Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWSStandard für grundlegende Best Practices im Bereich Sicherheit im Security Hub CSPM
Der von AWS Branchenexperten entwickelte Standard AWS Foundational Security Best Practices (FSBP) ist eine Zusammenstellung von bewährten Sicherheitsmethoden für Unternehmen, unabhängig von Branche oder Größe. Er bietet eine Reihe von Kontrollen, die erkennen, wann AWS-Konten und welche Ressourcen von den bewährten Sicherheitsmethoden abweichen. Es enthält auch präskriptive Leitlinien zur Verbesserung und Aufrechterhaltung der Sicherheitslage Ihres Unternehmens.
In AWS Security Hub CSPM umfasst der Standard AWS Foundational Security Best Practices Kontrollen, mit denen Sie AWS-Konten und Ihre Workloads kontinuierlich evaluieren und Ihnen helfen, Bereiche zu identifizieren, die von den bewährten Sicherheitsmethoden abweichen. Die Kontrollen beinhalten bewährte Sicherheitsverfahren für Ressourcen aus verschiedenen Quellen. AWS-Services Jedem Steuerelement wird eine Kategorie zugewiesen, die die Sicherheitsfunktion widerspiegelt, für die das Steuerelement gilt. Eine Liste der Kategorien und weitere Informationen finden Sie unterKategorien kontrollieren.
Kontrollen, die für den Standard gelten
In der folgenden Liste wird angegeben, welche AWS Security Hub CSPM-Steuerelemente für den Standard AWS Foundational Security Best Practices (v1.0.0) gelten. Um die Details eines Steuerelements zu überprüfen, wählen Sie das Steuerelement aus.
[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto
[ACM.1] Importiert und ACM-issued Zertifikate sollten nach einem bestimmten Zeitraum erneuert werden
[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein
[APIGateway.3] API Gateway REST API-Phasen solltenAWS X-RayAblaufverfolgung aktiviert
[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein
[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden
[APIGateway.8] API-Gateway-Routen sollten einen Autorisierungstyp angeben
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden
[APIGateway.10] API Gateway V2-Integrationen sollten HTTPS für private Verbindungen verwenden
[APIGateway.11] API-Gateway-Domainnamen sollten empfohlene Sicherheitsrichtlinien verwenden
[AppSync.1]AWS AppSyncAPI-Caches sollten im Ruhezustand verschlüsselt werden
[AppSync.2]AWS AppSyncsollte die Protokollierung auf Feldebene aktiviert haben
[AppSync.5]AWS AppSyncGraphQL-APIs sollten nicht mit API-Schlüsseln authentifiziert werden
[AppSync.6]AWS AppSyncAPI-Caches sollten bei der Übertragung verschlüsselt werden
[Athena.4] Bei Athena-Arbeitsgruppen sollte die Protokollierung aktiviert sein
[Backup.1]AWS BackupWiederherstellungspunkte sollten im Ruhezustand verschlüsselt werden
Bei [CloudFormation.3] CloudFormation Stacks sollte der Kündigungsschutz aktiviert sein
[CloudFormation.4] CloudFormation Stacks sollten zugeordnete Servicerollen haben
Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein
[CloudFront.3] CloudFront Distributionen sollten während der Übertragung verschlüsselt werden müssen
[CloudFront.4] Bei CloudFront Distributionen sollte das Origin-Failover konfiguriert sein
[CloudFront.5] Bei CloudFront Distributionen sollte die Protokollierung aktiviert sein
[CloudFront.6] Bei CloudFront Distributionen sollte WAF aktiviert sein
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS Zertifikate verwenden
[CloudFront.8] CloudFront Distributionen sollten SNI verwenden, um HTTPS-Anfragen zu bearbeiten
[CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden
[CloudFront.15] CloudFront Distributionen sollten die empfohlene TLS-Sicherheitsrichtlinie verwenden
[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben
[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein
[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden
[CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein
[CodeBuild.4] CodeBuild Projektumgebungen sollten über eine Protokollierung verfügenAWS ConfigDauer
[CodeBuild.7] Exporte von CodeBuild Berichtsgruppen sollten im Ruhezustand verschlüsselt werden
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
[Connect.2] Connect Customer-Instanzen sollten die CloudWatch Protokollierung aktiviert haben
[DataFirehose.1] Firehose-Lieferstreams sollten im Ruhezustand verschlüsselt werden
Bei [DataSync.1] DataSync Aufgaben sollte die Protokollierung aktiviert sein
[DMS.1] Replikationsinstanzen des Database Migration Service sollten nicht öffentlich sein
[DMS.7] Bei DMS-Replikationsaufgaben für die Zieldatenbank sollte die Protokollierung aktiviert sein
[DMS.9] DMS-Endpunkte sollten SSL verwenden
[DMS.10] DMS-Endpunkte für Neptune-Datenbanken sollten die IAM-Autorisierung aktiviert haben
[DMS.11] DMS-Endpunkte für MongoDB sollten einen Authentifizierungsmechanismus aktiviert haben
[DMS.12] Auf DMS-Endpunkten für Redis OSS sollte TLS aktiviert sein
[DocumentDB.1] Amazon DocumentDB-Cluster sollten im Ruhezustand verschlüsselt werden
[DocumentDB.3] Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein
[DocumentDB.4] Amazon DocumentDB-Cluster sollten Auditprotokolle in Logs veröffentlichen CloudWatch
[DocumentDB.5] Bei Amazon DocumentDB-Clustern sollte der Löschschutz aktiviert sein
[DocumentDB.6] Amazon DocumentDB-Cluster sollten bei der Übertragung verschlüsselt werden
[DynamoDB.1] DynamoDB-Tabellen sollten die Kapazität automatisch bei Bedarf skalieren
[DynamoDB.2] Bei DynamoDB-Tabellen sollte die Point-in-Time-Wiederherstellung aktiviert sein
[DynamoDB.3] DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden
[DynamoDB.6] Bei DynamoDB-Tabellen sollte der Löschschutz aktiviert sein
[DynamoDB.7] DynamoDB Accelerator-Cluster sollten bei der Übertragung verschlüsselt werden
[EC2.3] Angehängte Amazon EBS-Volumes sollten im Ruhezustand verschlüsselt werden
[EC2.4] Gestoppte EC2-Instances sollten nach einem bestimmten Zeitraum entfernt werden
[EC2.6] Die VPC-Flow-Protokollierung sollte in allen VPCs aktiviert sein
[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein
[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
[EC2.9] Amazon EC2 EC2-Instances sollten keine öffentliche IPv4-Adresse haben
[EC2.15] Amazon EC2-Subnetze sollten öffentliche IP-Adressen nicht automatisch zuweisen
[EC2.16] Unbenutzte Network Access Control Lists sollten entfernt werden
[EC2.17] Amazon EC2 EC2-Instances sollten nicht mehrere ENIs verwenden
[EC2.20] Beide VPN-Tunnel für einAWSSite-to-Site Die VPN-Verbindung sollte bestehen
[EC2.23] Amazon EC2 Transit Gateways sollten VPC-Anhangsanforderungen nicht automatisch akzeptieren
[EC2.24] Paravirtuelle Amazon EC2 EC2-Instance-Typen sollten nicht verwendet werden
[EC2.25] Amazon EC2 EC2-Startvorlagen sollten Netzwerkschnittstellen keine öffentlichen IPs zuweisen
[EC2.51] Bei EC2-Client-VPN-Endpunkten sollte die Client-Verbindungsprotokollierung aktiviert sein
[EC2.55] VPCs sollten mit einem Schnittstellenendpunkt für die ECR-API konfiguriert werden
[EC2.56] VPCs sollten mit einem Schnittstellenendpunkt für Docker Registry konfiguriert werden
[EC2.57] VPCs sollten mit einem Schnittstellenendpunkt für Systems Manager konfiguriert werden
[EC2.170] EC2-Startvorlagen sollten Instance Metadata Service Version 2 (IMDSv2) verwenden
[EC2.171] Bei EC2-VPN-Verbindungen sollte die Protokollierung aktiviert sein
[EC2.180] Bei EC2-Netzwerkschnittstellen sollte die Überprüfung aktiviert sein source/destination
[EC2.181] EC2-Startvorlagen sollten die Verschlüsselung für angehängte EBS-Volumes ermöglichen
[EC2.183] EC2-VPN-Verbindungen sollten das IKEv2-Protokoll verwenden
[ECR.1] Bei privaten ECR-Repositorys sollte das Scannen von Bildern konfiguriert sein
[ECR.2] Für private ECR-Repositorys sollte die Tag-Unveränderlichkeit konfiguriert sein
[ECR.3] Für ECR-Repositorys sollte mindestens eine Lebenszyklusrichtlinie konfiguriert sein
[ECS.2] ECS-Diensten sollten nicht automatisch öffentliche IP-Adressen zugewiesen werden
[ECS.3] ECS-Aufgabendefinitionen sollten den Prozess-Namespace des Hosts nicht gemeinsam nutzen
[ECS.4] ECS-Container sollten ohne Zugriffsrechte ausgeführt werden
[ECS.8] Geheimnisse sollten nicht als Container-Umgebungsvariablen übergeben werden
[ECS.9] ECS-Aufgabendefinitionen sollten über eine Protokollierungskonfiguration verfügen
[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen
[ECS.12] ECS-Cluster sollten Container Insights verwenden
[ECS.16] ECS-Aufgabensätze sollten öffentliche IP-Adressen nicht automatisch zuweisen
[ECS.19] ECS-Kapazitätsanbieter sollten den Managed Termination Protection aktiviert haben
[EFS.2] Amazon EFS-Volumes sollten in Backup-Plänen enthalten sein
[EFS.3] EFS-Zugriffspunkte sollten ein Stammverzeichnis erzwingen
[EFS.4] EFS-Zugriffspunkte sollten eine Benutzeridentität erzwingen
[EFS.7] Bei EFS-Dateisystemen sollten automatische Backups aktiviert sein
[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden
[EKS.1] EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein
[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
[EKS.3] EKS-Cluster sollten verschlüsselte Kubernetes-Geheimnisse verwenden
[EKS.8] Bei EKS-Clustern sollte die Audit-Protokollierung aktiviert sein
[EKS.9] EKS-Knotengruppen sollten auf einer unterstützten Kubernetes-Version ausgeführt werden
Bei [ElastiCache.1] ElastiCache (Redis OSS) -Clustern sollten automatische Backups aktiviert sein
[ElastiCache.3] Für ElastiCache Replikationsgruppen sollte der automatische Failover aktiviert sein
[ElastiCache.4] ElastiCache Replikationsgruppen sollten im Ruhezustand verschlüsselt werden
[ElastiCache.5] ElastiCache Replikationsgruppen sollten bei der Übertragung verschlüsselt werden
[ElastiCache.7] ElastiCache Cluster sollten nicht die Standard-Subnetzgruppe verwenden
[ElasticBeanstalk.2] Von Elastic Beanstalk verwaltete Plattformupdates sollten aktiviert sein
[ElasticBeanstalk.3] Elastic Beanstalk sollte Logs streamen nach CloudWatch
[ELB.5] Die Protokollierung von Anwendungen und Classic Load Balancers sollte aktiviert sein
[ELB.6] Bei Anwendung, Gateway und Network Load Balancers sollte der Löschschutz aktiviert sein
[ELB.7] Bei Classic Load Balancers sollte der Verbindungsabbau aktiviert sein
[ELB.9] Bei Classic Load Balancers sollte der zonenübergreifende Load Balancing aktiviert sein
[ELB.10] Classic Load Balancer sollte sich über mehrere Availability Zones erstrecken
[ELB.22] ELB-Zielgruppen sollten verschlüsselte Transportprotokolle verwenden
[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben
[EMR.2] Die Einstellung Amazon EMR Block Public Access sollte aktiviert sein
[EMR.3] Amazon EMR-Sicherheitskonfigurationen sollten im Ruhezustand verschlüsselt werden
[EMR.4] Amazon EMR-Sicherheitskonfigurationen sollten bei der Übertragung verschlüsselt werden
[ES.1] Für Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
[ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in Logs sollte aktiviert sein CloudWatch
[ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein
[ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben
[FSx.3] FSx für OpenZFS-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
[FSx.4] FSx für NetApp ONTAP-Dateisysteme sollte für die Bereitstellung konfiguriert sein Multi-AZ
[Glue.3]AWS GlueTransformationen für maschinelles Lernen sollten im Ruhezustand verschlüsselt werden
[Glue.4]AWS GlueSpark-Jobs sollten auf unterstützten Versionen von ausgeführt werdenAWS Glue
[GuardDuty.1] GuardDuty sollte aktiviert sein
[GuardDuty.5] GuardDuty EKS Audit Log Monitoring sollte aktiviert sein
[GuardDuty.6] GuardDuty Lambda Protection sollte aktiviert sein
[GuardDuty.7] GuardDuty EKS Runtime Monitoring sollte aktiviert sein
[GuardDuty.8] Der GuardDuty Malware-Schutz für EC2 sollte aktiviert sein
[GuardDuty.9] GuardDuty RDS-Schutz sollte aktiviert sein
[GuardDuty.10] GuardDuty S3-Schutz sollte aktiviert sein
[GuardDuty.11] GuardDuty Runtime Monitoring sollte aktiviert sein
[GuardDuty.12] GuardDuty ECS Runtime Monitoring sollte aktiviert sein
[GuardDuty.13] GuardDuty EC2 Runtime Monitoring sollte aktiviert sein
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren
[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben
[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein
[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
[Inspector.1] Amazon Inspector EC2-Scannen sollte aktiviert sein
[Inspector.2] Amazon Inspector ECR-Scannen sollte aktiviert sein
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
[Kinesis.1] Kinesis-Streams sollten im Ruhezustand verschlüsselt werden
[Kinesis.3] Kinesis-Streams sollten über eine angemessene Datenaufbewahrungsfrist verfügen
[KMS.3]AWS KMS keyssollte nicht unbeabsichtigt gelöscht werden
[KMS.5] KMS-Schlüssel sollten nicht öffentlich zugänglich sein
[Lambda.1] Lambda-Funktionsrichtlinien sollten den öffentlichen Zugriff verbieten
[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden
[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren
[Macie.1] Amazon Macie sollte aktiviert sein
[Macie.2] Die automatische Erkennung sensibler Daten durch Macie sollte aktiviert sein
[MQ.2] ActiveMQ-Broker sollten Audit-Logs streamen an CloudWatch
[MSK.1] MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden
[MSK.3] MSK Connect-Anschlüsse sollten bei der Übertragung verschlüsselt werden
[MSK.4] Bei MSK-Clustern sollte der öffentliche Zugriff deaktiviert sein
[MSK.5] Für MSK-Konnektoren sollte die Protokollierung aktiviert sein
[MSK.6] MSK-Cluster sollten den nicht authentifizierten Zugriff deaktivieren
[Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden
[Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch
[Neptune.3] Neptune DB-Cluster-Snapshots sollten nicht öffentlich sein
[Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein
[Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein
[Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden
[Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben
[Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
[NetworkFirewall.9] Bei Netzwerk-Firewall-Firewalls sollte der Löschschutz aktiviert sein
Bei [Opensearch.1] OpenSearch Domänen sollte die Verschlüsselung im Ruhezustand aktiviert sein
[Opensearch.2] OpenSearch Domains sollten nicht öffentlich zugänglich sein
[Opensearch.3] OpenSearch Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
[Opensearch.5] Für OpenSearch Domains sollte die Audit-Protokollierung aktiviert sein
[Opensearch.6] OpenSearch Domains sollten mindestens drei Datenknoten haben
Bei [Opensearch.7] OpenSearch Domänen sollte eine differenzierte Zugriffskontrolle aktiviert sein
Auf [Opensearch.10] OpenSearch Domains sollte das neueste Softwareupdate installiert sein
[PCA.1]AWS Private CADie Stammzertifizierungsstelle sollte deaktiviert sein
[Route53.2] In öffentlich gehosteten Zonen von Route 53 sollten DNS-Abfragen protokolliert werden
[RDS.1] Der RDS-Snapshot sollte privat sein
[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein
[RDS.4] RDS-Cluster-Snapshots und Datenbank-Snapshots sollten im Ruhezustand verschlüsselt werden
[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden
[RDS.6] Die erweiterte Überwachung sollte für RDS-DB-Instances konfiguriert werden
[RDS.7] Bei RDS-Clustern sollte der Löschschutz aktiviert sein
[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein
[RDS.9] RDS-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen
[RDS.10] Die IAM-Authentifizierung sollte für RDS-Instances konfiguriert werden
[RDS.11] Für RDS-Instances sollten automatische Backups aktiviert sein
[RDS.12] Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden
[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein
[RDS.14] Bei Amazon Aurora Aurora-Clustern sollte Backtracking aktiviert sein
[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden
[RDS.16] Aurora-DB-Cluster sollten so konfiguriert sein, dass sie Tags in DB-Snapshots kopieren
[RDS.17] RDS-DB-Instances sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren
[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden
[RDS.24] RDS-Datenbankcluster sollten einen benutzerdefinierten Administratorbenutzernamen verwenden
[RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden
[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in CloudWatch Logs veröffentlichen
[RDS.35] Für RDS-DB-Cluster sollte das automatische Upgrade der Nebenversion aktiviert sein
[RDS.36] RDS für PostgreSQL-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch
[RDS.37] Aurora PostgreSQL-DB-Cluster sollten Protokolle in Logs veröffentlichen CloudWatch
[RDS.40] RDS für SQL Server-DB-Instances sollten CloudWatch Protokolle in Logs veröffentlichen
[RDS.41] RDS für SQL Server-DB-Instances sollten bei der Übertragung verschlüsselt werden
[RDS.42] RDS für MariaDB-DB-Instances sollte Protokolle in Logs veröffentlichen CloudWatch
[RDS.43] RDS-DB-Proxys sollten TLS-Verschlüsselung für Verbindungen erfordern
[RDS.44] RDS für MariaDB-DB-Instances sollte bei der Übertragung verschlüsselt werden
[RDS.45] Bei Aurora MySQL-DB-Clustern sollte die Auditprotokollierung aktiviert sein
[RDS.51] Globale RDS-Cluster sollten auf einer unterstützten Aurora MySQL-Version laufen
[Redshift.1] Amazon Redshift Redshift-Cluster sollten den öffentlichen Zugriff verbieten
[Redshift.3] Bei Amazon Redshift Redshift-Clustern sollten automatische Snapshots aktiviert sein
[Redshift.4] Bei Amazon Redshift Redshift-Clustern sollte die Auditprotokollierung aktiviert sein
[Redshift.6] Bei Amazon Redshift sollten automatische Upgrades auf Hauptversionen aktiviert sein
[Redshift.7] Redshift-Cluster sollten erweitertes VPC-Routing verwenden
[Redshift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden
[Redshift.18] Für Redshift-Cluster sollten Multi-AZ Bereitstellungen aktiviert sein
[RedshiftServerless.3] Redshift Serverless-Arbeitsgruppen sollten den öffentlichen Zugriff verbieten
[S3.2] S3-Buckets für allgemeine Zwecke sollten den öffentlichen Lesezugriff blockieren
[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren
[S3.5] Für S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erforderlich sein
[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränkenAWS-Konten
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
[S3.9] Für S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein
[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben
[S3.25] S3-Verzeichnis-Buckets sollten Lebenszykluskonfigurationen haben
[SageMaker.1] SageMaker Amazon-Notebook-Instances sollten keinen direkten Internetzugang haben
[SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden
[SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instances haben
[SageMaker.5] SageMaker Bei Modellen sollte die Netzwerkisolierung aktiviert sein
[SageMaker.8] SageMaker Notebook-Instances sollten auf unterstützten Plattformen laufen
[SageMaker.14] In den SageMaker Überwachungsplänen sollte die Netzwerkisolierung aktiviert sein
[SecretsManager.3] Unbenutzte Secrets Manager Manager-Geheimnisse entfernen
[SES.3] In SES-Konfigurationssätzen sollte TLS für das Senden von E-Mails aktiviert sein
[SNS.4] Richtlinien für den Zugriff auf SNS-Themen sollten keinen öffentlichen Zugriff zulassen
[SQS.1] Amazon SQS SQS-Warteschlangen sollten im Ruhezustand verschlüsselt sein
[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden vonAWS Systems Manager
[SSM.4] SSM-Dokumente sollten nicht öffentlich sein
[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch
[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein
[Transfer.3] Bei Connectoren der Transfer Family sollte die Protokollierung aktiviert sein
[WAF.1]AWS WAFDie klassische globale Web-ACL-Protokollierung sollte aktiviert sein
[WAF.2]AWS WAFKlassische Regionalregeln sollten mindestens eine Bedingung enthalten
[WAF.3]AWS WAFKlassische regionale Regelgruppen sollten mindestens eine Regel haben
[WAF.4]AWS WAFKlassische regionale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
[WAF.6]AWS WAFKlassische globale Regeln sollten mindestens eine Bedingung haben
[WAF.7]AWS WAFKlassische globale Regelgruppen sollten mindestens eine Regel haben
[WAF.8]AWS WAFKlassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben
[WAF.10]AWS WAFWeb-ACLs sollten mindestens eine Regel oder Regelgruppe haben
[WAF.12]AWS WAFFür Regeln sollten CloudWatch Metriken aktiviert sein
[WorkSpaces.1] WorkSpaces Benutzervolumes sollten im Ruhezustand verschlüsselt werden
[WorkSpaces.2] WorkSpaces Root-Volumes sollten im Ruhezustand verschlüsselt werden