitsrichtlinie verwenden. Diese Richtlinien können verschiedene hochsichere kryptografische Algorithmen bereitstellen, um eine verschlüsselte Netzwerkkommunikation zwischen Systemen sicherzustellen. Diese Regel erfordert, dass Sie eine benutzerdefinierte Sicherheitsrichtlinie für Ihre SSL-Listener festlegen. Die Standard-Sicherheitsrichtlinie lautet: Protocol-TLSv1.2,ECDHE-ECDSA-AES128-GCM-SHA256.
2726	Kryptografie, Secure Shell, Automatisierter Fernzugriff (17.5.8. C.02.)	restricted-ssh	Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu AWS-Ressourcen bereitstellen. Eingehender (oder entfernter) Datenverkehr ab Version 0.0.0 ist nicht zulässig. 0/0 auf Port 22 auf Ihren Ressourcen hilft Ihnen dabei, den Fernzugriff einzuschränken.
3021	Kryptographie, Schlüsselverwaltung, Inhalt von KMPs (17.9.25. C.01.)	cmk-backing-key-rotation-enabled	Amazon Key Management Service (KMS) ermöglicht es Kunden, den Backing-Schlüssel zu rotieren. Dabei handelt es sich um Schlüsselmaterial, das in AWS KMS gespeichert ist und mit der Schlüssel-ID des vom Kunden verwalteten Schlüssels (CMK) verknüpft ist. Der Unterstützungsschlüssel wird zum Durchführen kryptografischer Vorgänge wie z. B. Ver- und Entschlüsselungen verwendet. Die automatische Schlüsselrotation speichert derzeit alle vorherigen Unterstützungsschlüssel, sodass eine transparente Entschlüsselung verschlüsselter Daten erfolgen kann. Das Rotieren der Verschlüsselungsschlüssel trägt zur Verringerung der potenziellen Auswirkungen eines kompromittierten Schlüssels bei, da der Zugriff auf mit einem neuen Schlüssel verschlüsselte Daten mit einem vorherigen Schlüssel, der möglicherweise kompromittiert wurde, nicht möglich ist.
3205	Netzwerksicherheit, Netzwerkmanagement, Beschränkung des Netzwerkzugriffs (18.1.13. C.02.)	vpc-sg-open-only-to-authorized-ports	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass gemeinsame Ports für Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppen eingeschränkt sind. Wenn der Zugriff auf Ports nicht auf vertrauenswürdige Quellen beschränkt wird, kann dies zu Angriffen auf die Verfügbarkeit, Integrität und Vertraulichkeit von Systemen führen. Indem Sie den Zugriff auf Ressourcen innerhalb einer Sicherheitsgruppe aus dem Internet einschränken (0.0.0. 0/0) Der Fernzugriff auf interne Systeme kann gesteuert werden. Die Liste der autorisierten Internet-Ports lautet: nur 443
3449	Produktsicherheit, Patchen und Updates von Produkten, Patchen von Sicherheitslücken in Produkten (12.4.4. C.02.)	ec2-managedinstance-patch-compliance-status-check	Aktivieren Sie die Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob Amazon EC2 EC2-Instance-Patches in AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation patchen.
3449	Produktsicherheit, Patchen und Aktualisieren von Produkten, Patchen von Sicherheitslücken in Produkten (12.4.4. C.02.)	ecr-private-image-scanning-enabled	Dieses Steuerelement prüft, ob für ein privates Amazon Elastic Container Registry (ECR) -Repository das Scannen von Bildern konfiguriert ist. Diese Steuerung schlägt fehl, wenn für ein privates ECR-Repository das Scannen von Bildern nicht konfiguriert ist. Beachten Sie, dass Sie auch Scan on Push für jedes Repository konfigurieren müssen, um diese Kontrolle zu bestehen. Das Scannen von ECR-Images hilft bei der Identifizierung von Softwareschwachstellen in Ihren Container-Images. ECR verwendet die Datenbank Common Vulnerabilities and Exposures (CVEs) aus dem Open-Source-Projekt Clair und bietet eine Liste der Scanergebnisse. Durch die Aktivierung von Image-Scans in ECR-Repositorys werden die Integrität und Sicherheit der gespeicherten Images mit einer zusätzlichen Überprüfungsebene verbessert.
3449	Produktsicherheit, Patches und Updates von Produkten, Patchen von Sicherheitslücken in Produkten (12.4.4. C.02.)	redshift-cluster-maintenancesettings-check	Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Diese Regelsätze erlauben esVersionUpgrade , wahr zu sein.
3451	Produktsicherheit, Patchen und Updates von Produkten, Patchen von Sicherheitslücken in Produkten (12.4.4. C.04.)	ec2-managedinstance-patch-compliance-status-check	Aktivieren Sie die Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob Amazon EC2 EC2-Instance-Patches in AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation patchen.
3452	Produktsicherheit, Patchen und Aktualisieren von Produkten, Patchen von Sicherheitslücken in Produkten (12.4.4. C.05.)	ec2-managedinstance-patch-compliance-status-check	Aktivieren Sie die Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob Amazon EC2 EC2-Instance-Patches in AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation patchen.
3452	Produktsicherheit, Patchen und Aktualisieren von Produkten, Patchen von Sicherheitslücken in Produkten (12.4.4. C.05.)	elastic-beanstalk-managed-updates-enabled	Dieses Steuerelement prüft, ob verwaltete Plattformupdates für die Elastic Beanstalk Beanstalk-Umgebung aktiviert sind. Durch die Aktivierung verwalteter Plattformupdates wird sichergestellt, dass die neuesten verfügbaren Plattformkorrekturen, Updates und Funktionen für die Umgebung installiert werden. Die Aktualisierung der Patch-Installation ist ein wichtiger Schritt zur Sicherung der Systeme.
3452	Produktsicherheit, Patchen und Updates von Produkten, Patchen von Sicherheitslücken in Produkten (12.4.4. C.05.)	rds-automatic-minor-version-upgrade-enabled	Dieses Steuerelement prüft, ob automatische Nebenversions-Upgrades für die Amazon Relational Database Service (RDS) -Datenbank-Instance aktiviert sind. Durch die Aktivierung automatischer Upgrades für Nebenversionen wird sichergestellt, dass die neuesten Updates für die Nebenversionen des relationalen Datenbankmanagementsystems (RDBMS) installiert sind. Diese Upgrades können Sicherheitspatches und Bugfixes beinhalten. Es ist ein wichtiger Schritt zur Sicherung von Systemen, über die Installation von Patches auf dem Laufenden zu bleiben.
3453	Produktsicherheit, Patchen und Updates von Produkten, Patchen von Sicherheitslücken in Produkten (12.4.4. C.06.)	ec2-managedinstance-patch-compliance-status-check	Aktivieren Sie die Regel, um bei der Identifizierung und Dokumentation von Sicherheitslücken in Amazon Elastic Compute Cloud (Amazon EC2) zu helfen. Die Regel prüft, ob Amazon EC2 EC2-Instance-Patches in AWS Systems Manager gemäß den Richtlinien und Verfahren Ihrer Organisation patchen.
3453	Produktsicherheit, Patchen und Aktualisieren von Produkten, Patchen von Sicherheitslücken in Produkten (12.4.4. C.06.)	redshift-cluster-maintenancesettings-check	Diese Regel stellt sicher, dass Amazon-Redshift-Cluster die bevorzugten Einstellungen für Ihre Organisation haben. Insbesondere sorgt sie dafür, dass Cluster bevorzugte Wartungsfenster und automatisierte Aufbewahrungsfristen für Snapshots für die Datenbank haben. Diese Regelsätze erlauben esVersionUpgrade , wahr zu sein.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	cloudfront-associated-with-waf	Dieses Steuerelement prüft, ob CloudFront Distributionen entweder mit AWS WAF- oder AWS WAFv2-Web-ACLs verknüpft sind. Die Kontrolle schlägt fehl, wenn die Verteilung keiner Web-ACL zugeordnet ist. AWS WAF ist eine webbasierte Firewall, die Webanwendungen und APIs vor Angriffen schützt. Sie ermöglicht es ihnen, eine Gruppe von Regeln (eine sogenannte Web-Zugriffskontrollliste oder Web-ACL) zum Zulassen, Blockieren oder Zählen von Webanforderungen basierend auf von Ihnen definierten anpassbaren Web-Sicherheitsregeln und Bedingungen zu konfigurieren. Stellen Sie sicher, dass Ihre CloudFront Distribution mit einer AWS WAF WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. Diese Regel muss in der Region us-east-1 angewendet werden. Bereitstellen mit dem Vorlagenparameter DeployEdgeRules = true.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	dms-replication-not-public	Verwalten Sie den Zugriff auf die AWS-Cloud, indem Sie sicherstellen, dass auf Replikationsinstanzen des AWS Database Migration Service (DMS) nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	ec2-imdsv2-check	Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	ec2-instance-no-public-ip	Verwalten Sie den Zugriff auf die AWS-Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	ec2-instances-in-vpc	Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (Amazon VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS Cloud geschützt. Domains, die sich innerhalb einer VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domains mit öffentlichen Endpunkten über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	elasticsearch-in-vpc-only	Dieses Steuerelement prüft, ob sich Elasticsearch-Domains in einer Virtual Private Cloud (VPC) befinden. Es bewertet nicht die Konfiguration des VPC-Subnetz-Routings, um den öffentlichen Zugriff zu bestimmen. Sie sollten sicherstellen, dass Elasticsearch-Domains nicht an öffentliche Subnetze angehängt sind. Elasticsearch-Domains, die in einer VPC bereitgestellt werden, können mit VPC-Ressourcen über das private AWS-Netzwerk kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration erhöht die Sicherheitslage, indem der Zugriff auf die Daten während der Übertragung eingeschränkt wird. VPCs bieten eine Reihe von Netzwerkkontrollen, um den Zugriff auf Elasticsearch-Domains zu sichern, darunter Netzwerk-ACL und Sicherheitsgruppen
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	emr-master-no-public-ip	Verwalten Sie den Zugriff auf die AWS-Cloud, indem Sie sicherstellen, dass Amazon Elastic MapReduce (EMR) -Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS-Cloud-Umgebung.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	lambda-function-public-access-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass auf die Funktionen von AWS Lambda nicht öffentlich zugegriffen werden kann. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	opensearch-in-vpc-only	Dieses Steuerelement prüft, ob sich OpenSearch Domänen in einer Virtual Private Cloud (VPC) befinden. Es bewertet nicht die Konfiguration des VPC-Subnetz-Routings, um den öffentlichen Zugriff zu bestimmen. Sie sollten sicherstellen, dass OpenSearch Domänen nicht an öffentliche Subnetze angehängt sind. OpenSearch Domänen, die in einer VPC bereitgestellt werden, können über das private AWS-Netzwerk mit VPC-Ressourcen kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration erhöht die Sicherheitslage, indem der Zugriff auf die Daten während der Übertragung eingeschränkt wird. VPCs bieten eine Reihe von Netzwerksteuerungen, um den Zugriff auf OpenSearch Domänen zu sichern, einschließlich Netzwerk-ACL und Sicherheitsgruppen.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	rds-instance-public-access-check	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	redshift-cluster-public-access-check	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	s3-account-level-public-access-blocks-periodic	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Diese Regel legt Ignorieren PublicAcls auf True, Block PublicPolicy auf True, Block PublicAcls auf True und Restrict PublicBuckets auf True fest.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	sagemaker-notebook-no-direct-internet-access	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	vpc-default-security-group-closed	Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu AWS-Ressourcen bereitstellen. Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre AWS-Ressourcen einzuschränken.
3562	Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.)	vpc-flow-logs-enabled	Die Virtual Private Cloud (VPC) -Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
3623	Sicherheit an Gateways, Gateways, entmilitarisierte Zonen (19.1.14. C.02.)	elasticsearch-in-vpc-only	Dieses Steuerelement prüft, ob sich Elasticsearch-Domains in einer Virtual Private Cloud (VPC) befinden. Es bewertet nicht die Konfiguration des VPC-Subnetz-Routings, um den öffentlichen Zugriff zu bestimmen. Sie sollten sicherstellen, dass Elasticsearch-Domains nicht an öffentliche Subnetze angehängt sind. Elasticsearch-Domains, die in einer VPC bereitgestellt werden, können mit VPC-Ressourcen über das private AWS-Netzwerk kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration erhöht die Sicherheitslage, indem der Zugriff auf die Daten während der Übertragung eingeschränkt wird. VPCs bieten eine Reihe von Netzwerkkontrollen, um den Zugriff auf Elasticsearch-Domänen zu sichern, darunter Netzwerk-ACL und Sicherheitsgruppen.
3623	Sicherheit an Gateways, Gateways, entmilitarisierte Zonen (19.1.14. C.02.)	opensearch-in-vpc-only	Dieses Steuerelement prüft, ob sich OpenSearch Domänen in einer Virtual Private Cloud (VPC) befinden. Es bewertet nicht die Konfiguration des VPC-Subnetz-Routings, um den öffentlichen Zugriff zu bestimmen. Sie sollten sicherstellen, dass OpenSearch Domänen nicht an öffentliche Subnetze angehängt sind. OpenSearch Domänen, die in einer VPC bereitgestellt werden, können über das private AWS-Netzwerk mit VPC-Ressourcen kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration erhöht die Sicherheitslage, indem der Zugriff auf die Daten während der Übertragung eingeschränkt wird. VPCs bieten eine Reihe von Netzwerksteuerungen, um den Zugriff auf OpenSearch Domänen zu sichern, einschließlich Netzwerk-ACL und Sicherheitsgruppen.
3623	Sicherheit an Gateways, Gateways, entmilitarisierte Zonen (19.1.14. C.02.)	rds-instance-public-access-check	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
3623	Sicherheit an Gateways, Gateways, entmilitarisierte Zonen (19.1.14. C.02.)	redshift-cluster-public-access-check	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
3815	Netzwerksicherheit, Erkennung und Verhinderung von Eindringlingen, IDS/IPS Wartung (18.4.9. C.01.)	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS-Cloud-Umgebung.
3857	Netzwerksicherheit, Erkennung und Verhinderung von Eindringlingen, Konfiguration des IDS/IPS (18.4.11. C.01.)	guardduty-eks-protection-audit-aktiviert	Dieses Steuerelement prüft, ob GuardDuty EKS Audit Log Monitoring aktiviert ist. GuardDuty EKS Audit Log Monitoring hilft Ihnen dabei, potenziell verdächtige Aktivitäten in Ihren Amazon Elastic Kubernetes Service (Amazon EKS) -Clustern zu erkennen. EKS Audit Log Monitoring verwendet Kubernetes-Prüfungsprotokolle, um chronologische Aktivitäten von Benutzern, Anwendungen, die die Kubernetes-API verwenden und der Steuerebene zu erfassen.
3857	Netzwerksicherheit, Erkennung und Verhinderung von Eindringlingen, Konfiguration des IDS/IPS (18.4.11. C.01.)	GuardDuty-EKS-Protection-Laufzeitaktiviert	Dieses Steuerelement prüft, ob GuardDuty EKS Runtime Monitoring mit automatisierter Agentenverwaltung aktiviert ist. EKS Protection in Amazon GuardDuty bietet Schutz vor Bedrohungserkennung, um Sie beim Schutz von Amazon EKS-Clustern in Ihrer AWS-Umgebung zu unterstützen. EKS Runtime Monitoring verwendet Ereignisse auf Betriebssystemebene, um Ihnen zu helfen, potenzielle Bedrohungen in EKS-Knoten und Containern innerhalb Ihrer EKS-Cluster zu erkennen.
3857	Netzwerksicherheit, Erkennung und Verhinderung von Eindringlingen, Konfiguration des IDS/IPS (18.4.11. C.01.)	GuardDuty-Lambda-Schutz aktiviert	Dieses Steuerelement prüft, ob GuardDuty Lambda Protection aktiviert ist. GuardDuty Lambda Protection hilft Ihnen dabei, potenzielle Sicherheitsbedrohungen zu identifizieren, wenn eine AWS Lambda Lambda-Funktion aufgerufen wird. Nachdem Sie Lambda Protection aktiviert haben, GuardDuty beginnt die Überwachung der Lambda-Netzwerkaktivitätsprotokolle, die mit den Lambda-Funktionen in Ihrem AWS-Konto verknüpft sind. Wenn eine Lambda-Funktion aufgerufen wird und verdächtigen Netzwerkverkehr GuardDuty identifiziert, der auf das Vorhandensein eines potenziell bösartigen Codes in Ihrer Lambda-Funktion hinweist, GuardDuty wird ein Befund generiert.
3857	Netzwerksicherheit, Erkennung und Verhinderung von Eindringlingen, Konfiguration des IDS/IPS (18.4.11. C.01.)	GuardDuty-S3-Schutz aktiviert	Dieses Steuerelement prüft, ob GuardDuty S3 Protection aktiviert ist. S3 Protection ermöglicht GuardDuty die Überwachung von API-Vorgängen auf Objektebene, um potenzielle Sicherheitsrisiken für Daten in Ihren Amazon S3 S3-Buckets zu identifizieren. GuardDuty überwacht Bedrohungen für Ihre S3-Ressourcen, indem es CloudTrail AWS-Managementereignisse und CloudTrail S3-Datenereignisse analysiert.
3875	Netzwerksicherheit, Erkennung und Verhinderung von Eindringlingen, Ereignismanagement und Korrelation (18.4.12. C.01.)	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS-Cloud-Umgebung.
3875	Netzwerksicherheit, Erkennung und Verhinderung von Eindringlingen, Ereignismanagement und Korrelation (18.4.12. C.01.)	securityhub-enabled	AWS Security Hub hilft bei der Überwachung von nicht autorisiertem Personal, Verbindungen, Geräten und Software. AWS Security Hub aggregiert, organisiert und priorisiert die Sicherheitswarnungen oder Ergebnisse mehrerer AWS-Services. Einige dieser Dienste sind Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer und AWS Firewall Manager sowie AWS-Partnerlösungen.
4441	Datenmanagement, Datenbanken, Datenbankdateien (20.4.4. C.02.)	elasticsearch-encrypted-at-rest	Dieses Steuerelement prüft, ob für Elasticsearch-Domains die Konfiguration „Verschlüsselung im Ruhezustand“ aktiviert ist. Die Prüfung schlägt fehl, wenn die Verschlüsselung im Ruhezustand nicht aktiviert ist. Für eine zusätzliche Sicherheitsebene für sensible Daten sollten Sie Ihre Elasticsearch Service-Domain so konfigurieren, dass sie im Ruhezustand verschlüsselt wird. Wenn Sie die Verschlüsselung von Daten im Ruhezustand konfigurieren, speichert und verwaltet Amazon Key Management Service (KMS) Ihre Verschlüsselungsschlüssel. Für die Verschlüsselung verwendet AWS KMS den Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln ()AES-256.
4441	Datenmanagement, Datenbanken, Datenbankdateien (20.4.4. C.02.)	opensearch-encrypted-at-rest	Dieses Steuerelement prüft, ob für OpenSearch Domänen die Konfiguration „Verschlüsselung im Ruhezustand“ aktiviert ist. Die Prüfung schlägt fehl, wenn die Verschlüsselung im Ruhezustand nicht aktiviert ist. Für eine zusätzliche Sicherheitsebene für vertrauliche Daten sollten Sie Ihre OpenSearch Service-Domain so konfigurieren, dass sie im Ruhezustand verschlüsselt wird. Wenn Sie die Verschlüsselung von Daten im Ruhezustand konfigurieren, speichert und verwaltet Amazon Key Management Service (KMS) Ihre Verschlüsselungsschlüssel. Für die Verschlüsselung verwendet AWS KMS den Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln ()AES-256.
4441	Datenmanagement, Datenbanken, Datenbankdateien (20.4.4. C.02.)	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (RDS) aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
4441	Datenmanagement, Datenbanken, Datenbankdateien (20.4.4. C.02.)	rds-snapshot-encrypted	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (RDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
4441	Datenmanagement, Datenbanken, Datenbankdateien (20.4.4. C.02.)	rds-snapshots-public-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
4441	Datenmanagement, Datenbanken, Datenbankdateien (20.4.4. C.02.)	rds-storage-encrypted	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (RDS) -Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
4441	Datenmanagement, Datenbanken, Datenbankdateien (20.4.4. C.02.)	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel setzt cluster DbEncrypted auf true und loggingEnabled auf true.
4445	Datenmanagement, Datenbanken, Rechenschaftspflicht (20.4.5. C.02.)	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (RDS) aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
4445	Datenmanagement, Datenbanken, Rechenschaftspflicht (20.4.5. C.02.)	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel setzt cluster DbEncrypted auf true und loggingEnabled auf true.
4829	Sicherheit von Unternehmenssystemen, Cloud Computing, Systemverfügbarkeit (22.1.23. C.01.)	dynamodb-autoscaling-enabled	Amazon DynamoDB Auto Scaling verwendet den AWS Application Auto Scaling-Service, um die bereitgestellte Durchsatzkapazität so anzupassen, dass sie automatisch auf tatsächliche Verkehrsmuster reagiert. Auf diese Weise kann eine Tabelle oder ein globaler sekundärer Index die bereitgestellte read/write Kapazität erhöhen, um plötzlichen Anstieg des Datenverkehrs ohne Drosselung zu bewältigen.
4829	Sicherheit von Unternehmenssystemen, Cloud Computing, Systemverfügbarkeit (22.1.23. C.01.)	elb-cross-zone-load-balancing-enabled	Ermöglichen Sie zonenübergreifendes Load Balancing für Ihre Elastic Load Balancers (ELBs), um eine angemessene Kapazität und Verfügbarkeit aufrechtzuerhalten. Der zonenübergreifende Lastenausgleich reduziert die Notwendigkeit, eine äquivalente Anzahl von Instanzen in jeder aktivierten Availability Zone aufrechtzuerhalten. Es verbessert auch die Fähigkeit Ihrer Anwendung, den Verlust einer oder mehrerer Instances zu bewältigen.
4838	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.03.)	cloudtrail-s3-dataevents-enabled	Die Erfassung von Simple Storage Service (Amazon S3)-Datenereignissen unterstützt die Erkennung von ungewöhnlichen Aktivitäten. Zu den Details gehören AWS-Kontoinformationen, die auf einen Amazon S3 S3-Bucket zugegriffen haben, die IP-Adresse und die Uhrzeit des Ereignisses.
4838	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.03.)	ebs-snapshot-public-restorable-check	Verwalten Sie den Zugriff auf die AWS-Cloud, indem Sie sicherstellen, dass Amazon Elastic Block Store (EBS) -Snapshots nicht öffentlich wiederherstellbar sind. EBS-Volume-Snapshots können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
4838	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.03.)	s3-account-level-public-access-blocks-periodic	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Diese Regel legt Ignorieren PublicAcls auf True, Block PublicPolicy auf True, Block PublicAcls auf True und Restrict PublicBuckets auf True fest.
4838	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.03.)	s3-bucket-public-read-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
4838	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.03.)	s3-bucket-public-write-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie nur autorisierten Benutzern, Prozessen und Geräten Zugriff auf Amazon Simple Storage Service (Amazon S3) -Buckets gewähren. Die Verwaltung des Zugriffs sollte mit der Klassifizierung der Daten übereinstimmen.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	dynamodb-table-encrypted-kms	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon-DynamoDB-Tabellen aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in diesen Tabellen zu schützen, müssen Sie die Verschlüsselung von Daten im Ruhezustand aktivieren. Standardmäßig werden DynamoDB-Tabellen mit einem AWS-eigenen Key Management Service (KMS) -Schlüssel verschlüsselt.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	efs-encrypted-check	Aktivieren Sie die Verschlüsselung für Ihr Amazon Elastic File System (EFS), um eventuell vorhandene sensible Daten sowie Daten im Ruhezustand zu schützen.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	elasticsearch-encrypted-at-rest	Dieses Steuerelement prüft, ob für Elasticsearch-Domains die Konfiguration „Verschlüsselung im Ruhezustand“ aktiviert ist. Die Prüfung schlägt fehl, wenn die Verschlüsselung im Ruhezustand nicht aktiviert ist. Für eine zusätzliche Sicherheitsebene für sensible Daten sollten Sie Ihre Elasticsearch Service-Domain so konfigurieren, dass sie im Ruhezustand verschlüsselt wird. Wenn Sie die Verschlüsselung von Daten im Ruhezustand konfigurieren, speichert und verwaltet Amazon Key Management Service (KMS) Ihre Verschlüsselungsschlüssel. Für die Verschlüsselung verwendet AWS KMS den Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln ()AES-256.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	elasticsearch-node-to-node-encryption-check	Dieses Steuerelement prüft, ob für Elasticsearch-Domains die Verschlüsselung von Knoten zu Knoten aktiviert ist. Diese Kontrolle schlägt fehl, wenn die Knoten-zu-Knoten-Verschlüsselung in der Domain deaktiviert ist. HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer den Netzwerkverkehr mit Person-in-the-Middle- oder ähnlichen Angriffen abhören oder manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Durch die Aktivierung der Knoten-zu-Knoten-Verschlüsselung für Elasticsearch-Domains wird sichergestellt, dass die Kommunikation innerhalb des Clusters während der Übertragung verschlüsselt wird.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	elb-tls-https-listeners-only	Stellen Sie sicher, dass Ihre Elastic Load Balancers (ELBs) mit SSL- oder HTTPS-Listenern konfiguriert sind. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	encrypted-volumes	Da sensible Daten existieren können und um Daten im Ruhezustand zu schützen, sollten Sie sicherstellen, dass die Verschlüsselung für Ihre Amazon Elastic Block Store (EBS) -Volumes aktiviert ist.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	opensearch-encrypted-at-rest	Dieses Steuerelement prüft, ob für OpenSearch Domänen die Konfiguration „Verschlüsselung im Ruhezustand“ aktiviert ist. Die Prüfung schlägt fehl, wenn die Verschlüsselung im Ruhezustand nicht aktiviert ist. Für eine zusätzliche Sicherheitsebene für vertrauliche Daten sollten Sie Ihre OpenSearch Service-Domain so konfigurieren, dass sie im Ruhezustand verschlüsselt wird. Wenn Sie die Verschlüsselung von Daten im Ruhezustand konfigurieren, speichert und verwaltet Amazon Key Management Service (KMS) Ihre Verschlüsselungsschlüssel. Für die Verschlüsselung verwendet AWS KMS den Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln ()AES-256.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	opensearch-node-to-node-encryption-check	Dieses Steuerelement prüft, ob in OpenSearch Domänen die Verschlüsselung von Knoten zu Knoten aktiviert ist. Diese Steuerung schlägt fehl, wenn die Knoten-zu-Knoten-Verschlüsselung in der Domäne deaktiviert ist. HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer den Netzwerkverkehr mit Person-in-the-Middle- oder ähnlichen Angriffen abhören oder manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Durch die Aktivierung der Knoten-zu-Knoten-Verschlüsselung für OpenSearch Domänen wird sichergestellt, dass die Kommunikation innerhalb des Clusters während der Übertragung verschlüsselt wird.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	rds-snapshot-encrypted	Stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (RDS) -Snapshots aktiviert ist. Da sensible Daten auch im Ruhezustand vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	rds-storage-encrypted	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon Relational Database Service (RDS) -Instances aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in Amazon-RDS-Instances zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	redshift-cluster-configuration-check	Um Daten im Ruhezustand zu schützen, muss die Verschlüsselung für Ihre Amazon-Redshift-Cluster aktiviert sein. Sie müssen auch sicherstellen, dass die erforderlichen Konfigurationen auf Amazon-Redshift-Clustern bereitgestellt werden. Die Prüfungsprotokollierung muss aktiviert sein, um Informationen zu Verbindungen und Benutzeraktivitäten in der Datenbank bereitzustellen. Diese Regel setzt cluster DbEncrypted auf true und loggingEnabled auf true.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	redshift-require-tls-ssl	Stellen Sie sicher, dass Ihre Amazon Redshift Redshift-Cluster für die Verbindung mit SQL-Clients TLS/SSL verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten zu schützen, sollten Sie die Verschlüsselung bei der Übertragung aktivieren.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	s3-bucket-ssl-requests-only	Um Daten während der Übertragung zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Storage Service (Amazon S3)-Buckets Anfragen zur Verwendung von Secure Socket Layer (SSL)-Buckets erfordern. Da sensible Daten vorhanden sein können, sollten Sie die Verschlüsselung bei der Übertragung aktivieren, um diese Daten zu schützen.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	sagemaker-endpoint-configuration-kms-key-configured	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (KMS) für Ihren SageMaker Endpunkt aktiviert ist. Da sensible Daten auf dem SageMaker Endgerät gespeichert werden können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	sagemaker-notebook-instance-kms-key-configured	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (KMS) für Ihr SageMaker Notebook aktiviert ist. Da sensible Daten auch im Ruhezustand des SageMaker Notebooks vorhanden sein können, sollten Sie die Verschlüsselung im Ruhezustand aktivieren, um diese Daten zu schützen.
4839	Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.)	secretsmanager-using-cmk	Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung mit dem AWS Key Management Service (KMS) für AWS Secrets Manager aktiviert ist. Aktivieren Sie die Verschlüsselung von Daten im Ruhezustand, um eventuell vorhandene sensible Daten im Ruhezustand im Secrets Manager zu schützen.
4849	Sicherheit von Unternehmenssystemen, Cloud Computing, Backup, Recovery, Archivierung und Datenremanenz (22.1.26. C.01.)	db-instance-backup-enabled	Die Backup-Funktion von Amazon Relational Database Service (RDS) erstellt Backups Ihrer Datenbanken und Transaktionsprotokolle. Amazon RDS erstellt einen Snapshot für das Speichervolume Ihrer DB-Instance, sodass die gesamte DB-Instance gesichert wird. Sie können im System spezifische Aufbewahrungsfristen festlegen, um Ihre Ausfallsicherheitsanforderungen zu erfüllen.
4849	Sicherheit von Unternehmenssystemen, Cloud Computing, Backup, Recovery, Archivierung und Datenremanenz (22.1.26. C.01.)	dynamodb-pitr-enabled	Aktivieren Sie diese Regel, um zu überprüfen, ob die Informationen gesichert wurden. Sie verwaltet auch die Datensicherungen, indem sichergestellt wird, dass die zeitpunktbezogene Wiederherstellung in Amazon DynamoDB aktiviert ist. Bei der Wiederherstellung werden fortlaufende Backups Ihrer Tabelle für die letzten 35 Tage gespeichert.
4849	Sicherheit von Unternehmenssystemen, Cloud Computing, Backup, Recovery, Archivierung und Datenremanenz (22.1.26. C.01.)	elasticache-redis-cluster-automatic-backup-check	Wenn automatische Backups aktiviert sind, ElastiCache erstellt Amazon täglich ein Backup des Clusters. Die Sicherung kann für eine von Ihrer Organisation festgelegte Anzahl von Tagen aufbewahrt werden. Automatische Backups schützen vor Datenverlust. Bei einem Ausfall können Sie einen neuen Cluster erstellen, der Ihre Daten aus dem aktuellen Backup wiederherstellt.
4849	Sicherheit von Unternehmenssystemen, Cloud Computing, Backup, Recovery, Archivierung und Datenremanenz (22.1.26. C.01.)	rds-cluster-deletion-protection-enabled	Stellen Sie sicher, dass für Amazon Relational Database Service (RDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
4849	Sicherheit von Unternehmenssystemen, Cloud Computing, Backup, Recovery, Archivierung und Datenremanenz (22.1.26. C.01.)	rds-instance-deletion-protection-enabled	Stellen Sie sicher, dass für Amazon Relational Database Service (RDS) -Instances der Löschschutz aktiviert ist. Verwenden Sie den Löschschutz, um zu verhindern, dass Ihre Amazon-RDS-Instances versehentlich oder böswillig gelöscht werden, was zum Verlust der Verfügbarkeit Ihrer Anwendungen führen kann.
4849	Sicherheit von Unternehmenssystemen, Cloud Computing, Backup, Recovery, Archivierung und Datenremanenz (22.1.26. C.01.)	redshift-backup-enabled	Stellen Sie zur Unterstützung der Datensicherungsprozesse sicher, dass Ihre Amazon-Redshift-Cluster über automatisierte Snapshots verfügen. Wenn automatisierte Snapshots für einen Cluster aktiviert sind, erstellt Redshift in regelmäßigen Abständen Snapshots dieses Clusters. Standardmäßig erzeugt Redshift ungefähr alle acht Stunden oder nach 5 GB geänderten Daten pro Knoten einen Snapshot, je nachdem, was zuerst auftritt.
6843	Zugriffskontrolle und Passwörter, Privileged Access Management, Das Prinzip der geringsten Rechte (16.4.31. C.02.)	mfa-enabled-for-iam-console-access	Multi-factor Die Authentifizierung (MFA) bietet zusätzliche Sicherheit, da Benutzer zusätzlich zu ihren regulären Anmeldeinformationen eine eindeutige Authentifizierung über einen AWS-supported MFA-Mechanismus angeben müssen, wenn sie auf AWS-Websites oder -Services zugreifen. Zu den unterstützten Mechanismen gehören U2F-Sicherheitsschlüssel, virtuelle oder Hardware-MFA-Geräte und Codes. SMS-based Diese Regel prüft, ob AWS MFA für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert ist, die ein Konsolenpasswort verwenden. Die Regel ist konform, wenn MFA aktiviert ist.
6843	Zugriffskontrolle und Passwörter, Privileged Access Management, Das Prinzip der geringsten Rechte (16.4.31. C.02.)	root-account-hardware-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass die Hardware-Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS-Konto. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter AWS-Konten reduzieren.
6852	Zugriffskontrolle und Passwörter, Verwaltung privilegierter Zugriffe, Sperrung und Widerruf von Zugangsdaten (16.4.33. C.01.)	iam-user-unused-credentials-check	AWS Identity and Access Management (IAM) kann Ihnen bei Zugriffsberechtigungen und Autorisierungen helfen, indem es nach IAM-Passwörtern und Zugriffsschlüsseln sucht, die für einen bestimmten Zeitraum nicht verwendet wurden. Wenn diese ungenutzten Anmeldeinformationen identifiziert werden, sollten Sie das and/or Entfernen der Anmeldeinformationen deaktivieren, da dies gegen das Prinzip der geringsten Rechte verstoßen könnte. Diese Regel legt maximal CredentialUsageAge 30 Tage fest.
6860	Zugriffskontrolle und Passwörter, Verwaltung, Überwachung und Überprüfung privilegierter Zugriffe (16.4.35. C.02.)	cloud-trail-cloud-watch-logs-enabled	Sie sollten CloudTrail mit CloudWatch Logs konfigurieren, um Ihre Trail-Logs zu überwachen und bei bestimmten Aktivitäten benachrichtigt zu werden. Diese Regel prüft, ob CloudTrail AWS-Trails so konfiguriert sind, dass sie Logs an CloudWatch Amazon-Logs senden.
6860	Zugriffskontrolle und Passwörter, Verwaltung, Überwachung und Überprüfung privilegierter Zugriffe (16.4.35. C.02.)	cloudtrail-enabled	AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es Aktionen und API-Aufrufe der AWS-Managementkonsole aufzeichnet. Sie können die Benutzer und AWS-Konten, die einen AWS-Service aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe identifizieren. Einzelheiten der erfassten Daten werden in den CloudTrail AWS-Datensatzinhalten angezeigt.
6861	Zugriffskontrolle und Passwörter, Verwaltung, Überwachung und Überprüfung privilegierter Zugriffe (16.4.35. C.03.)	cloudtrail-security-trail-enabled	Diese Regel trägt dazu bei, die Verwendung der von AWS empfohlenen bewährten Sicherheitsmethoden für AWS sicherzustellen CloudTrail, indem geprüft wird, ob mehrere Einstellungen aktiviert sind. Dazu gehören die Verwendung von Protokollverschlüsselung, Protokollvalidierung und die Aktivierung von AWS CloudTrail in mehreren Regionen.
6953	Zugriffskontrolle und Passwörter, Multi-Factor Authentifizierung, Systemarchitektur und Sicherheitskontrollen (16.7.34. C.02.)	mfa-enabled-for-iam-console-access	Multi-factor Die Authentifizierung (MFA) bietet zusätzliche Sicherheit, da Benutzer zusätzlich zu ihren regulären Anmeldeinformationen eine eindeutige Authentifizierung über einen AWS-supported MFA-Mechanismus angeben müssen, wenn sie auf AWS-Websites oder -Services zugreifen. Zu den unterstützten Mechanismen gehören U2F-Sicherheitsschlüssel, virtuelle oder Hardware-MFA-Geräte und Codes. SMS-based Diese Regel prüft, ob AWS MFA für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert ist, die ein Konsolenpasswort verwenden. Die Regel ist konform, wenn MFA aktiviert ist.
6953	Zugriffskontrolle und Passwörter, Multi-Factor Authentifizierung, Systemarchitektur und Sicherheitskontrollen (16.7.34. C.02.)	root-account-hardware-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass die Hardware-Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS-Konto. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter AWS-Konten reduzieren.
7436	Sicherheit in öffentlichen Clouds, Identitätsmanagement und Zugriffskontrolle, Benutzername und Passwörter (23.3.19. C.01.)	iam-user-mfa-enabled	Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS-Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für IAM-Benutzer vorschreiben.
7436	Sicherheit in öffentlichen Clouds, Identitätsmanagement und Zugriffskontrolle, Benutzername und Passwörter (23.3.19. C.01.)	mfa-enabled-for-iam-console-access	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert ist, die über ein Konsolenpasswort verfügen. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für IAM-Benutzer vorschreiben, können Sie Vorfälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
7436	Sicherheit in öffentlichen Clouds, Identitätsmanagement und Zugriffskontrolle, Benutzername und Passwörter (23.3.19. C.01.)	root-account-hardware-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass die Hardware-Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS-Konto. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter AWS-Konten reduzieren.
7436	Sicherheit in öffentlichen Clouds, Identitätsmanagement und Zugriffskontrolle, Benutzername und Passwörter (23.3.19. C.01.)	root-account-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS-Konto. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter AWS-Konten reduzieren.
7437	Sicherheit in öffentlichen Clouds, Identitätsmanagement und Zugriffskontrolle, Benutzername und Passwörter (23.3.19. C.01.)	iam-user-mfa-enabled	Aktivieren Sie diese Regel, um den Zugriff auf Ressourcen in der AWS-Cloud einzuschränken. Diese Regel stellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für alle IAM-Benutzer aktiviert ist. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Reduzieren Sie Fälle von kompromittierten Konten, indem Sie MFA für IAM-Benutzer vorschreiben.
7437	Sicherheit in öffentlichen Clouds, Identitätsmanagement und Zugriffskontrolle, Benutzername und Passwörter (23.3.19. C.01.)	mfa-enabled-for-iam-console-access	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer von AWS Identity and Access Management (IAM) aktiviert ist, die über ein Konsolenpasswort verfügen. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für IAM-Benutzer vorschreiben, können Sie Vorfälle kompromittierter Konten reduzieren und verhindern, dass unbefugte Benutzer auf vertrauliche Daten zugreifen.
7437	Sicherheit in öffentlichen Clouds, Identitätsmanagement und Zugriffskontrolle, Benutzername und Passwörter (23.3.19. C.01.)	root-account-hardware-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass die Hardware-Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS-Konto. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter AWS-Konten reduzieren.
7437	Sicherheit in öffentlichen Clouds, Identitätsmanagement und Zugriffskontrolle, Benutzername und Passwörter (23.3.19. C.01.)	root-account-mfa-enabled	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer aktiviert ist. Der Root-Benutzer ist der Benutzer mit den meisten Rechten in einem AWS-Konto. MFA bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Indem Sie MFA für den Root-Benutzer vorschreiben, können Sie die Anzahl kompromittierter AWS-Konten reduzieren.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	dms-replication-not-public	Verwalten Sie den Zugriff auf die AWS-Cloud, indem Sie sicherstellen, dass auf Replikationsinstanzen des AWS Database Migration Service (DMS) nicht öffentlich zugegriffen werden kann. DMS-Replikations-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	ec2-imdsv2-check	Stellen Sie sicher, dass die Instance Metadata Service Version 2 (IMDSv2)-Methode aktiviert ist, um den Zugriff auf Metadaten von Amazon Elastic Compute Cloud (Amazon EC2)-Instances zu schützen und sie zu kontrollieren. Die IMDSv2-Methode verwendet sitzungsbasierte Kontrollen. Mit IMDSv2 können Kontrollen implementiert werden, um Änderungen an Instance-Metadaten einzuschränken.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	ec2-instance-no-public-ip	Verwalten Sie den Zugriff auf die AWS-Cloud, indem Sie sicherstellen, dass Amazon Elastic Compute Cloud (Amazon EC2) -Instances nicht öffentlich zugänglich sind. Amazon-EC2-Instances können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	ec2-instances-in-vpc	Stellen Sie Amazon Elastic Compute Cloud (Amazon EC2) -Instances innerhalb einer Amazon Virtual Private Cloud (VPC) bereit, um eine sichere Kommunikation zwischen einer Instance und anderen Services innerhalb der Amazon VPC zu ermöglichen, ohne dass ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung erforderlich ist. Der gesamte Datenverkehr bleibt in der AWS Cloud geschützt. Domänen, die sich innerhalb einer Amazon VPC befinden, verfügen aufgrund ihrer logischen Isolierung im Vergleich zu Domänen, die öffentliche Endpunkte nutzen, über eine zusätzliche Sicherheitsebene. Weisen Sie Amazon-EC2-Instances einer Amazon VPC zu, um den Zugriff ordnungsgemäß zu verwalten.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	elasticsearch-in-vpc-only	Dieses Steuerelement prüft, ob sich Elasticsearch-Domains in einer Virtual Private Cloud (VPC) befinden. Es bewertet nicht die Konfiguration des VPC-Subnetz-Routings, um den öffentlichen Zugriff zu bestimmen. Sie sollten sicherstellen, dass Elasticsearch-Domains nicht an öffentliche Subnetze angehängt sind. Elasticsearch-Domains, die in einer VPC bereitgestellt werden, können mit VPC-Ressourcen über das private AWS-Netzwerk kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration erhöht die Sicherheitslage, indem der Zugriff auf die Daten während der Übertragung eingeschränkt wird. VPCs bieten eine Reihe von Netzwerkkontrollen, um den Zugriff auf Elasticsearch-Domains zu sichern, darunter Netzwerk-ACL und Sicherheitsgruppen
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	emr-master-no-public-ip	Verwalten Sie den Zugriff auf die AWS-Cloud, indem Sie sicherstellen, dass Amazon Elastic MapReduce (EMR) -Cluster-Masterknoten nicht öffentlich zugänglich sind. Amazon-EMR-Cluster-Hauptknoten können vertrauliche Informationen enthalten und für solche Konten ist eine Zugriffskontrolle erforderlich.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	guardduty-enabled-centralized	Amazon GuardDuty kann mithilfe von Threat Intelligence Feeds helfen, potenzielle Cybersicherheitsereignisse zu überwachen und zu erkennen. Dazu gehören Listen bösartiger IP-Adressen und maschinelles Lernen zur Identifizierung unerwarteter, nicht autorisierter und bösartiger Aktivitäten in Ihrer AWS-Cloud-Umgebung.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	lambda-function-public-access-prohibited	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass auf die Funktionen von AWS Lambda nicht öffentlich zugegriffen werden kann. Der öffentliche Zugriff kann möglicherweise die Verfügbarkeit von Ressourcen beeinträchtigen.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	opensearch-in-vpc-only	Dieses Steuerelement prüft, ob sich OpenSearch Domänen in einer Virtual Private Cloud (VPC) befinden. Es bewertet nicht die Konfiguration des VPC-Subnetz-Routings, um den öffentlichen Zugriff zu bestimmen. Sie sollten sicherstellen, dass OpenSearch Domänen nicht an öffentliche Subnetze angehängt sind. OpenSearch Domänen, die in einer VPC bereitgestellt werden, können über das private AWS-Netzwerk mit VPC-Ressourcen kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration erhöht die Sicherheitslage, indem der Zugriff auf die Daten während der Übertragung eingeschränkt wird. VPCs bieten eine Reihe von Netzwerksteuerungen, um den Zugriff auf OpenSearch Domänen zu sichern, einschließlich Netzwerk-ACL und Sicherheitsgruppen.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	rds-instance-public-access-check	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass Amazon Relational Database Service (RDS) -Instances nicht öffentlich sind. Amazon-RDS-Datenbank-Instances können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	redshift-cluster-public-access-check	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass Amazon Redshift Redshift-Cluster nicht öffentlich sind. Amazon-Redshift-Cluster können vertrauliche Informationen enthalten und für solche Konten sind Prinzipien und Zugriffskontrollen erforderlich.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	s3-account-level-public-access-blocks-periodic	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass Amazon Simple Storage Service (Amazon S3) -Buckets nicht öffentlich zugänglich sind. Diese Regel trägt dazu bei, sensible Daten vor unbefugten Remote-Benutzern zu schützen, indem sie den öffentlichen Zugriff verhindert. Diese Regel legt Ignorieren PublicAcls auf True, Block PublicPolicy auf True, Block PublicAcls auf True und Restrict PublicBuckets auf True fest.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	sagemaker-notebook-no-direct-internet-access	Verwalten Sie den Zugriff auf Ressourcen in der AWS-Cloud, indem Sie sicherstellen, dass SageMaker Amazon-Notebooks keinen direkten Internetzugang zulassen. Indem Sie direkten Internetzugang blockieren, vermeiden Sie, dass unbefugte Benutzer auf sensible Daten zugreifen.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	ssm-document-not-public	Stellen Sie sicher, dass AWS Systems Manager (SSM) -Dokumente nicht öffentlich sind, da dies einen unbeabsichtigten Zugriff auf Ihre SSM-Dokumente ermöglichen kann. Ein öffentliches SSM-Dokument kann Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	vpc-default-security-group-closed	Sicherheitsgruppen von Amazon Elastic Compute Cloud (Amazon EC2) können bei der Verwaltung des Netzwerkzugriffs helfen, indem sie eine statusbehaftete Filterung von eingehendem und ausgehendem Netzwerkverkehr zu AWS-Ressourcen bereitstellen. Die Beschränkung des gesamten Datenverkehrs in der Standardsicherheitsgruppe hilft dabei, den Fernzugriff auf Ihre AWS-Ressourcen einzuschränken.
7466	Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.)	vpc-flow-logs-enabled	Die Virtual Private Cloud (VPC) -Flow-Logs enthalten detaillierte Aufzeichnungen mit Informationen über den IP-Verkehr, der zu und von Netzwerkschnittstellen in Ihrer Amazon Virtual Private Cloud (Amazon VPC) fließt. Standardmäßig enthalten Flow-Protokolldatensätze Werte für die verschiedenen Komponenten des IP-Flows, einschließlich Quelle, Ziel und Protokoll.
7496	Public Cloud-Sicherheit, Protokollierung und Warnmeldungen in der Public Cloud, Protokollierungsanforderungen (23.5.11. C.01.)	api-gw-execution-logging-enabled	Die API-Gateway-Protokollierung zeigt detaillierte Ansichten der Benutzer, die auf die API zugegriffen haben, und wie diese Benutzer auf die API zugegriffen haben. Diese Insights ermöglichen die Einsicht in Benutzeraktivitäten.
7496	Public Cloud-Sicherheit, Protokollierung und Warnmeldungen in der Public Cloud, Protokollierungsanforderungen (23.5.11. C.01.)	cloud-trail-log-file-validation-enabled	Verwenden Sie die CloudTrail AWS-Protokolldateivalidierung, um die Integrität von CloudTrail Protokollen zu überprüfen. Mithilfe der Protokolldateivalidierung kann festgestellt werden, ob eine Protokolldatei geändert oder gelöscht wurde oder ob sie nach der CloudTrail Lieferung unverändert geblieben ist. Diese Funktion basiert auf Industriestandardalgorithmen: SHA-256 für Hashing und SHA-256 mit RSA für digitale Signaturen. Dadurch ist es rechnerisch unmöglich, Protokolldateien unbemerkt zu ändern, zu löschen oder zu fälschen CloudTrail .
7496	Public Cloud-Sicherheit, Protokollierung und Warnmeldungen in der Public Cloud, Protokollierungsanforderungen (23.5.11. C.01.)	cloudfront-accesslogs-enabled	Dieses Steuerelement prüft, ob die Serverzugriffsprotokollierung auf CloudFront Distributionen aktiviert ist. Die Steuerung schlägt fehl, wenn die Zugriffsprotokollierung für eine Verteilung nicht aktiviert ist. CloudFront Zugriffsprotokolle enthalten detaillierte Informationen zu jeder eingehenden CloudFront Benutzeranfrage. Jedes Protokoll enthält Informationen wie Datum und Uhrzeit des Eingangs der Anfrage, die IP-Adresse des Betrachters, der die Anfrage gestellt hat, die Quelle der Anfrage und die Portnummer der Anfrage vom Betrachter. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Diese Regel muss in der Region us-east-1 angewendet werden.
7496	Public Cloud-Sicherheit, Protokollierung und Warnmeldungen in der Public Cloud, Protokollierungsanforderungen (23.5.11. C.01.)	cloudtrail-enabled	AWS CloudTrail kann bei der Nichtabstreitbarkeit helfen, indem es Aktionen und API-Aufrufe der AWS-Managementkonsole aufzeichnet. Sie können die Benutzer und AWS-Konten, die einen AWS-Service aufgerufen haben, die Quell-IP-Adresse, über die die Anrufe generiert wurden, und die Zeiten der Anrufe identifizieren. Einzelheiten der erfassten Daten werden in den CloudTrail AWS-Datensatzinhalten angezeigt.
7496	Public Cloud-Sicherheit, Protokollierung und Warnmeldungen in der Public Cloud, Protokollierungsanforderungen (23.5.11. C.01.)	cloudwatch-log-group-encrypted	Um sensible Daten im Speicher zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre Amazon CloudWatch Log Groups aktiviert ist.
7496	Public Cloud-Sicherheit, Protokollierung und Warnmeldungen in der Public Cloud, Protokollierungsanforderungen (23.5.11. C.01.)	elb-logging-enabled	Die Elastic-Load-Balancing-Aktivität ist ein zentraler Kommunikationspunkt innerhalb einer Umgebung. Stellen Sie sicher, dass die ELB-Protokollierung aktiviert ist. Die gesammelten Daten enthalten detaillierte Informationen zu Anfragen, die an den ELB gesendet wurden. Jedes Protokoll enthält Informationen wie die Zeit, zu der die Anforderung einging, die Client-IP-Adresse, Latenzen, Anforderungspfade und Serverantworten.
7496	Public Cloud-Sicherheit, Protokollierung und Warnmeldungen in der Public Cloud, Protokollierungsanforderungen (23.5.11. C.01.)	rds-logging-enabled	Um Ihnen bei der Protokollierung und Überwachung in Ihrer Umgebung zu helfen, stellen Sie sicher, dass die Protokollierung von Amazon Relational Database Service (RDS) aktiviert ist. Mit der Amazon-RDS-Protokollierung können Sie Ereignisse wie Verbindungen, Verbindungsabbrüche, Abfragen oder abgefragte Tabellen erfassen.
7496	Public Cloud-Sicherheit, Protokollierung und Warnmeldungen in der Public Cloud, Protokollierungsanforderungen (23.5.11. C.01.)	wafv2-logging-enabled	Um Sie bei der Protokollierung und Überwachung in Ihrer Umgebung zu unterstützen, aktivieren Sie die AWS WAF (V2) -Protokollierung auf regionalen und globalen Web-ACLs. Die AWS-WAF-Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. Die Protokolle zeichnen den Zeitpunkt auf, zu dem AWS WAF die Anfrage von Ihrer AWS-Ressource erhalten hat, Informationen über die Anfrage und eine Aktion für die Regel, der jede Anfrage entsprach.
7545	Zugriffskontrolle und Passwörter, Identifikation, Authentifizierung und Authentifizierung, Passwörter und Richtlinien (16.1.31. C.02.)	iam-password-policy	Sorgen Sie für jährliche Passwortänderungen auf Systemen, die keine Multi-Faktor-Authentifizierung (MFA) oder passwortlose Authentifizierung implementiert haben.
7546	Zugriffskontrolle und Passwörter, Identifikation, Authentifizierung und Authentifizierung, Passwörter und Richtlinien (16.1.31. C.03.)	iam-password-policy	Stellen Sie sicher, dass das Passwort mindestens 16 Zeichen lang ist (z. B. vier Wörter). Passwörter müssen lang, sicher und einzigartig sein. Es gibt keine ausdrücklichen Komplexitätsanforderungen (z. B. Zahlen oder Sonderzeichen). Passwörter müssen jedoch eindeutig oder zufällig sein und können Sonderzeichen und Zahlen enthalten, um dies zu erreichen.

Vorlage



            ##################################################################################
            #
            #   Conformance Pack:
            #     Operational Best Practices for NZISM Foundation
            #
            #   This conformance pack helps verify compliance with NZISM requirements.
            #
            ##################################################################################

            Resources:
              AcmCertificateExpirationCheck:
                Controls: [ '1667' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: acm-certificate-expiration-check
                  InputParameters:
                    daysToExpiration: '30'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ACM::Certificate
                  Source:
                    Owner: AWS
                    SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK
                  Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications"
              AlbHttpToHttpsRedirectionCheck:
                Controls: [ '1847', '2090' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: alb-http-to-https-redirection-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..."
              ApiGwExecutionLoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: api-gw-execution-logging-enabled
                  InputParameters:
                    loggingLevel: 'ERROR, INFO'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ApiGateway::Stage
                      - AWS::ApiGatewayV2::Stage
                  Source:
                    Owner: AWS
                    SourceIdentifier: API_GW_EXECUTION_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              CloudTrailCloudWatchLogsEnabled:
                Controls: [ '1998', '6860' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-cloud-watch-logs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED
                  Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..."
              CloudTrailEncryptionEnabled:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-encryption-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              CloudTrailLogFileValidationEnabled:
                Controls: [ '2022', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloud-trail-log-file-validation-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED
                  Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
              CloudfrontAccesslogsEnabled:
                Condition: IsEdge
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-accesslogs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              CloudfrontAssociatedWithWaf:
                Condition: IsEdge
                Controls: [ '3562' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-associated-with-waf
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF
                  Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways"
              CloudfrontDefaultRootObjectConfigured:
                Condition: IsEdge
                Controls: [ '1661' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-default-root-object-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED
                  Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content"
              CloudfrontViewerPolicyHttps:
                Condition: IsEdge
                Controls: [ '1847' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudfront-viewer-policy-https
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS
                  Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit"
              CloudtrailEnabled:
                Controls: [ '1998', '2013', '6860', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUD_TRAIL_ENABLED
                  Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..."
              CloudtrailS3DataeventsEnabled:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-s3-dataevents-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              CloudtrailSecurityTrailEnabled:
                Controls: [ '6861' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudtrail-security-trail-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED
                  Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review"
              CloudwatchLogGroupEncrypted:
                Controls: [ '2022', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cloudwatch-log-group-encrypted
                  Source:
                    Owner: AWS
                    SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED
                  Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..."
              CmkBackingKeyRotationEnabled:
                Controls: [ '3021' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cmk-backing-key-rotation-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
                  Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs"
              CwLoggroupRetentionPeriodCheck:
                Controls: [ '1998', '2028' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: cw-loggroup-retention-period-check
                  InputParameters:
                    MinRetentionTime: '545'
                  Source:
                    Owner: AWS
                    SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK
                  Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..."
              DbInstanceBackupEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: db-instance-backup-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              DmsReplicationNotPublic:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dms-replication-not-public
                  Source:
                    Owner: AWS
                    SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              DynamodbAutoscalingEnabled:
                Controls: [ '4829' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-autoscaling-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED
                  Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
              DynamodbPitrEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-pitr-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_PITR_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              DynamodbTableEncryptedKms:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: dynamodb-table-encrypted-kms
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::DynamoDB::Table
                  Source:
                    Owner: AWS
                    SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              EbsSnapshotPublicRestorableCheck:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ebs-snapshot-public-restorable-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              Ec2EbsEncryptionByDefault:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-ebs-encryption-by-default
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              Ec2Imdsv2Check:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-imdsv2-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_IMDSV2_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2InstanceManagedBySystemsManager:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instance-managed-by-systems-manager
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                      - AWS::SSM::ManagedInstanceInventory
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              Ec2InstanceNoPublicIp:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instance-no-public-ip
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2InstancesInVpc:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-instances-in-vpc
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Instance
                  Source:
                    Owner: AWS
                    SourceIdentifier: INSTANCES_IN_VPC
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              Ec2ManagedinstanceAssociationComplianceStatusCheck:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-managedinstance-association-compliance-status-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SSM::AssociationCompliance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              Ec2ManagedinstancePatchComplianceStatusCheck:
                Controls: [ '3449', '3451', '3452', '3453' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ec2-managedinstance-patch-compliance-status-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SSM::PatchCompliance
                  Source:
                    Owner: AWS
                    SourceIdentifier: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK
                  Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.04[CID:3451], SHOULD 12.4.4.C.05[CID:3452], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Pa..."
              EcrPrivateImageScanningEnabled:
                Controls: [ '3449' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecr-private-image-scanning-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECR::Repository
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECR_PRIVATE_IMAGE_SCANNING_ENABLED
                  Description: "MUST 12.4.4.C.02[CID:3449]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              EcsContainersNonprivileged:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecs-containers-nonprivileged
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECS::TaskDefinition
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECS_CONTAINERS_NONPRIVILEGED
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              EcsContainersReadonlyAccess:
                Controls: [ '1149' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ecs-containers-readonly-access
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ECS::TaskDefinition
                  Source:
                    Owner: AWS
                    SourceIdentifier: ECS_CONTAINERS_READONLY_ACCESS
                  Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs"
              EfsEncryptedCheck:
                Controls: [ '2082', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: efs-encrypted-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: EFS_ENCRYPTED_CHECK
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
              ElasticBeanstalkManagedUpdatesEnabled:
                Controls: [ '3452' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elastic-beanstalk-managed-updates-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticBeanstalk::Environment
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED
                  Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              ElasticacheRedisClusterAutomaticBackupCheck:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticache-redis-cluster-automatic-backup-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              ElasticsearchEncryptedAtRest:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-encrypted-at-rest
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              ElasticsearchInVpcOnly:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-in-vpc-only
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              ElasticsearchNodeToNodeEncryptionCheck:
                Controls: [ '1847', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elasticsearch-node-to-node-encryption-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Elasticsearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..."
              ElbCrossZoneLoadBalancingEnabled:
                Controls: [ '4829' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-cross-zone-load-balancing-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED
                  Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
              ElbCustomSecurityPolicySslCheck:
                Controls: [ '2598', '2600' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-custom-security-policy-ssl-check
                  InputParameters:
                    sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK
                  Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS"
              ElbLoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-logging-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                      - AWS::ElasticLoadBalancingV2::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
              ElbTlsHttpsListenersOnly:
                Controls: [ '1667', '1847', '2090', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: elb-tls-https-listeners-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::ElasticLoadBalancing::LoadBalancer
                  Source:
                    Owner: AWS
                    SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY
                  Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..."
              EmrMasterNoPublicIp:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: emr-master-no-public-ip
                  Source:
                    Owner: AWS
                    SourceIdentifier: EMR_MASTER_NO_PUBLIC_IP
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              EncryptedVolumes:
                Controls: [ '2082', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: encrypted-volumes
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::Volume
                  Source:
                    Owner: AWS
                    SourceIdentifier: ENCRYPTED_VOLUMES
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..."
              GuarddutyEksProtectionAuditEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-eks-protection-audit-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_EKS_PROTECTION_AUDIT_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyEksProtectionRuntimeEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-eks-protection-runtime-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_EKS_PROTECTION_RUNTIME_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyEnabledCentralized:
                Controls: [ '3562', '3815', '3875', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-enabled-centralized
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_ENABLED_CENTRALIZED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 18.4.9.C.01[CID:3815], SHOULD 18.4.12.C.01[CID:3875], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateway..."
              GuarddutyLambdaProtectionEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-lambda-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_LAMBDA_PROTECTION_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              GuarddutyRuntimeMonitoringEnabled:
                Controls: [ '1154' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-runtime-monitoring-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_RUNTIME_MONITORING_ENABLED
                  Description: "SHOULD 7.1.7.C.02[CID:1154]| Information Security Incidents/Detecting Information Security Incidents/Preventing and detecting information security incidents"
              GuarddutyS3ProtectionEnabled:
                Controls: [ '3857' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: guardduty-s3-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::GuardDuty::Detector
                  Source:
                    Owner: AWS
                    SourceIdentifier: GUARDDUTY_S3_PROTECTION_ENABLED
                  Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS"
              IamPasswordPolicy:
                Controls: [ '7545', '7546' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-password-policy
                  InputParameters:
                    MaxPasswordAge: '1095'
                    MinimumPasswordLength: '16'
                    PasswordReusePrevention: '24'
                    RequireUppercaseCharacters: 'false'
                    RequireLowercaseCharacters: 'false'
                    RequireSymbols: 'false'
                    RequireNumbers: 'false'
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_PASSWORD_POLICY
                  Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy"
              IamPolicyNoStatementsWithAdminAccess:
                Controls: [ '1946' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-policy-no-statements-with-admin-access
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::IAM::Policy
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS
                  Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts"
              IamRootAccessKeyCheck:
                Controls: [ '1946' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-root-access-key-check
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
                  Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts"
              IamUserMfaEnabled:
                Controls: [ '1841', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-user-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_USER_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..."
              IamUserUnusedCredentialsCheck:
                Controls: [ '1893', '6852' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: iam-user-unused-credentials-check
                  InputParameters:
                    maxCredentialUsageAge: '90'
                  Source:
                    Owner: AWS
                    SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
                  Description: "SHOULD 16.1.46.C.02[CID:1893], MUST 16.4.33.C.01[CID:6852]| Access Control and Passwords: (Identification, Authentication and Passwords/Suspension of access and Privi..."
              LambdaFunctionPublicAccessProhibited:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: lambda-function-public-access-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Lambda::Function
                  Source:
                    Owner: AWS
                    SourceIdentifier: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              MfaEnabledForIamConsoleAccess:
                Controls: [ '1841', '6843', '6953', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: mfa-enabled-for-iam-console-access
                  Source:
                    Owner: AWS
                    SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS
                  Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..."
              OpensearchEncryptedAtRest:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-encrypted-at-rest
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_ENCRYPTED_AT_REST
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              OpensearchInVpcOnly:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-in-vpc-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_IN_VPC_ONLY
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              OpensearchNodeToNodeEncryptionCheck:
                Controls: [ '1847', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: opensearch-node-to-node-encryption-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::OpenSearch::Domain
                  Source:
                    Owner: AWS
                    SourceIdentifier: OPENSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK
                  Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..."
              RdsAutomaticMinorVersionUpgradeEnabled:
                Controls: [ '3452' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-automatic-minor-version-upgrade-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED
                  Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              RdsClusterDeletionProtectionEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-cluster-deletion-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBCluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RdsInstanceDeletionProtectionEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-instance-deletion-protection-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RdsInstancePublicAccessCheck:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-instance-public-access-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              RdsLoggingEnabled:
                Controls: [ '2013', '4441', '4445', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-logging-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..."
              RdsSnapshotEncrypted:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-snapshot-encrypted
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBSnapshot
                      - AWS::RDS::DBClusterSnapshot
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              RdsSnapshotsPublicProhibited:
                Controls: [ '4441' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-snapshots-public-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBSnapshot
                      - AWS::RDS::DBClusterSnapshot
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED
                  Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files"
              RdsStorageEncrypted:
                Controls: [ '2082', '4441', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: rds-storage-encrypted
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::RDS::DBInstance
                  Source:
                    Owner: AWS
                    SourceIdentifier: RDS_STORAGE_ENCRYPTED
                  Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..."
              RedshiftBackupEnabled:
                Controls: [ '4849' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-backup-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_BACKUP_ENABLED
                  Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
              RedshiftClusterConfigurationCheck:
                Controls: [ '4441', '4445', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-configuration-check
                  InputParameters:
                    clusterDbEncrypted: 'true'
                    loggingEnabled: 'true'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK
                  Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..."
              RedshiftClusterMaintenancesettingsCheck:
                Controls: [ '3449', '3453' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-maintenancesettings-check
                  InputParameters:
                    allowVersionUpgrade: 'true'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK
                  Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products"
              RedshiftClusterPublicAccessCheck:
                Controls: [ '3562', '3623', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: redshift-cluster-public-access-check
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..."
              RedshiftRequireTlsSsl:
                Controls: [ '2090', '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                   ConfigRuleName: redshift-require-tls-ssl
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::Redshift::Cluster
                  Source:
                    Owner: AWS
                    SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL
                  Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..."
              RestrictedSsh:
                Controls: [ '2726' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: restricted-ssh
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: INCOMING_SSH_DISABLED
                  Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access"
              RootAccountHardwareMfaEnabled:
                Controls: [ '1841', '6843', '6953', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: root-account-hardware-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: ROOT_ACCOUNT_HARDWARE_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..."
              RootAccountMfaEnabled:
                Controls: [ '1841', '7436', '7437' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: root-account-mfa-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: ROOT_ACCOUNT_MFA_ENABLED
                  Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..."
              S3AccountLevelPublicAccessBlocksPeriodic:
                Controls: [ '3562', '4838', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-account-level-public-access-blocks-periodic
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC
                  Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..."
              S3BucketPublicReadProhibited:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-public-read-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              S3BucketPublicWriteProhibited:
                Controls: [ '4838' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-public-write-prohibited
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED
                  Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              S3BucketServerSideEncryptionEnabled:
                Controls: [ '2082' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-server-side-encryption-enabled
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED
                  Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
              S3BucketSslRequestsOnly:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: s3-bucket-ssl-requests-only
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::S3::Bucket
                  Source:
                    Owner: AWS
                    SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerEndpointConfigurationKmsKeyConfigured:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-endpoint-configuration-kms-key-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_ENDPOINT_CONFIGURATION_KMS_KEY_CONFIGURED
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerNotebookInstanceKmsKeyConfigured:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-notebook-instance-kms-key-configured
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SagemakerNotebookNoDirectInternetAccess:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: sagemaker-notebook-no-direct-internet-access
                  Source:
                    Owner: AWS
                    SourceIdentifier: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              SecretsmanagerUsingCmk:
                Controls: [ '4839' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: secretsmanager-using-cmk
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::SecretsManager::Secret
                  Source:
                    Owner: AWS
                    SourceIdentifier: SECRETSMANAGER_USING_CMK
                  Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
              SecurityhubEnabled:
                Controls: [ '3875' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: securityhub-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: SECURITYHUB_ENABLED
                  Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation"
              SsmDocumentNotPublic:
                Controls: [ '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: ssm-document-not-public
                  Source:
                    Owner: AWS
                    SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC
                  Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility"
              VpcDefaultSecurityGroupClosed:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-default-security-group-closed
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              VpcFlowLogsEnabled:
                Controls: [ '3562', '7466' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-flow-logs-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_FLOW_LOGS_ENABLED
                  Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..."
              VpcSgOpenOnlyToAuthorizedPorts:
                Controls: [ '3205' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: vpc-sg-open-only-to-authorized-ports
                  InputParameters:
                    authorizedTcpPorts: '443'
                  Scope:
                    ComplianceResourceTypes:
                      - AWS::EC2::SecurityGroup
                  Source:
                    Owner: AWS
                    SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS
                  Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
              Wafv2LoggingEnabled:
                Controls: [ '2013', '7496' ]
                Type: AWS::Config::ConfigRule
                Properties:
                  ConfigRuleName: wafv2-logging-enabled
                  Source:
                    Owner: AWS
                    SourceIdentifier: WAFV2_LOGGING_ENABLED
                  Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Operative Best Practices für NZISM 3.9 (Erweiterung)

Operative Best Practices für NZISM 3.9 (NZ Transition)