Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Buku pedoman [Solusi ini mencakup remediasi buku pedoman untuk standar keamanan yang ditetapkan sebagai bagian dari Tolok Ukur Yayasan AWS [Center for Internet Security (CIS) v1.2.0, Tolok Ukur Yayasan CIS AWS v1.4.0, Tolok](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)[Ukur Yayasan CIS AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard) v3.0.0, [AWS Foundational](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)[Security Best Practices (FSBP) v.1.0.0, Standar Keamanan Data Industri Kartu Pembayaran (](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[PCI-DSS) v3.2.1,](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) dan Institut Standar Nasional dan Teknologi (NIST).](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) Jika Anda mengaktifkan temuan kontrol konsolidasi, maka kontrol tersebut didukung dalam semua standar. Jika fitur ini diaktifkan, maka hanya pedoman SC yang perlu digunakan. Jika tidak, maka pedoman didukung untuk standar yang tercantum sebelumnya. **penting** Hanya gunakan buku pedoman untuk standar yang diaktifkan untuk menghindari mencapai kuota layanan. Untuk detail tentang remediasi tertentu, lihat dokumen otomatisasi Systems Manager dengan nama yang digunakan oleh solusi di akun Anda. Buka [konsol AWS Systems Manager](https://console.aws.amazon.com/systems-manager/), lalu di panel navigasi pilih **Documents**. | Deskripsi | AWS FSBP | CIS v1.2.0 | PCI v3.2.1 | CIS v1.4.0 | NIST | CIS v3.0.0 | ID kontrol keamanan | | --- | --- | --- | --- | --- | --- | --- | --- | | **Remediasi Total** | 63 | 34 | 29 | 33 | 65 | 19 | 90 | | **ASR- Periksa EnableAutoScalingGroup ELBHealth** Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan load balancer | Penskalaan otomatis.1 | | Penskalaan otomatis.1 | | Penskalaan otomatis.1 | | Penskalaan otomatis.1 | | **ASR- ConfigureAutoScalingLaunchConfigToRequire IMDSv2** Konfigurasi peluncuran grup Auto Scaling harus mengonfigurasi EC2 instance agar memerlukan Layanan Metadata Instance Versi 2 () IMDSv2 | | | | | Penskalaan otomatis.3 | | Autoscaling.3 | | **ASR- CreateCloudTrailMultiRegionTrail** CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah | CloudTrail.1 | 2.1 | CloudTrail.2 | 3.1 | CloudTrail.1 | 3.1 | CloudTrail.1 | | **ASR- EnableEncryption** CloudTrail harus mengaktifkan enkripsi saat istirahat | CloudTrail.2 | 2.7 | CloudTrail.1 | 3.7 | CloudTrail.2 | 3.5 | CloudTrail.2 | | **ASR- EnableLogFileValidation** Pastikan validasi file CloudTrail log diaktifkan | CloudTrail.4 | 2.2 | CloudTrail.3 | 3.2 | CloudTrail.4 | | CloudTrail.4 | | **ASR- EnableCloudTrailToCloudWatchLogging** Pastikan CloudTrail jalur terintegrasi dengan Amazon Logs CloudWatch | CloudTrail.5 | 2.4 | CloudTrail.4 | 3.4 | CloudTrail.5 | | CloudTrail.5 | | **ASR-konfigurasi3 BucketLogging** Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3 | | 2.6 | | 3.6 | | 3.4 | CloudTrail.7 | | **ASR- ReplaceCodeBuildClearTextCredentials** CodeBuild variabel lingkungan proyek tidak boleh mengandung kredensil teks yang jelas | CodeBuild.2 | | CodeBuild.2 | | CodeBuild.2 | | CodeBuild.2 | | **Aktifkan ASR AWSConfig** Pastikan AWS Config diaktifkan | Konfigurasi.1 | 2.5 | Konfigurasi.1 | 3.5 | Konfigurasi.1 | 3.3 | Konfigurasi.1 | | **ASR-Make Pribadi EBSSnapshots** Cuplikan Amazon EBS tidak boleh dipulihkan secara publik | EC2.1 | | EC2.1 | | EC2.1 | | EC2.1 | | **ASR-Hapus VPCDefault SecurityGroupRules** Grup keamanan default VPC harus melarang lalu lintas masuk dan keluar | EC2.2 | 4.3 | EC2.2 | 5.3 | EC2.2 | 5.4 | EC2.2 | | **Log Aktifkan ASR VPCFlow** Pencatatan aliran VPC harus diaktifkan di semua VPCs | EC2.6 | 2.9 | EC2.6 | 3.9 | EC2.6 | 3.7 | EC2.6 | | **ASR- EnableEbsEncryptionByDefault** Enkripsi default EBS harus diaktifkan | EC2.7 | 2.2.1 | | | EC2.7 | 2.2.1 | EC2.7 | | **ASR- RevokeUnrotatedKeys** Kunci akses pengguna harus diputar setiap 90 hari atau kurang | IAM.3 | 1.4 | | 1.14 | IAM.3 | 1.14 | IAM.3 | | **Kebijakan ASR-Set IAMPassword** Kebijakan kata sandi default IAM | IAM.7 | 1,5-1,11 | IAM.8 | 1.8 | IAM.7 | 1.8 | IAM.7 | | **ASR- Kredensil RevokeUnused IAMUser** Kredensi pengguna harus dimatikan jika tidak digunakan dalam waktu 90 hari | IAM.8 | 1.3 | IAM.7 | | IAM.8 | | IAM.8 | | **ASR- Kredensil RevokeUnused IAMUser** Kredensi pengguna harus dimatikan jika tidak digunakan dalam waktu 45 hari | | | | 1.12 | | 1.12 | IAM.22 | | **ASR- RemoveLambdaPublicAccess** Fungsi Lambda harus melarang akses publik | Lambda.1 | | Lambda.1 | | Lambda.1 | | Lambda.1 | | **ASR-Make Pribadi RDSSnapshot** Snapshot RDS harus melarang akses publik | RDS.1 | | RDS.1 | | RDS.1 | | RDS.1 | | **ASR- DisablePublicAccessTo RDSInstance** Instans RDS DB harus melarang akses publik | RDS.2 | | RDS.2 | | RDS.2 | 2.3.3 | RDS.2 | | **ASR-enkripsi RDSSnapshot** Snapshot cluster RDS dan snapshot database harus dienkripsi saat istirahat | RDS.4 | | | | RDS.4 | | RDS.4 | | **ASR- EnableMulti AZOn RDSInstance** Instans RDS DB harus dikonfigurasi dengan beberapa Availability Zone | RDS.5 | | | | RDS.5 | | RDS.5 | | **ASR- EnableEnhancedMonitoringOn RDSInstance** Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans dan cluster RDS DB | RDS.6 | | | | RDS.6 | | RDS.6 | | **Aktifkan ASR RDSCluster DeletionProtection** Cluster RDS harus mengaktifkan perlindungan penghapusan | RDS.7 | | | | RDS.7 | | RDS.7 | | **Aktifkan ASR RDSInstance DeletionProtection** Instans RDS DB harus mengaktifkan perlindungan penghapusan | RDS.8 | | | | RDS.8 | | RDS.8 | | **ASR- EnableMinorVersionUpgradeOn RDSDBInstance** Upgrade versi minor otomatis RDS harus diaktifkan | RDS.13 | | | | RDS.13 | 2.3.2 | RDS.13 | | **ASR- EnableCopyTagsToSnapshotOn RDSCluster** Cluster RDS DB harus dikonfigurasi untuk menyalin tag ke snapshot | RDS.16 | | | | RDS.16 | | RDS.16 | | **ASR- DisablePublicAccessToRedshiftCluster** Cluster Amazon Redshift harus melarang akses publik | Pergeseran merah.1 | | Pergeseran merah.1 | | Pergeseran merah.1 | | Pergeseran merah.1 | | **ASR- EnableAutomaticSnapshotsOnRedshiftCluster** Cluster Amazon Redshift harus mengaktifkan snapshot otomatis | Pergeseran merah.3 | | | | Pergeseran merah.3 | | Pergeseran merah.3 | | **ASR- EnableRedshiftClusterAuditLogging** Cluster Amazon Redshift harus mengaktifkan pencatatan audit | Pergeseran merah.4 | | | | Pergeseran merah.4 | | Pergeseran merah.4 | | **ASR- EnableAutomaticVersionUpgradeOnRedshiftCluster** Amazon Redshift harus mengaktifkan peningkatan otomatis ke versi utama | Pergeseran Merah.6 | | | | Pergeseran Merah.6 | | Pergeseran Merah.6 | | **ASR-konfigurasi3 PublicAccessBlock** Pengaturan Akses Publik Blok S3 harus diaktifkan | S3.1 | 2.3 | S3.6 | 2.1.5.1 | S3.1 | 2.1.4 | S3.1 | | **ASR-konfigurasi3 BucketPublicAccessBlock** Bucket S3 harus melarang akses baca publik | S3.2 | | S3.2 | 2.1.5.2 | S3.2 | | S3.2 | | **ASR-konfigurasi3 BucketPublicAccessBlock** Bucket S3 harus melarang akses tulis publik | | S3.3 | | | | | S3.3 | | **ASR- S3 EnableDefaultEncryption** Bucket S3 harus mengaktifkan enkripsi sisi server | S3.4 | | S3.4 | 2.1.1 | S3.4 | | S3.4 | | **Kebijakan ASR-Set SSLBucket** Bucket S3 harus memerlukan permintaan untuk menggunakan SSL | S3.5 | | S3.5 | 2.1.2 | S3.5 | 2.1.1 | S3.5 | | **ASR-S3 BlockDenylist** Izin Amazon S3 yang diberikan ke akun AWS lain dalam kebijakan bucket harus dibatasi | S3.6 | | | | S3.6 | | S3.6 | | Pengaturan Akses Publik Blok S3 harus diaktifkan pada tingkat bucket | S3.8 | | | | S3.8 | | S3.8 | | **ASR-konfigurasi3 BucketPublicAccessBlock** Pastikan CloudTrail log bucket S3 tidak dapat diakses publik | | 2.3 | | | | | CloudTrail.6 | | **ASR- CreateAccessLoggingBucket** Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3 | | 2.6 | | | | | CloudTrail.7 | | **ASR- EnableKeyRotation** Pastikan rotasi untuk dibuat pelanggan diaktifkan CMKs | | 2.8 | KMS.1 | 3.8 | KMS.4 | 3.6 | KMS.4 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk panggilan API yang tidak sah | | 3.1 | | 4.1 | | | Cloudwatch.1 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk login AWS Management Console tanpa MFA | | 3.2 | | 4.2 | | | Cloudwatch.2 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk penggunaan pengguna “root” | | 3.3 | CW.1 | 4.3 | | | Cloudwatch.3 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan IAM | | 3.4 | | 4.4 | | | Cloudwatch.4 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk perubahan CloudTrail konfigurasi | | 3.5 | | 4.5 | | | Cloudwatch.5 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan ada filter metrik log dan alarm untuk kegagalan autentikasi AWS Management Console | | 3.6 | | 4.6 | | | Cloudwatch.6 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau terjadwal penghapusan pelanggan yang dibuat CMKs | | 3.7 | | 4.7 | | | Cloudwatch.7 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3 | | 3.8 | | 4.8 | | | Cloudwatch.8 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk perubahan konfigurasi AWS Config | | 3.9 | | 4.9 | | | Cloudwatch.9 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan | | 3.10 | | 4.10 | | | Cloudwatch.10 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan (NACL) | | 3.11 | | 4.11 | | | Cloudwatch.11 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk perubahan gateway jaringan | | 3.12 | | 4.12 | | | Cloudwatch.12 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute | | 3.13 | | 4.13 | | | Cloudwatch.13 | | **ASR- CreateLogMetricFilterAndAlarm** Pastikan filter metrik log dan alarm ada untuk perubahan VPC | | 3.14 | | 4.14 | | | Cloudwatch.14 | | **AWS- DisablePublicAccessForSecurityGroup** Pastikan tidak ada grup keamanan yang mengizinkan masuknya dari 0.0.0.0/0 ke port 22 | | 4.1 | EC2.5 | | EC2.13 | | EC2.13 | | **AWS- DisablePublicAccessForSecurityGroup** Pastikan tidak ada grup keamanan yang mengizinkan masuknya dari 0.0.0.0/0 ke port 3389 | | 4.2 | | | EC2.14 | | EC2.14 | | **Konfigurasi ASR SNSTopic ForStack** | CloudFormation.1 | | | | CloudFormation.1 | | CloudFormation.1 | | **ASR-Buat IAMSupport Peran** | | 1.20 | | 1.17 | | 1.17 | IAM.18 | | **ASR- DisablePublic IPAuto Tetapkan** EC2 Subnet Amazon seharusnya tidak secara otomatis menetapkan alamat IP publik | EC2.15 | | | | EC2.15 | | EC2.15 | | **ASR- EnableCloudTrailLogFileValidation** | CloudTrail.4 | 2.2 | CloudTrail.3 | 3.2 | | | CloudTrail.4 | | **ASR- EnableEncryptionFor SNSTopic** | SNS.1 | | | | SNS.1 | | SNS.1 | | **ASR- EnableDeliveryStatusLoggingFor SNSTopic** Pencatatan status pengiriman harus diaktifkan untuk pesan notifikasi yang dikirim ke topik | SNS.2 | | | | SNS.2 | | SNS.2 | | **ASR- EnableEncryptionFor SQSQueue** | SQS.1 | | | | SQS.1 | | SQS.1 | | Snapshot RDS **RDSSnapshotPribadi ASR-Make** harus bersifat pribadi | RDS.1 | | RDS.1 | | | | RDS.1 | | **Blok ASR SSMDocument PublicAccess** Dokumen SSM seharusnya tidak bersifat publik | SSM.4 | | | | SSM.4 | | SSM.4 | | **ASR- EnableCloudFrontDefaultRootObject** CloudFront distribusi harus memiliki objek root default yang dikonfigurasi | CloudFront.1 | | | | CloudFront.1 | | CloudFront.1 | | **ASR- SetCloudFrontOriginDomain** CloudFront distribusi seharusnya tidak menunjukkan asal S3 yang tidak ada | CloudFront.12 | | | | CloudFront.12 | | CloudFront.12 | | **ASR- RemoveCodeBuildPrivilegedMode** CodeBuild lingkungan proyek harus memiliki Konfigurasi AWS logging | CodeBuild.5 | | | | CodeBuild.5 | | CodeBuild.5 | | **Instans ASR-Mengakhiri EC2** EC2 Instans yang dihentikan harus dihapus setelah periode waktu tertentu | EC2.4 | | | | EC2.4 | | EC2.4 | | **Aktifkan ASR IMDSV2 OnInstance** EC2 instance harus menggunakan Instance Metadata Service Version 2 () IMDSv2 | EC2.8 | | | | EC2.8 | 5.6 | EC2.8 | | **ASR- RevokeUnauthorizedInboudRules** Grup keamanan hanya boleh mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi | EC2.18 | | | | EC2.18 | | EC2.18 | | MASUKKAN JUDUL DI SINI Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi | EC2.19 | | | | EC2.19 | | EC2.19 | | **ASR-menonaktifkan TGWAuto AcceptSharedAttachments** Amazon EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC | EC2.23 | | | | EC2.23 | | EC2.23 | | **ASR- EnablePrivateRepositoryScanning** Repositori pribadi ECR harus memiliki pemindaian gambar yang dikonfigurasi | ECR.1 | | | | ECR.1 | | ECR.1 | | **ASR- EnableGuardDuty** GuardDuty harus diaktifkan | GuardDuty.1 | | GuardDuty.1 | | GuardDuty.1 | | GuardDuty.1 | | **ASR-konfigurasi3 BucketLogging** Pencatatan akses server bucket S3 harus diaktifkan | S3.9 | | | | S3.9 | | S3.9 | | **ASR- EnableBucketEventNotifications** Bucket S3 harus mengaktifkan notifikasi acara | S3.11 | | | | S3.11 | | S3.11 | | **ASR-Sets3 LifecyclePolicy** Bucket S3 harus memiliki kebijakan siklus hidup yang dikonfigurasi | S3.13 | | | | S3.13 | | S3.13 | | **ASR- EnableAutoSecretRotation** Rahasia Secrets Manager harus mengaktifkan rotasi otomatis | SecretsManager.1 | | | | SecretsManager.1 | | SecretsManager.1 | | **ASR- RemoveUnusedSecret** Hapus rahasia Secrets Manager yang tidak digunakan | SecretsManager.3 | | | | SecretsManager.3 | | SecretsManager.3 | | **ASR- UpdateSecretRotationPeriod** Rahasia Secrets Manager harus diputar dalam jumlah hari tertentu | SecretsManager.4 | | | | SecretsManager.4 | | SecretsManager.4 | | **Aktifkan ASR APIGateway CacheDataEncryption** Data cache API Gateway REST API harus dienkripsi saat istirahat | | | | | APIGateway.5 | | APIGateway.5 | | **ASR- SetLogGroupRetentionDays** CloudWatch grup log harus dipertahankan untuk jangka waktu tertentu | | | | | CloudWatch.16 | | CloudWatch.16 | | **ASR- AttachService VPCEndpoint** Amazon EC2 harus dikonfigurasi untuk menggunakan titik akhir VPC yang dibuat untuk layanan Amazon EC2 | EC2.10 | | | | EC2.10 | | EC2.10 | | **ASR- TagGuardDutyResource** GuardDuty filter harus diberi tag | | | | | | | GuardDuty.2 | | **ASR- TagGuardDutyResource** GuardDuty detektor harus diberi tag | | | | | | | GuardDuty.4 | | **ASR-melampirkan SSMPermissions ke EC2** EC2 Instans Amazon harus dikelola oleh Systems Manager | SSM.1 | | SSM.3 | | | | SSM.1 | | **ASR- ConfigureLaunchConfigNoPublic IPDocument** EC2 Instans Amazon yang diluncurkan menggunakan konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki alamat IP publik | | | | | Penskalaan otomatis.5 | | Penskalaan otomatis.5 | | **Aktifkan ASR APIGateway ExecutionLogs** | APIGateway.1 | | | | | | APIGateway.1 | | **ASR- EnableMacie** Amazon Macie harus diaktifkan | Macie.1 | | | | Macie.1 | | Macie.1 | | **ASR- EnableAthenaWorkGroupLogging** Kelompok kerja Athena seharusnya mengaktifkan logging | Athena.4 | | | | | | Athena.4 | | **ASR menegakkan ALB HTTPSFor** Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS | ELB.1 | | ELB.1 | | ELB.1 | | ELB.1 | | **Batas ASR ECSRoot FilesystemAccess** Kontainer ECS harus dibatasi pada akses hanya-baca ke sistem file root | ECS.5 | | | | ECS.5 | | ECS.5 | | **ASR- EnableElastiCacheBackups** ElastiCache (Redis OSS) cluster harus mengaktifkan backup otomatis | ElastiCache.1 | | | | ElastiCache.1 | | ElastiCache.1 | | **ASR- EnableElastiCacheVersionUpgrades** ElastiCache cluster harus mengaktifkan peningkatan versi minor otomatis | ElastiCache.2 | | | | ElastiCache.2 | | ElastiCache.2 | | **ASR- EnableElastiCacheReplicationGroupFailover** ElastiCache grup replikasi harus mengaktifkan failover otomatis | ElastiCache.3 | | | | ElastiCache.3 | | ElastiCache.3 | | **ASR- ConfigureDynamo DBAuto Penskalaan** Tabel DynamoDB harus secara otomatis menskalakan kapasitas dengan permintaan | DynamoDB.1 | | | | DynamoDB.1 | | DynamoDB.1 | | **ASR- Sumber Daya TagDynamo DBTable** Tabel DynamoDB harus diberi tag | | | | | | | DynamoDB.5 | | **ASR- Perlindungan EnableDynamo DBDeletion** Tabel DynamoDB harus mengaktifkan perlindungan penghapusan | | | | | DynamoDb.6 | | DynamoDb.6 |