Doporučení zabezpečení pro prostředky Amazon Web Services (AWS)

Tento článek uvádí všechna doporučení, která se můžou zobrazit v programu Microsoft Defender for Cloud, pokud připojíte účet Amazon Web Services (AWS) pomocí stránky Nastavení prostředí. Doporučení, která se zobrazí ve vašem prostředí, jsou založená na prostředcích, které chráníte, a na přizpůsobené konfiguraci.

Další informace o akcích, které můžete provést v reakci na tato doporučení, najdete v tématu Náprava doporučení v defenderu pro cloud.

Vaše bezpečnostní skóre vychází z počtu doporučení zabezpečení, která jste dokončili. Pokud se chcete rozhodnout, která doporučení se mají nejprve vyřešit, podívejte se na závažnost každého doporučení a její potenciální vliv na bezpečnostní skóre.

Doporučení pro AWS Compute

Instance Amazon EC2 spravované nástrojem Systems Manager by měly mít po instalaci opravy stav dodržování předpisů vyhovující předpisům

Popis: Tento ovládací prvek zkontroluje, jestli je stav dodržování předpisů opravy Amazon EC2 Systems Manager kompatibilní nebo NON_COMPLIANT po instalaci opravy v instanci. Kontroluje pouze instance spravované správcem oprav AWS Systems Manager. Nekontroluje, jestli byla oprava použita v rámci limitu 30 dnů předepsaného požadavkem PCI DSS 6.2. Neověřuje také, jestli byly použité opravy klasifikovány jako opravy zabezpečení. Měli byste vytvořit skupiny oprav s odpovídajícím nastavením směrného plánu a zajistit, aby systémy v oboru byly spravovány těmito skupinami oprav v nástroji Systems Manager. Další informace o skupinách oprav naleznete v uživatelské příručce AWS Systems Manager.

Závažnost: Střední

Amazon EFS by měl být nakonfigurovaný tak, aby šifroval neaktivní uložená data souborů pomocí služby AWS Služba správy klíčů

Popis: Tento ovládací prvek zkontroluje, jestli je Amazon Elastic File System nakonfigurovaný tak, aby šifroval data souborů pomocí AWS Služba správy klíčů. Kontrola selže v následujících případech: *"Encrypted" je v odpovědi DescribeFileSystems nastavena na hodnotu false. Klíč KmsKeyId v odpovědi DescribeFileSystems neodpovídá parametru KmsKeyId pro efs-encrypted-check. Všimněte si, že tento ovládací prvek nepoužívá parametr KmsKeyId pro efs-encrypted-check. Zkontroluje jenom hodnotu Encrypted (Šifrované). Pro přidanou vrstvu zabezpečení citlivých dat v Amazon EFS byste měli vytvořit šifrované systémy souborů. Amazon EFS podporuje šifrování neaktivních uložených systémů souborů. Šifrování neaktivních uložených dat můžete povolit při vytváření systému souborů Amazon EFS. Další informace o šifrování Amazon EFS najdete v tématu Šifrování dat v Amazon EFS v uživatelské příručce systému souborů Amazon Elastic File System.

Závažnost: Střední

Svazky Amazon EFS by měly být v plánech zálohování.

Popis: Tento ovládací prvek zkontroluje, jestli jsou systémy souborů Amazon Elastic File System (Amazon EFS) přidány do plánů zálohování v AWS Backup. Tento ovládací prvek selže, pokud systémy souborů Amazon EFS nejsou součástí plánů zálohování. Zahrnutí systémů souborů EFS do plánů zálohování pomáhá chránit vaše data před odstraněním a ztrátou dat.

Závažnost: Střední

Měla by být povolena ochrana před odstraněním nástroje pro vyrovnávání zatížení aplikace.

Popis: Tento ovládací prvek zkontroluje, jestli má nástroj pro vyrovnávání zatížení aplikace povolenou ochranu před odstraněním. Pokud není nakonfigurovaná ochrana proti odstranění, ovládací prvek selže. Povolte ochranu před odstraněním a chraňte nástroj pro vyrovnávání zatížení aplikace před odstraněním.

Závažnost: Střední

Skupiny automatického škálování přidružené k nástroji pro vyrovnávání zatížení by měly používat kontroly stavu.

Popis: Skupiny automatického škálování přidružené k nástroji pro vyrovnávání zatížení používají kontroly stavu elastického vyrovnávání zatížení. PCI DSS nevyžaduje vyrovnávání zatížení ani konfigurace s vysokou dostupností. Doporučuje se to osvědčenými postupy AWS.

Závažnost: Nízká

Účty AWS by měly mít povolené automatické zřizování Azure Arc.

Popis: Pro zajištění úplné viditelnosti obsahu zabezpečení z programu Microsoft Defender pro servery by měly být instance EC2 připojené ke službě Azure Arc. Pokud chcete zajistit, aby všechny oprávněné instance EC2 automaticky přijímaly Azure Arc, povolte automatické zřizování z defenderu pro cloud na úrovni účtu AWS. Přečtěte si další informace o Službě Azure Arc a Programu Microsoft Defender for Servers.

Závažnost: Vysoká

Distribuce CloudFront by měly mít nakonfigurované převzetí služeb při selhání původu.

Popis: Tento ovládací prvek zkontroluje, zda je distribuce Amazon CloudFront nakonfigurována se skupinou původu, která má dva nebo více zdrojů. Převzetí služeb při selhání zdroje cloudfront může zvýšit dostupnost. Převzetí služeb při selhání zdroje automaticky přesměruje provoz do sekundárního původu, pokud primární zdroj není dostupný nebo pokud vrátí konkrétní stavové kódy odpovědi HTTP.

Závažnost: Střední

Adresy URL zdrojového úložiště CodeBuild na GitHubu nebo Bitbucketu by měly používat OAuth.

Popis: Tento ovládací prvek zkontroluje, jestli adresa URL zdrojového úložiště GitHub nebo Bitbucket obsahuje tokeny pat nebo uživatelské jméno a heslo. Přihlašovací údaje pro ověřování by se nikdy neměly ukládat ani přenášet ve formátu prostého textu nebo by se neměly zobrazovat v adrese URL úložiště. Místo osobních přístupových tokenů nebo uživatelského jména a hesla byste měli použít OAuth k udělení autorizace pro přístup k úložištím GitHub nebo Bitbucket. Použití osobních přístupových tokenů nebo uživatelského jména a hesla by mohlo vystavit vaše přihlašovací údaje nezamýšleným odhalením dat a neoprávněnému přístupu.

Závažnost: Vysoká

Proměnné prostředí projektu CodeBuild by neměly obsahovat přihlašovací údaje.

Popis: Tento ovládací prvek zkontroluje, zda projekt obsahuje proměnné AWS_ACCESS_KEY_ID prostředí a AWS_SECRET_ACCESS_KEY. Přihlašovací údaje pro AWS_ACCESS_KEY_ID ověřování a AWS_SECRET_ACCESS_KEY nikdy by neměly být uložené ve formátu prostého textu, protože by to mohlo vést k neúmyslnému vystavení dat a neoprávněnému přístupu.

Závažnost: Vysoká

Clustery akcelerátoru DynamoDB (DAX) by měly být zašifrované v klidovém stavu.

Popis: Tento ovládací prvek zkontroluje, jestli je neaktivní uložený cluster DAX šifrovaný. Šifrování neaktivních uložených dat snižuje riziko dat uložených na disku, ke které uživatel nepřistupuje k AWS. Šifrování přidá další sadu řízení přístupu, která omezí schopnost neoprávněných uživatelů přistupovat k datům. Například oprávnění rozhraní API jsou nutná k dešifrování dat před jejich čtením.

Závažnost: Střední

Tabulky DynamoDB by měly automaticky škálovat kapacitu s poptávkou.

Popis: Tento ovládací prvek zkontroluje, zda může tabulka Amazon DynamoDB škálovat kapacitu čtení a zápisu podle potřeby. Tento ovládací prvek se předá, pokud tabulka používá buď režim kapacity na vyžádání, nebo zřízený režim s nakonfigurovaným automatickým škálováním. Škálování kapacity s poptávkou zabraňuje výjimkám omezování, které pomáhá udržovat dostupnost vašich aplikací.

Závažnost: Střední

Instance EC2 by měly být připojené ke službě Azure Arc.

Popis: Připojení instance EC2 do služby Azure Arc, aby bylo možné mít úplný přehled o obsahu zabezpečení Microsoft Defenderu for Servers. Přečtěte si další informace o službě Azure Arc a o programu Microsoft Defender for Servers v hybridním cloudovém prostředí.

Závažnost: Vysoká

Instance EC2 by měly být spravovány správcem systémů AWS.

Popis: Stav dodržování předpisů opravy Amazon EC2 Systems Manager je "KOMPATIBILNÍ" nebo "NON_COMPLIANT" po instalaci opravy v instanci. Zkontrolují se pouze instance spravované správcem oprav AWS Systems Manageru. Opravy použité během 30denního limitu předepsaného požadavkem PCI DSS 6 se nekontrolují.

Závažnost: Střední

Problémy s konfigurací EDR by se měly vyřešit na EC2s.

Popis: Pokud chcete chránit virtuální počítače před nejnovějšími hrozbami a ohroženími zabezpečení, vyřešte všechny zjištěné problémy s konfigurací nainstalovaného řešení Endpoint Detection and Response (EDR).
Poznámka: V současné době se toto doporučení vztahuje pouze na prostředky s povoleným řešením MDE (Microsoft Defender for Endpoint).

Závažnost: Vysoká

Řešení EDR by mělo být nainstalováno v EC2s.

Popis: Pokud chcete chránit EC2s, nainstalujte řešení detekce a odezvy koncových bodů (EDR). EDR pomáhají předcházet pokročilým hrozbám, zjišťovat je, zkoumat je a reagovat na ně. K nasazení programu Microsoft Defender for Endpoint použijte Microsoft Defender for Servers. Pokud je prostředek klasifikován jako "Není v pořádku", nemá nainstalované podporované řešení EDR. Pokud máte nainstalované řešení EDR, které není v tomto doporučení zjistitelné, můžete ho vyloučit.

Závažnost: Vysoká

Instance spravované správcem systémů by měly mít stav dodržování předpisů přidružení vyhovující předpisům

Popis: Tento ovládací prvek zkontroluje, jestli je stav dodržování předpisů přidružení AWS Systems Manager kompatibilní nebo NON_COMPLIANT po spuštění přidružení v instanci. Ovládací prvek projde, pokud je stav dodržování předpisů přidružení kompatibilní. Přidružení Správce stavů je konfigurace, která je přiřazená vašim spravovaným instancím. Konfigurace definuje stav, který chcete udržovat ve vašich instancích. Přidružení může například určit, že antivirový software musí být nainstalován a spuštěn ve vašich instancích nebo že některé porty musí být uzavřeny. Po vytvoření jednoho nebo více přidružení Správce stavů jsou informace o stavu dodržování předpisů okamžitě dostupné v konzole nebo v reakci na příkazy rozhraní příkazového řádku AWS nebo odpovídající operace rozhraní API nástroje Systems Manager. U přidružení zobrazuje stav Dodržování předpisů v souladu s předpisy nebo nedodržování předpisů a úroveň závažnosti přiřazenou k přidružení, například Kritické nebo Střední. Další informace o dodržování předpisů přidružení Správce stavů najdete v části Dodržování předpisů přidružení Správce stavů v uživatelské příručce pro AWS Systems Manager. Instance EC2 v oboru musíte nakonfigurovat pro přidružení správce systémů. Musíte také nakonfigurovat směrný plán oprav pro hodnocení zabezpečení dodavatele oprav a nastavit datum automatického použití tak, aby splňovalo požadavek PCI DSS 3.2.1 6.2. Další pokyny k vytvoření přidružení najdete v části Vytvoření přidružení v uživatelské příručce AWS Systems Manager. Další informace o práci s opravami v nástroji Systems Manager naleznete v části AWS Systems Manager Patch Manager Manager v uživatelské příručce AWS Systems Manager.

Závažnost: Nízká

Funkce lambda by měly mít nakonfigurovanou frontu nedoručených zpráv.

Popis: Tento ovládací prvek zkontroluje, jestli je funkce Lambda nakonfigurovaná s frontou nedoručených zpráv. Pokud není funkce Lambda nakonfigurovaná s frontou nedoručených zpráv, ovládací prvek selže. Jako alternativu k cíli při selhání můžete funkci nakonfigurovat s frontou nedoručených zpráv, která ukládá zahozené události pro další zpracování. Fronta nedoručených zpráv funguje stejně jako cíl selhání. Používá se, když událost selže všechny pokusy o zpracování nebo vyprší bez zpracování. Fronta nedoručených zpráv umožňuje podívat se na chyby nebo neúspěšné požadavky na funkci Lambda za účelem ladění nebo identifikace neobvyklého chování. Z hlediska zabezpečení je důležité pochopit, proč vaše funkce selhala, a zajistit, aby vaše funkce v důsledku toho nezahazovala data ani neohrožovala zabezpečení dat. Pokud například vaše funkce nemůže komunikovat s podkladovým prostředkem, může to být příznak útoku doS (DoS) jinde v síti.

Závažnost: Střední

Funkce lambda by měly používat podporované moduly runtime.

Popis: Tento ovládací prvek kontroluje, zda nastavení funkce Lambda pro moduly runtime odpovídají očekávaným hodnotám nastaveným pro podporované moduly runtime pro každý jazyk. Tento ovládací prvek kontroluje následující moduly runtime: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Lambda runtimes jsou postaveny na kombinaci operačního systému, programovacího jazyka a softwarových knihoven, které podléhají údržbě a aktualizacím zabezpečení. Pokud už komponenta runtime není podporována pro aktualizace zabezpečení, lambda zastaralá modul runtime. I když nemůžete vytvářet funkce, které používají zastaralý modul runtime, je tato funkce stále k dispozici pro zpracování událostí vyvolání. Ujistěte se, že jsou funkce Lambda aktuální a nepoužívají za provozu za běhu. Další informace o podporovaných modulech runtime, které tento ovládací prvek kontroluje pro podporované jazyky, najdete v tématu Moduly runtime AWS Lambda v příručce pro vývojáře AWS Lambda.

Závažnost: Střední

Porty pro správu instancí EC2 by měly být chráněné pomocí řízení přístupu k síti za běhu

Popis: Microsoft Defender for Cloud identifikoval některá přílišná příchozí pravidla pro porty pro správu ve vaší síti. Povolte řízení přístupu za běhu a chraňte své instance před internetovými útoky hrubou silou. Další informace.

Závažnost: Vysoká

Nepoužité skupiny zabezpečení EC2 by se měly odebrat.

Popis: Skupiny zabezpečení by měly být připojené k instancím Amazon EC2 nebo k rozhraní ENI. Nalezení v pořádku může znamenat, že existují nepoužívané skupiny zabezpečení Amazon EC2.

Závažnost: Nízká

Doporučení ke kontejnerům AWS

[Preview] Vyřešené zjištění ohrožení zabezpečení imagí kontejnerů v registru AWS

Popis: Defender for Cloud prohledá image registru kvůli známým ohrožením zabezpečení (CVE) a poskytuje podrobná zjištění pro každou naskenovanou image. Kontrola a náprava ohrožení zabezpečení imagí kontejnerů v registru pomáhá udržovat zabezpečený a spolehlivý dodavatelský řetězec softwaru, snižuje riziko incidentů zabezpečení a zajišťuje dodržování oborových standardů.

Závažnost: Vysoká

Typ: Posouzení ohrožení zabezpečení

[Preview] Kontejnery spuštěné v AWS by měly mít vyřešená zjištění ohrožení zabezpečení.

Popis: Defender for Cloud vytvoří inventář všech úloh kontejnerů, které jsou aktuálně spuštěné v clusterech Kubernetes, a poskytuje sestavy ohrožení zabezpečení pro tyto úlohy tím, že odpovídá použitým imagím a sestavám ohrožení zabezpečení vytvořeným pro image registru. Kontrola a náprava ohrožení zabezpečení úloh kontejnerů je důležitá k zajištění robustního a zabezpečeného softwarového dodavatelského řetězce, snížení rizika incidentů zabezpečení a zajištění dodržování oborových standardů.

Závažnost: Vysoká

Typ: Posouzení ohrožení zabezpečení

Clustery EKS by měly udělit požadovaným oprávněním AWS pro Microsoft Defender for Cloud.

Popis: Microsoft Defender for Containers poskytuje ochranu vašich clusterů EKS. K monitorování ohrožení zabezpečení a hrozeb clusteru potřebuje Defender for Containers oprávnění pro váš účet AWS. Tato oprávnění slouží k povolení protokolování řídicí roviny Kubernetes v clusteru a vytvoření spolehlivého kanálu mezi vaším clusterem a back-endem Služby Defender for Cloud v cloudu. Přečtěte si další informace o funkcích zabezpečení v programu Microsoft Defender for Cloud pro kontejnerizovaná prostředí.

Závažnost: Vysoká

Clustery EKS by měly mít nainstalované rozšíření Microsoft Defenderu pro Azure Arc.

Popis: Rozšíření clusteru v programu Microsoft Defender poskytuje možnosti zabezpečení pro vaše clustery EKS. Rozšíření shromažďuje data z clusteru a jeho uzlů za účelem identifikace ohrožení zabezpečení a hrozeb. Rozšíření funguje s Kubernetes s podporou Azure Arc. Přečtěte si další informace o funkcích zabezpečení v programu Microsoft Defender for Cloud pro kontejnerizovaná prostředí.

Závažnost: Vysoká

V konektorech AWS by měl být povolený Microsoft Defender for Containers.

Popis: Microsoft Defender for Containers poskytuje ochranu před hrozbami v reálném čase pro kontejnerizovaná prostředí a generuje výstrahy o podezřelých aktivitách. Tyto informace použijte k posílení zabezpečení clusterů Kubernetes a k nápravě problémů se zabezpečením.

Důležité: Když povolíte Microsoft Defender for Containers a nasadíte Azure Arc do clusterů EKS, začnou se začínat ochrany a poplatky. Pokud azure Arc nenasazujete do clusteru, Defender for Containers ho nebude chránit a za tento plán Microsoft Defenderu pro tento cluster se neúčtují žádné poplatky.

Závažnost: Vysoká

Doporučení roviny dat

Po povolení služby Azure Policy pro Kubernetes jsou pro AWS podporována všechna doporučení zabezpečení roviny dat Kubernetes.

Doporučení pro data AWS

Clustery Amazon Aurora by měly mít povolené navracení

Popis: Tento ovládací prvek zkontroluje, jestli clustery Amazon Aurora mají povolené navracení. Zálohy vám pomůžou rychleji se zotavit z incidentu zabezpečení. Také posiluje odolnost vašich systémů. Zpětné navracení Aurora zkracuje dobu obnovení databáze k určitému bodu v čase. K tomu nevyžaduje obnovení databáze. Další informace o navracení v Aurora naleznete v tématu Navracení clusteru Aurora DB v uživatelské příručce Amazon Aurora.

Závažnost: Střední

Snímky Amazon EBS by neměly být veřejně obnovitelné

Popis: Snímky Amazon EBS by neměly být veřejně obnovitelné všemi, pokud nejsou explicitně povoleny, aby se zabránilo náhodnému vystavení dat. Kromě toho by oprávnění ke změně konfigurací Amazon EBS mělo být omezeno pouze na autorizované účty AWS.

Závažnost: Vysoká

Definice úloh Amazon ECS by měly mít zabezpečené síťové režimy a definice uživatelů.

Popis: Tento ovládací prvek kontroluje, zda aktivní definice úlohy Amazon ECS, která má hostitelský síťový režim, má také privilegované definice kontejneru nebo uživatele. Ovládací prvek selže pro definice úloh, které mají režim sítě hostitele a definice kontejneru, kde privileged=false nebo je prázdný a user=root nebo je prázdný. Pokud má definice úlohy zvýšená oprávnění, je to proto, že se zákazník výslovně přihlásil k této konfiguraci. Tento ovládací prvek kontroluje neočekávanou eskalaci oprávnění, pokud je v definici úlohy povolená síť hostitelů, ale zákazník se nepřihlásil ke zvýšeným oprávněním.

Závažnost: Vysoká

Domény služby Amazon Elasticsearch by měly šifrovat data odesílaná mezi uzly.

Popis: Tento ovládací prvek zkontroluje, jestli mají domény Amazon ES povolené šifrování mezi uzly. Pomocí protokolu HTTPS (TLS) můžete zabránit potenciálním útočníkům v odposlouchávání nebo manipulaci s síťovým provozem pomocí útoku typu person-in-the-middle nebo podobných útoků. Měla by být povolena pouze šifrovaná připojení přes PROTOKOL HTTPS (TLS). Povolení šifrování mezi uzly pro domény Amazon ES zajišťuje šifrování komunikace uvnitř clusteru při přenosu. K této konfiguraci může být přidruženo snížení výkonu. Před povolením této možnosti byste měli vědět a otestovat kompromis mezi výkonem.

Závažnost: Střední

Domény služby Amazon Elasticsearch by měly mít povolené šifrování neaktivních uložených dat.

Popis: Je důležité povolit šifrování zbytku domén Amazon ES za účelem ochrany citlivých dat.

Závažnost: Střední

Databáze Amazon RDS by měla být šifrovaná pomocí klíče spravovaného zákazníkem.

Popis: Tato kontrola identifikuje databáze RDS, které jsou šifrované pomocí výchozích klíčů Služba správy klíčů, a ne pomocí klíčů spravovaných zákazníkem. Jako hlavní postup používejte klíče spravované zákazníkem k šifrování dat v databázích RDS a udržování kontroly nad klíči a daty v citlivých úlohách.

Závažnost: Střední

Instance Amazon RDS by měla být nakonfigurovaná s automatickým nastavením zálohování.

Popis: Tato kontrola identifikuje instance RDS, které nejsou nastaveny pomocí nastavení automatického zálohování. Pokud je nastavená automatická záloha, služba RDS vytvoří snímek svazku úložiště vaší instance databáze, zálohuje celou instanci databáze a ne jenom jednotlivé databáze, které poskytují obnovení k určitému bodu v čase. Automatické zálohování probíhá během zadané doby zálohování a uchovává zálohy po omezenou dobu, jak je definováno v období uchovávání. Doporučujeme nastavit automatické zálohování důležitých serverů RDS, které pomáhají v procesu obnovení dat.

Závažnost: Střední

Clustery Amazon Redshift by měly mít povolené protokolování auditu.

Popis: Tento ovládací prvek zkontroluje, jestli má cluster Amazon Redshift povolené protokolování auditu. Protokolování auditu Amazon Redshift poskytuje další informace o připojeních a aktivitách uživatelů ve vašem clusteru. Tato data je možné ukládat a zabezpečit v AmazonU S3 a můžou být užitečná při auditech zabezpečení a šetřeních. Další informace najdete v tématu Protokolování auditu databáze v Průvodci správou clusteru Amazon Redshift.

Závažnost: Střední

Clustery Amazon Redshift by měly mít povolené automatické snímky.

Popis: Tento ovládací prvek kontroluje, jestli mají clustery Amazon Redshift povolené automatizované snímky. Také zkontroluje, jestli je doba uchování snímku větší nebo rovna sedmi. Zálohy vám pomůžou rychleji se zotavit z incidentu zabezpečení. Posiluje odolnost vašich systémů. Amazon Redshift ve výchozím nastavení provádí pravidelné snímky. Tento ovládací prvek zkontroluje, jestli jsou povolené a uchovány automatické snímky po dobu nejméně sedmi dnů. Další informace o automatizovaných snímcích Amazon Redshift naleznete v tématu Automatizované snímky v Průvodci správou clusteru Amazon Redshift.

Závažnost: Střední

Clustery Amazon Redshift by měly zakázat veřejný přístup.

Popis: Doporučujeme clustery Amazon Redshift, aby se zabránilo veřejné přístupnosti vyhodnocením pole veřejně nepřístupné v položce konfigurace clusteru.

Závažnost: Vysoká

Amazon Redshift by měl mít povolené automatické upgrady na hlavní verze.

Popis: Tento ovládací prvek zkontroluje, jestli jsou pro cluster Amazon Redshift povolené automatické upgrady hlavních verzí. Povolení automatických upgradů hlavních verzí zajišťuje, že se během časového období údržby nainstalují nejnovější aktualizace hlavní verze clusterů Amazon Redshift. Tyto aktualizace můžou zahrnovat opravy zabezpečení a opravy chyb. Udržování aktuálního stavu instalace oprav je důležitým krokem při zabezpečení systémů.

Závažnost: Střední

Fronty Amazon SQS by měly být zašifrované v klidovém stavu.

Popis: Tento ovládací prvek zkontroluje, jestli jsou neaktivní neaktivní zašifrované fronty Amazon SQS. Šifrování na straně serveru (SSE) umožňuje přenášet citlivá data v šifrovaných frontách. K ochraně obsahu zpráv ve frontách používá služba SSE klíče spravované v Služba správy klíčů AWS. Další informace najdete v tématu Šifrování neaktivních uložených dat v příručce pro vývojáře služby Amazon Simple Queue Service.

Závažnost: Střední

Odběr oznámení událostí RDS by se měl nakonfigurovat pro důležité události clusteru.

Popis: Tento ovládací prvek zkontroluje, jestli existuje odběr událostí Amazon RDS s povolenými oznámeními pro následující typ zdroje, páry klíč-hodnota kategorie události. DBCluster: ["údržba" a "selhání"]. Oznámení událostí RDS používají Amazon SNS k tomu, abyste věděli o změnách dostupnosti nebo konfigurace prostředků RDS. Tato oznámení umožňují rychlou odezvu. Další informace o oznámeních událostí RDS naleznete v části Použití oznámení událostí Amazon RDS v uživatelské příručce Amazon RDS.

Závažnost: Nízká

Odběr oznámení událostí RDS by se měl nakonfigurovat pro důležité události instance databáze.

Popis: Tento ovládací prvek zkontroluje, jestli existuje odběr událostí Amazon RDS s oznámeními povolenými pro následující typ zdroje. kategorie události párů klíč-hodnota. DBInstance: ["údržba", "změna konfigurace" a "selhání"]. Oznámení událostí RDS používají Amazon SNS k tomu, abyste věděli o změnách dostupnosti nebo konfigurace prostředků RDS. Tato oznámení umožňují rychlou odezvu. Další informace o oznámeních událostí RDS naleznete v části Použití oznámení událostí Amazon RDS v uživatelské příručce Amazon RDS.

Závažnost: Nízká

Odběr oznámení událostí RDS by se měl nakonfigurovat pro události kritické skupiny parametrů databáze.

Popis: Tento ovládací prvek zkontroluje, jestli existuje odběr událostí Amazon RDS s oznámeními povolenými pro následující typ zdroje. kategorie události párů klíč-hodnota. DBParameterGroup: ["configuration","change"]. Oznámení událostí RDS používají Amazon SNS k tomu, abyste věděli o změnách dostupnosti nebo konfigurace prostředků RDS. Tato oznámení umožňují rychlou odezvu. Další informace o oznámeních událostí RDS naleznete v části Použití oznámení událostí Amazon RDS v uživatelské příručce Amazon RDS.

Závažnost: Nízká

Odběr oznámení událostí RDS by se měl nakonfigurovat pro důležité události skupiny zabezpečení databáze.

Popis: Tento ovládací prvek zkontroluje, jestli existuje odběr událostí Amazon RDS s oznámeními povolenými pro následující typ zdroje, páry klíč-hodnota kategorie události. DBSecurityGroup: ["configuration","change","failure"]. Oznámení událostí RDS používají Amazon SNS k tomu, abyste věděli o změnách dostupnosti nebo konfigurace prostředků RDS. Tato oznámení umožňují rychlou odpověď. Další informace o oznámeních událostí RDS naleznete v části Použití oznámení událostí Amazon RDS v uživatelské příručce Amazon RDS.

Závažnost: Nízká

Mělo by se povolit protokolování rozhraní REST brány API a rozhraní API WebSocket.

Popis: Tento ovládací prvek kontroluje, jestli jsou povolené všechny fáze rozhraní REST služby Amazon API Gateway nebo rozhraní WebSocket API. Ovládací prvek selže, pokud není protokolování povolené pro všechny metody fáze nebo pokud úroveň protokolování není CHYBA ani INFORMACE. Fáze rozhraní API Gateway REST nebo WebSocket API by měly mít povolené relevantní protokoly. Protokolování spouštění rozhraní API Gateway a rozhraní WebSocket API poskytuje podrobné záznamy požadavků provedených ve fázích rozhraní REST služby API Gateway a rozhraní WebSocket API. Mezi fáze patří back-endové odpovědi integrace rozhraní API, odpovědi autorizátoru Lambda a ID požadavku pro koncové body integrace AWS.

Závažnost: Střední

Neaktivní uložená data mezipaměti rozhraní REST API služby API brány API by se měla šifrovat.

Popis: Tento ovládací prvek zkontroluje, jestli jsou všechny metody ve fázích rozhraní REST API služby API brány API s povolenou mezipamětí zašifrované. Tento ovládací prvek selže, pokud je ve fázi rozhraní REST API služby API Gateway nakonfigurovaná nějaká metoda pro ukládání do mezipaměti a mezipaměť není šifrovaná. Šifrování neaktivních uložených dat snižuje riziko dat uložených na disku, ke které uživatel nepřistupuje k AWS. Přidá další sadu řízení přístupu, která omezí přístup k datům neoprávněným uživatelům. Například oprávnění rozhraní API jsou nutná k dešifrování dat před jejich čtením. Mezipaměti ROZHRANÍ REST API služby API Gateway by měly být zašifrované v klidovém stavu pro přidanou vrstvu zabezpečení.

Závažnost: Střední

Fáze rozhraní REST API brány API by měly být nakonfigurované tak, aby pro ověřování back-endu používaly certifikáty SSL.

Popis: Tento ovládací prvek zkontroluje, jestli fáze rozhraní REST API služby Amazon API Gateway mají nakonfigurované certifikáty SSL. Back-endové systémy tyto certifikáty používají k ověření, že příchozí požadavky pocházejí z brány rozhraní API. Fáze rozhraní REST API služby API Gateway by měly být nakonfigurované s certifikáty SSL, které umožňují back-endovým systémům ověřovat požadavky pocházející z brány rozhraní API.

Závažnost: Střední

Fáze rozhraní REST API brány API by měly mít povolené trasování X-Ray AWS.

Popis: Tento ovládací prvek zkontroluje, jestli je pro fáze rozhraní REST API služby Amazon API Gateway povolené aktivní trasování AWS X-Ray. Aktivní trasování X-Ray umožňuje rychlejší reakci na změny výkonu v základní infrastruktuře. Změny výkonu můžou vést k nedostatku dostupnosti rozhraní API. Aktivní trasování X-Ray poskytuje metriky uživatelských požadavků v reálném čase, které procházejí operacemi rozhraní REST API brány API a připojenými službami.

Závažnost: Nízká

Brána rozhraní API by měla být přidružená k webovému seznamu ACL AWS WAF.

Popis: Tento ovládací prvek zkontroluje, jestli fáze brány rozhraní API používá seznam řízení přístupu k webu AWS WAF (ACL). Tento ovládací prvek selže, pokud není webový seznam ACL AWS WAF připojený k dílčí fázi služby REST API Gateway. AWS WAF je firewall webových aplikací, který pomáhá chránit webové aplikace a rozhraní API před útoky. Umožňuje nakonfigurovat seznam ACL, což je sada pravidel, která povolují, blokují nebo spočítávají webové požadavky na základě přizpůsobitelných pravidel a podmínek zabezpečení webu, které definujete. Ujistěte se, že je vaše fáze brány rozhraní API přidružená k webovému seznamu ACL WAF AWS, aby byla chráněná před škodlivými útoky.

Závažnost: Střední

Protokolování aplikací a klasických nástrojů pro vyrovnávání zatížení by mělo být povolené.

Popis: Tento ovládací prvek zkontroluje, jestli má nástroj pro vyrovnávání zatížení aplikace a Nástroj pro vyrovnávání zatížení Classic povolené protokolování. Pokud je ovládací prvek false, ovládací prvek selže access_logs.s3.enabled . Elastic Load Balance poskytuje protokoly přístupu, které zaznamenávají podrobné informace o požadavcích odesílaných do vašeho nástroje pro vyrovnávání zatížení. Každý protokol obsahuje informace, jako je čas přijetí požadavku, IP adresa klienta, latence, cesty požadavků a odpovědi na server. Tyto protokoly přístupu můžete použít k analýze vzorů provozu a k řešení problémů. Další informace najdete v protokolech Accessu pro Nástroj pro vyrovnávání zatížení Classic v uživatelské příručce pro nástroje pro vyrovnávání zatížení Classic.

Závažnost: Střední

Připojené svazky EBS by měly být šifrované v klidovém stavu.

Popis: Tento ovládací prvek zkontroluje, jestli jsou svazky EBS v připojeném stavu šifrované. Aby bylo možné tuto kontrolu předat, musí se svazky EBS používat a šifrovat. Pokud není svazek EBS připojený, nebude se na něj tato kontrola vztahovat. Pro přidanou vrstvu zabezpečení citlivých dat ve svazcích EBS byste měli povolit šifrování EBS v klidovém stavu. Šifrování Amazon EBS nabízí jednoduché řešení šifrování pro vaše prostředky EBS, které nevyžadují vytváření, údržbu a zabezpečení vlastní infrastruktury pro správu klíčů. Při vytváření šifrovaných svazků a snímků používá AWS Služba správy klíčů hlavní klíče zákazníka (CMK). Další informace o šifrování Amazon EBS najdete v tématu Šifrování Amazon EBS v uživatelské příručce Amazon EC2 pro instance Linuxu.

Závažnost: Střední

Instance replikace AWS Database Migration Service by neměly být veřejné

Popis: Ochrana replikovaných instancí před hrozbami Instance privátní replikace by měla mít privátní IP adresu, ke které nemáte přístup mimo síť replikace. Instance replikace by měla mít privátní IP adresu, pokud jsou zdrojové a cílové databáze ve stejné síti a síť je připojená k VPC instance replikace pomocí sítě VPN, AWS Direct Připojení nebo partnerského vztahu VPC. Měli byste také zajistit, aby byl přístup ke konfiguraci instance AWS DMS omezený jenom na oprávněné uživatele. Chcete-li to provést, omezte oprávnění IAM uživatelů k úpravě nastavení a prostředků AWS DMS.

Závažnost: Vysoká

Klasické naslouchací procesy load Balanceru by měly být nakonfigurované s ukončením protokolu HTTPS nebo TLS.

Popis: Tento ovládací prvek zkontroluje, jestli jsou naslouchací procesy Load Balanceru Classic nakonfigurované s protokolem HTTPS nebo TLS pro připojení front-endu (klienta k nástroji pro vyrovnávání zatížení). Ovládací prvek se dá použít, pokud má Load Balancer naslouchací procesy Classic. Pokud váš Load Balancer pro Classic nemá nakonfigurovaný naslouchací proces, nebude ovládací prvek hlásit žádná zjištění. Tento ovládací prvek se předá, pokud jsou naslouchací procesy Load Balanceru Classic nakonfigurované s protokolem TLS nebo HTTPS pro front-endová připojení. Tento ovládací prvek selže, pokud není naslouchací proces nakonfigurovaný s protokolem TLS nebo HTTPS pro připojení front-endu. Než začnete používat nástroj pro vyrovnávání zatížení, musíte přidat jeden nebo více naslouchacích procesů. Naslouchací proces, který ke kontrole požadavků na připojení používá nakonfigurovaný protokol a port. Naslouchací procesy můžou podporovat protokoly HTTP i HTTPS/TLS. Vždy byste měli použít naslouchací proces HTTPS nebo TLS, aby nástroj pro vyrovnávání zatížení fungoval při přenosu šifrování a dešifrování.

Závažnost: Střední

Klasické nástroje pro vyrovnávání zatížení by měly mít povolené vyprazdňování připojení.

Popis: Tento ovládací prvek zkontroluje, jestli mají klasické nástroje pro vyrovnávání zatížení povolené vyprazdňování připojení. Povolení vyprázdnění připojení u klasických nástrojů pro vyrovnávání zatížení zajišťuje, že nástroj pro vyrovnávání zatížení přestane odesílat požadavky na instance, které se neregistrují nebo nejsou v pořádku. Stávající připojení jsou otevřená. To je užitečné pro instance ve skupinách automatického škálování, aby se zajistilo, že připojení nejsou náhle přerušena.

Závažnost: Střední

Distribuce cloudových adres by měly mít povolenou službu AWS WAF.

Popis: Tento ovládací prvek zkontroluje, jestli jsou distribuce CloudFront přidružené k webovým seznamům AWS WAF nebo AWS WAFv2. Pokud není distribuce přidružená k webovému seznamu ACL, ovládací prvek selže. AWS WAF je firewall webových aplikací, který pomáhá chránit webové aplikace a rozhraní API před útoky. Umožňuje nakonfigurovat sadu pravidel označovaných jako seznam řízení přístupu k webu (web ACL), který povoluje, blokuje nebo počítá webové požadavky na základě přizpůsobitelných pravidel a podmínek zabezpečení webu, které definujete. Ujistěte se, že je vaše distribuce CloudFront přidružená k webovému seznamu ACL AWS WAF, aby byla chráněná před škodlivými útoky.

Závažnost: Střední

Distribuce CloudFront by měly mít povolené protokolování.

Popis: Tento ovládací prvek zkontroluje, jestli je v distribucích CloudFront povolené protokolování přístupu k serveru. Pokud není pro distribuci povolené protokolování přístupu, ovládací prvek selže. Protokoly přístupu CloudFront poskytují podrobné informace o každém požadavku uživatele, který cloudfront obdrží. Každý protokol obsahuje informace, jako je datum a čas přijetí požadavku, IP adresa prohlížeče, který požadavek provedl, zdroj požadavku a číslo portu požadavku od prohlížeče. Tyto protokoly jsou užitečné pro aplikace, jako jsou audity zabezpečení a přístup a forenzní šetření. Další informace o analýze protokolů přístupu najdete v tématu Dotazování protokolů Amazon CloudFront v uživatelské příručce Amazon Athena.

Závažnost: Střední

Distribuce CloudFront by měly vyžadovat šifrování během přenosu.

Popis: Tento ovládací prvek zkontroluje, jestli distribuce Amazon CloudFront vyžaduje, aby čtenáři používali https přímo nebo jestli používá přesměrování. Ovládací prvek selže, pokud je ViewerProtocolPolicy nastaven na allow-all pro defaultCacheBehavior nebo cacheBehaviors. Pomocí protokolu HTTPS (TLS) můžete zabránit potenciálním útočníkům v používání útoku typu person-in-the-middle nebo podobných útoků k odposlouchnutí síťového provozu nebo manipulaci s ním. Měla by být povolena pouze šifrovaná připojení přes PROTOKOL HTTPS (TLS). Šifrování přenášených dat může ovlivnit výkon. Aplikaci byste měli otestovat pomocí této funkce, abyste porozuměli profilu výkonu a dopadu protokolu TLS.

Závažnost: Střední

Protokoly CloudTrail by se měly šifrovat v klidovém stavu pomocí Služba správy klíčů cmks.

Popis: Doporučujeme nakonfigurovat CloudTrail tak, aby používal SSE-Služba správy klíčů. Konfigurace CloudTrail pro použití SSE-Služba správy klíčů poskytuje více ovládacích prvků důvěrnosti pro data protokolu, protože daný uživatel musí mít oprávnění ke čtení S3 v odpovídajícím kontejneru protokolů a musí mít udělené dešifrovací oprávnění zásadami CMK.

Závažnost: Střední

Připojení clustery Amazon Redshift by měly být při přenosu šifrované.

Popis: Tento ovládací prvek kontroluje, jestli jsou připojení ke clusterům Amazon Redshift nutné k použití šifrování během přenosu. Kontrola selže, pokud parametr clusteru Amazon Redshift require_SSL není nastavený na hodnotu 1. Tls se dá použít k tomu, aby zabránil potenciálním útočníkům v používání útoku mezi dvěma osobami nebo podobným útokům, které odposlouchávaly nebo manipulovaly se síťovým provozem. Měla by být povolena pouze šifrovaná připojení přes protokol TLS. Šifrování přenášených dat může ovlivnit výkon. Aplikaci byste měli otestovat pomocí této funkce, abyste porozuměli profilu výkonu a dopadu protokolu TLS.

Závažnost: Střední

Připojení domén Elasticsearch by se měly šifrovat pomocí protokolu TLS 1.2.

Popis: Tento ovládací prvek zkontroluje, jestli se k používání protokolu TLS 1.2 vyžadují připojení k doménám Elasticsearch. Kontrola selže, pokud doména Elasticsearch TLSSecurityPolicy není Policy-Min-TLS-1-2-2019-07. Pomocí protokolu HTTPS (TLS) můžete zabránit potenciálním útočníkům v používání útoku typu person-in-the-middle nebo podobných útoků k odposlouchnutí síťového provozu nebo manipulaci s ním. Měla by být povolena pouze šifrovaná připojení přes PROTOKOL HTTPS (TLS). Šifrování přenášených dat může ovlivnit výkon. Aplikaci byste měli otestovat pomocí této funkce, abyste porozuměli profilu výkonu a dopadu protokolu TLS. Protokol TLS 1.2 poskytuje několik vylepšení zabezpečení oproti předchozím verzím protokolu TLS.

Závažnost: Střední

Tabulky DynamoDB by měly mít povolené obnovení k určitému bodu v čase.

Popis: Tento ovládací prvek zkontroluje, jestli je pro tabulku Amazon DynamoDB povolená obnovení k určitému bodu v čase . Zálohy vám pomůžou rychleji se zotavit z incidentu zabezpečení. Také posiluje odolnost vašich systémů. Obnovení DynamoDB k určitému bodu v čase automatizuje zálohy pro tabulky DynamoDB. Zkracuje dobu obnovení z náhodných operací odstranění nebo zápisu. Tabulky DynamoDB, které mají povolenou funkci PITR, je možné obnovit k libovolnému bodu v čase za posledních 35 dnů.

Závažnost: Střední

Výchozí šifrování EBS by mělo být povolené.

Popis: Tento ovládací prvek zkontroluje, jestli je pro Amazon Elastic Block Store (Amazon EBS) ve výchozím nastavení povolené šifrování na úrovni účtu. Pokud není povolené šifrování na úrovni účtu, ovládací prvek selže. Pokud je pro váš účet povolené šifrování, svazky Amazon EBS a kopie snímků se šifrují v klidovém stavu. Tím se pro vaše data přidá další vrstva ochrany. Další informace naleznete v tématu Šifrování ve výchozím nastavení v uživatelské příručce Amazon EC2 pro instance Linux. Všimněte si, že následující typy instancí nepodporují šifrování: R1, C1 a M1.

Závažnost: Střední

Prostředí Elastic Beanstalk by měla mít povolené vylepšené generování sestav o stavu.

Popis: Tento ovládací prvek zkontroluje, jestli je pro vaše prostředí AWS Elastic Beanstalk povolené vylepšené generování sestav stavu. Elastic Beanstalk vylepšené generování sestav o stavu umožňuje rychlejší reakci na změny ve stavu základní infrastruktury. Tyto změny můžou mít za následek nedostatek dostupnosti aplikace. Elastic Beanstalk enhanced health reporting poskytuje popisovač stavu ke zjištění závažnosti zjištěných problémů a identifikaci možných příčin, které se mají prozkoumat. Agent stavu Elastic Beanstalk, který je součástí podporovaných imagí počítačů Amazon (AMI), vyhodnocuje protokoly a metriky instancí EC2 prostředí.

Závažnost: Nízká

Aktualizace spravované platformy Elastic Beanstalk by měly být povolené.

Popis: Tento ovládací prvek zkontroluje, jestli jsou pro prostředí Elastic Beanstalk povolené aktualizace spravované platformy. Povolení aktualizací spravované platformy zajišťuje, že jsou nainstalované nejnovější dostupné opravy, aktualizace a funkce pro prostředí. Udržování aktuálního stavu instalace oprav je důležitým krokem při zabezpečení systémů.

Závažnost: Vysoká

Elastic Load Balancer by neměl mít za 90 dnů vypršení platnosti certifikátu ACM nebo vypršení platnosti certifikátu ACM.

Popis: Tato kontrola identifikuje elastické nástroje pro vyrovnávání zatížení (ELB), které používají certifikáty ACM, jejichž platnost vypršela nebo vypršela za 90 dnů. AWS Certificate Manager (ACM) je upřednostňovaným nástrojem pro zřizování, správu a nasazování certifikátů serveru. Pomocí ACM můžete požádat o certifikát nebo nasadit existující certifikát ACM nebo externí certifikát do prostředků AWS. Osvědčeným postupem je znovu importovat certifikáty s vypršenou platností nebo vypršením platnosti při zachování přidružení ELB původního certifikátu.

Závažnost: Vysoká

Protokolování chyb domény Elasticsearch do protokolů CloudWatch by mělo být povolené.

Popis: Tento ovládací prvek zkontroluje, jestli jsou domény Elasticsearch nakonfigurované tak, aby odesílaly protokoly chyb do protokolů CloudWatch. Pro domény Elasticsearch byste měli povolit protokoly chyb a odesílat tyto protokoly do protokolů CloudWatch pro uchovávání informací a odpovědi. Protokoly chyb domény můžou pomoct s audity zabezpečení a přístupu a můžou pomoct diagnostikovat problémy s dostupností.

Závažnost: Střední

Domény Elasticsearch by měly být nakonfigurované alespoň se třemi vyhrazenými hlavními uzly.

Popis: Tento ovládací prvek zkontroluje, jestli jsou domény Elasticsearch nakonfigurované alespoň se třemi vyhrazenými hlavními uzly. Tento ovládací prvek selže, pokud doména nepoužívá vyhrazené hlavní uzly. Tento ovládací prvek se předá, pokud mají domény Elasticsearch pět vyhrazených hlavních uzlů. Použití více než tří hlavních uzlů ale nemusí zmírnit riziko dostupnosti a bude mít za následek vyšší náklady. Doména Elasticsearch vyžaduje alespoň tři vyhrazené hlavní uzly pro zajištění vysoké dostupnosti a odolnosti proti chybám. Vyhrazené prostředky hlavního uzlu je možné zatížit během modrých nebo zelených nasazení datového uzlu, protože je potřeba spravovat více uzlů. Nasazení domény Elasticsearch s alespoň třemi vyhrazenými hlavními uzly zajišťuje dostatečnou kapacitu prostředků hlavního uzlu a operace clusteru v případě selhání uzlu.

Závažnost: Střední

Domény Elasticsearch by měly mít aspoň tři datové uzly.

Popis: Tento ovládací prvek zkontroluje, jestli jsou domény Elasticsearch nakonfigurované s alespoň třemi datovými uzly a zoneAwarenessEnabled je true. Doména Elasticsearch vyžaduje alespoň tři datové uzly pro zajištění vysoké dostupnosti a odolnosti proti chybám. Nasazení domény Elasticsearch s alespoň třemi datovými uzly zajišťuje operace clusteru v případě selhání uzlu.

Závažnost: Střední

Domény Elasticsearch by měly mít povolené protokolování auditu.

Popis: Tento ovládací prvek zkontroluje, jestli mají domény Elasticsearch povolené protokolování auditu. Tento ovládací prvek selže, pokud doména Elasticsearch nemá povolené protokolování auditu. Protokoly auditu jsou vysoce přizpůsobitelné. Umožňují sledovat aktivity uživatelů v clusterech Elasticsearch, včetně úspěšných a neúspěšných ověřování, požadavků na OpenSearch, změn indexu a příchozích vyhledávacích dotazů.

Závažnost: Střední

Rozšířené monitorování by mělo být nakonfigurované pro instance a clustery služby RDS DB.

Popis: Tento ovládací prvek zkontroluje, jestli je pro instance služby RDS DB povolené rozšířené monitorování. Rozšířené monitorování v Amazon RDS umožňuje rychlejší reakci na změny výkonu v základní infrastruktuře. Tyto změny výkonu můžou vést k nedostatku dostupnosti dat. Rozšířené monitorování poskytuje metriky operačního systému v reálném čase, na kterém běží vaše instance služby RDS DB. V instanci se nainstaluje agent. Agent může získat metriky přesněji, než je možné z vrstvy hypervisoru. Rozšířené metriky monitorování jsou užitečné, když chcete zjistit, jak různé procesy nebo vlákna v instanci databáze využívají procesor. Další informace naleznete v části Rozšířené monitorování v uživatelské příručce Amazon RDS.

Závažnost: Nízká

Ujistěte se, že je povolená obměně sad CMK vytvořených zákazníkem.

Popis: AWS Služba správy klíčů (Služba správy klíčů) umožňuje zákazníkům otočit záložní klíč, což je materiál klíčů uložený v rámci Služba správy klíčů, který je svázán s ID klíče hlavního klíče zákazníka vytvořeného zákazníkem (CMK). Jedná se o záložní klíč, který slouží k provádění kryptografických operací, jako je šifrování a dešifrování. Automatizovaná obměna klíčů v současné době uchovává všechny předchozí záložní klíče, aby bylo možné transparentní dešifrování šifrovaných dat. Doporučujeme povolit obměnu klíčů CMK. Obměna šifrovacích klíčů pomáhá snížit potenciální dopad ohroženého klíče, protože data zašifrovaná pomocí nového klíče nelze získat přístup pomocí předchozího klíče, který by mohl být vystaven.

Závažnost: Střední

Ujistěte se, že je v kontejneru CloudTrail S3 povolené protokolování přístupu ke kontejneru S3 kontejneru S3.

Popis: Protokolování přístupu ke kontejneru S3 generuje protokol obsahující záznamy přístupu, aby protokolování přístupu S3 bylo povoleno v kontejneru CloudTrail S3 pro každou žádost provedenou v kontejneru S3. Záznam protokolu přístupu obsahuje podrobnosti o požadavku, jako je typ požadavku, prostředky zadané v požadavku fungovaly a čas a datum zpracování požadavku. Doporučujeme povolit protokolování přístupu k kbelíku v kontejneru CloudTrail S3. Povolením protokolování kbelíku S3 v cílových kontejnerech S3 je možné zachytit všechny události, které můžou ovlivnit objekty v cílových kontejnerech. Konfigurace protokolů, které se mají umístit do samostatného kontejneru, umožňuje přístup k informacím protokolu, což může být užitečné v pracovních postupech reakce na incidenty a zabezpečení.

Závažnost: Nízká

Ujistěte se, že kontejner S3 používaný k ukládání protokolů CloudTrail není veřejně přístupný.

Popis: CloudTrail zaznamená záznam každého volání rozhraní API provedeného ve vašem účtu AWS. Tyto soubory protokolu se ukládají do kontejneru S3. Doporučuje se, aby zásady kontejneru nebo seznam řízení přístupu (ACL) použité v kontejneru S3, který protokoly CloudTrail znemožňovaly veřejný přístup k protokolům CloudTrail. Povolení veřejného přístupu k obsahu protokolu CloudTrail může nežádoucí identifikaci slabých stránek v použití nebo konfiguraci ovlivněného účtu pomoct nežádoucím uživatelům.

Závažnost: Vysoká

IAM by neměl mít prošlé certifikáty SSL/TLS

Popis: Tato kontrola identifikuje prošlé certifikáty SSL/TLS. Pokud chcete povolit připojení HTTPS k webu nebo aplikaci v AWS, potřebujete certifikát serveru SSL/TLS. K ukládání a nasazování certifikátů serveru můžete použít ACM nebo IAM. Odebrání certifikátů SSL/TLS s vypršenou platností eliminuje riziko, že se neplatný certifikát nasadí omylem do prostředku, jako je AWS Elastic Load Balancer (ELB), což může poškodit důvěryhodnost aplikace nebo webu za ELB. Tato kontrola vygeneruje výstrahy, pokud jsou v AWS IAM uložené nějaké certifikáty SSL/TLS s vypršenou platností. Osvědčeným postupem je odstranit prošlé certifikáty.

Závažnost: Vysoká

Importované certifikáty ACM by se měly prodloužit po zadaném časovém období.

Popis: Tento ovládací prvek zkontroluje, jestli jsou certifikáty ACM ve vašem účtu označené k vypršení platnosti do 30 dnů. Kontroluje importované certifikáty i certifikáty poskytované Správcem certifikátů AWS. ACM může automaticky obnovit certifikáty, které používají ověřování DNS. U certifikátů, které používají ověření e-mailu, musíte odpovědět na ověřovací e-mail domény. ACM také automaticky neobnoví certifikáty, které importujete. Importované certifikáty je nutné obnovit ručně. Další informace o spravovaném prodlužování platnosti certifikátů ACM naleznete v části Spravované obnovení certifikátů ACM v uživatelské příručce správce certifikátů AWS.

Závažnost: Střední

V účtech by se měly vyšetřovat nadměrně zřízené identity, aby se snížil index oprávnění creep (PCI).

Popis: V účtech by se měly vyšetřovat nadměrně zřízené identity, aby se snížil index oprávnění (PCI) a aby se zajistila vaše infrastruktura. Snižte pci odebráním nepoužívaných vysoce rizikových přiřazení oprávnění. Vysoká hodnota PCI odráží riziko spojené s identitami s oprávněními, která překračují jejich normální nebo požadované využití.

Závažnost: Střední

Automatické upgrady podverze RDS by měly být povolené.

Popis: Tento ovládací prvek zkontroluje, jestli jsou pro instanci databáze RDS povolené automatické upgrady podverze. Povolení automatických upgradů podverze zajistí instalaci nejnovějších aktualizací podverze systému pro správu relačních databází (RDBMS). Tyto upgrady můžou zahrnovat opravy zabezpečení a opravy chyb. Udržování aktuálního stavu instalace oprav je důležitým krokem při zabezpečení systémů.

Závažnost: Vysoká

Snímky clusteru RDS a snímky databáze by měly být zašifrované v klidovém stavu.

Popis: Tento ovládací prvek zkontroluje, jestli jsou snímky databáze RDS šifrované. Tento ovládací prvek je určený pro instance služby RDS DB. Může však také generovat závěry pro snímky instancí Aurora DB, instancí Společnosti Jupitere DB a clusterů Amazon DocumentDB. Pokud tato zjištění nejsou užitečná, můžete je potlačit. Šifrování neaktivních uložených dat snižuje riziko, že neověřený uživatel získá přístup k datům uloženým na disku. Data ve snímcích RDS by se měla šifrovat v klidovém stavu pro přidanou vrstvu zabezpečení.

Závažnost: Střední

Clustery RDS by měly mít povolenou ochranu před odstraněním.

Popis: Tento ovládací prvek zkontroluje, jestli mají clustery RDS povolenou ochranu před odstraněním. Tento ovládací prvek je určený pro instance služby RDS DB. Může však také generovat závěry pro instance Aurora DB, instance Db Jupiteru a clustery Amazon DocumentDB. Pokud tato zjištění nejsou užitečná, můžete je potlačit. Povolení ochrany před odstraněním clusteru je další vrstva ochrany před náhodným odstraněním nebo odstraněním databáze neoprávněnou entitou. Pokud je povolená ochrana před odstraněním, cluster RDS se nedá odstranit. Než bude žádost o odstranění úspěšná, musí být ochrana před odstraněním zakázaná.

Závažnost: Nízká

Clustery RDS DB by měly být nakonfigurované pro více Zóny dostupnosti

Popis: Clustery RDS DB by měly být nakonfigurované pro více uložených dat. Nasazení do více Zóny dostupnosti umožňuje automatizovat Zóny dostupnosti zajistit dostupnost převzetí služeb při selhání v případě problému s dostupností zóny dostupnosti a během běžných událostí údržby rdS.

Závažnost: Střední

Clustery RDS DB by měly být nakonfigurované tak, aby zkopírovaly značky do snímků.

Popis: Identifikace a inventář vašich IT prostředků je zásadním aspektem zásad správného řízení a zabezpečení. Potřebujete mít přehled o všech clusterech RDS DB, abyste mohli posoudit jejich stav zabezpečení a reagovat na potenciální oblasti slabosti. Snímky by měly být označené stejným způsobem jako nadřazené databázové clustery RDS. Povolením tohoto nastavení zajistíte, že snímky dědí značky nadřazených databázových clusterů.

Závažnost: Nízká

Instance služby RDS DB by měly být nakonfigurované tak, aby zkopírovaly značky do snímků.

Popis: Tento ovládací prvek zkontroluje, jestli jsou instance služby RDS DB nakonfigurované tak, aby při vytváření snímků zkopírovaly všechny značky do snímků. Identifikace a inventář vašich IT prostředků je zásadním aspektem zásad správného řízení a zabezpečení. Potřebujete mít přehled o všech instancích služby RDS DB, abyste mohli posoudit jejich stav zabezpečení a podniknout kroky týkající se potenciálních oblastí slabosti. Snímky by měly být označené stejným způsobem jako nadřazené instance databáze RDS. Povolením tohoto nastavení zajistíte, že snímky dědí značky nadřazených instancí databáze.

Závažnost: Nízká

Instance služby RDS DB by měly být nakonfigurované s více Zóny dostupnosti

Popis: Tento ovládací prvek zkontroluje, jestli je pro instance služby RDS DB povolená vysoká dostupnost. Instance RDS DB by měly být nakonfigurované pro více Zóny dostupnosti (AZ). Tím se zajistí dostupnost uložených dat. Nasazení multi-AZ umožňují automatizované převzetí služeb při selhání, pokud dojde k problému s dostupností zóny dostupnosti a během pravidelné údržby vzdálené plochy.

Závažnost: Střední

Instance databáze RDS by měly mít povolenou ochranu před odstraněním.

Popis: Tento ovládací prvek zkontroluje, jestli vaše instance služby RDS DB, které používají některý z uvedených databázových strojů, mají povolenou ochranu proti odstranění. Povolení ochrany odstranění instance je další vrstva ochrany před náhodným odstraněním nebo odstraněním databáze neoprávněnou entitou. I když je povolená ochrana před odstraněním, instanci databáze RDS nejde odstranit. Než bude žádost o odstranění úspěšná, musí být ochrana před odstraněním zakázaná.

Závažnost: Nízká

Instance služby RDS DB by měly mít povolené šifrování neaktivních uložených dat.

Popis: Tento ovládací prvek zkontroluje, jestli je pro vaše instance Amazon RDS DB povolené šifrování úložiště. Tento ovládací prvek je určený pro instance služby RDS DB. Může však také generovat závěry pro instance Aurora DB, instance Db Jupiteru a clustery Amazon DocumentDB. Pokud tato zjištění nejsou užitečná, můžete je potlačit. Pro přidanou vrstvu zabezpečení citlivých dat v instancích služby RDS DB byste měli nakonfigurovat, aby se instance vzdálené plochy zašifrovaly v klidovém stavu. Pokud chcete zašifrovat instance a snímky služby RDS DB v klidovém stavu, povolte možnost šifrování pro vaše instance služby RDS DB. Data, která jsou zašifrovaná v klidovém stavu, zahrnují základní úložiště pro instance databáze, jeho automatizované zálohy, repliky pro čtení a snímky. Šifrované instance databáze RDS používají otevřený standardní šifrovací algoritmus AES-256 k šifrování dat na serveru, který je hostitelem instancí služby RDS DB. Po zašifrování dat zpracovává Amazon RDS ověřování přístupu a dešifrování dat transparentně s minimálním dopadem na výkon. Abyste mohli používat šifrování, nemusíte upravovat databázové klientské aplikace. Šifrování Amazon RDS je aktuálně dostupné pro všechny databázové stroje a typy úložišť. Šifrování Amazon RDS je k dispozici pro většinu tříd instancí databáze. Další informace o třídách instancí databáze, které nepodporují šifrování Amazon RDS, najdete v části Šifrování prostředků Amazon RDS v uživatelské příručce Amazon RDS.

Závažnost: Střední

Instance služby RDS DB by měly zakázat veřejný přístup.

Popis: Doporučujeme také zajistit, aby byl přístup ke konfiguraci vaší instance RDS omezen pouze na autorizované uživatele tím, že omezíte oprávnění IAM uživatelů k úpravě nastavení a prostředků instancí vzdálené plochy.

Závažnost: Vysoká

Snímky RDS by měly zakázat veřejný přístup

Popis: Doporučujeme povolit přístup k snímku jenom autorizovaným objektům zabezpečení a změnit konfiguraci Amazon RDS.

Závažnost: Vysoká

Odebrání nepoužívaných tajných kódů Správce tajných kódů

Popis: Tento ovládací prvek zkontroluje, jestli byly vaše tajné kódy přístupné během zadaného počtu dnů. Výchozí hodnota je 90 dní. Pokud tajný kód nebyl během definovaného počtu dnů přístupný, tento ovládací prvek selže. Odstranění nepoužívaných tajných kódů je stejně důležité jako obměna tajných kódů. Nepoužité tajné kódy mohou zneužít jejich bývalí uživatelé, kteří už k těmto tajným kódům nepotřebují přístup. Navíc, protože více uživatelů získá přístup k tajnému kódu, někdo by mohl ošetřit a unikl ho neoprávněné entitě, což zvyšuje riziko zneužití. Odstranění nepoužívaných tajných kódů pomáhá odvolat přístup k tajným kódům uživatelům, kteří ho už nepotřebují. Pomáhá také snížit náklady na používání Správce tajných kódů. Proto je nezbytné pravidelně odstraňovat nepoužívané tajné kódy.

Závažnost: Střední

Kontejnery S3 by měly mít povolenou replikaci mezi oblastmi.

Popis: Povolení replikace S3 mezi oblastmi zajišťuje, že více verzí dat je k dispozici v různých různých oblastech. To vám umožní chránit kontejner S3 před útoky DDoS a událostmi poškození dat.

Závažnost: Nízká

Kontejnery S3 by měly mít povolené šifrování na straně serveru.

Popis: Povolte šifrování na straně serveru pro ochranu dat v kontejnerech S3. Šifrování dat může zabránit přístupu k citlivým datům v případě porušení zabezpečení dat.

Závažnost: Střední

Tajné kódy Správce tajných kódů nakonfigurované pomocí automatické obměna by se měly úspěšně otočit.

Popis: Tento ovládací prvek zkontroluje, jestli se tajný kód AWS Secrets Manager úspěšně otočil na základě plánu obměna. Ovládací prvek selže, pokud RotationOccurringAsScheduled je false. Ovládací prvek nevyhodnocuje tajné kódy, které nemají nakonfigurovanou rotaci. Správce tajných kódů pomáhá zlepšit stav zabezpečení vaší organizace. Tajné kódy zahrnují přihlašovací údaje databáze, hesla a klíče rozhraní API třetích stran. Pomocí Správce tajných kódů můžete ukládat tajné kódy centrálně, šifrovat tajné kódy automaticky, řídit přístup k tajným kódům a bezpečně a automaticky obměňovat tajné kódy. Správce tajných kódů může obměňovat tajné kódy. Obměně můžete nahradit dlouhodobé tajné kódy krátkodobými tajnými kódy. Obměně tajných kódů omezuje dobu, po jakou může neoprávněný uživatel použít ohrožený tajný kód. Z tohoto důvodu byste měli často obměňovat tajné kódy. Kromě konfigurace tajných kódů pro automatické obměna byste měli zajistit, aby se tyto tajné kódy úspěšně otáčely na základě plánu obměna. Další informace o obměně najdete v části Obměně tajných kódů AWS Secrets Manageru v uživatelské příručce AWS Secrets Manager.

Závažnost: Střední

Tajné kódy Správce tajných kódů by se měly obměňovat během zadaného počtu dnů.

Popis: Tento ovládací prvek kontroluje, jestli byly tajné kódy obměněné alespoň jednou během 90 dnů. Rotace tajných kódů vám může pomoct snížit riziko neoprávněného použití tajných kódů ve vašem účtu AWS. Mezi příklady patří přihlašovací údaje databáze, hesla, klíče rozhraní API třetích stran a dokonce libovolný text. Pokud tajné kódy po dlouhou dobu nezměníte, pravděpodobně dojde k ohrožení zabezpečení tajných kódů. S tím, jak více uživatelů získá přístup k tajnému kódu, může být pravděpodobnější, že někdo chybně ošetřel a unikl ho neoprávněné entitě. Tajné kódy mohou být unikly prostřednictvím protokolů a dat mezipaměti. Dají se sdílet pro účely ladění a po dokončení ladění se nedají změnit ani odvolat. Z těchto důvodů by se tajné kódy měly často obměňovat. Tajné kódy můžete nakonfigurovat pro automatickou obměnu ve Správci tajných kódů AWS. Díky automatické obměně můžete dlouhodobé tajné kódy nahradit krátkodobými tajnými klíči, což výrazně snižuje riziko ohrožení. Security Hub doporučuje povolit obměnu tajných kódů Správce tajných kódů. Další informace o obměně najdete v části Obměně tajných kódů AWS Secrets Manageru v uživatelské příručce AWS Secrets Manager.

Závažnost: Střední

Témata SNS by se měla šifrovat v klidovém stavu pomocí služby AWS Služba správy klíčů

Popis: Tento ovládací prvek zkontroluje, jestli je neaktivní neaktivní zašifrované téma SNS pomocí Služba správy klíčů AWS. Šifrování neaktivních uložených dat snižuje riziko dat uložených na disku, ke které uživatel nepřistupuje k AWS. Přidá také další sadu řízení přístupu, která omezí schopnost neoprávněných uživatelů přistupovat k datům. Například oprávnění rozhraní API jsou nutná k dešifrování dat před jejich čtením. Témata SNS by se měla šifrovat v klidovém stavu pro přidanou vrstvu zabezpečení. Další informace najdete v tématu Šifrování neaktivních uložených dat v Příručce pro vývojáře amazon simple notification service.

Závažnost: Střední

Protokolování toku VPC by mělo být povolené ve všech VPC.

Popis: Protokoly toku VPC poskytují přehled o síťovém provozu, který prochází přes VPC, a dá se použít k detekci neobvyklého provozu nebo přehledu během událostí zabezpečení.

Závažnost: Střední

Doporučení AWS IdentityAndAccess

Domény služby Amazon Elasticsearch by měly být v nástroji VPC.

Popis: VPC nemůže obsahovat domény s veřejným koncovým bodem. Poznámka: Tím se nevyhodnocuje konfigurace směrování podsítě VPC za účelem určení veřejné dostupnosti.

Závažnost: Vysoká

Oprávnění Amazon S3 udělená jiným účtům AWS v zásadách kontejnerů by měla být omezená.

Popis: Implementace přístupu s nejnižšími oprávněními je zásadní pro snížení rizika zabezpečení a dopadu chyb nebo škodlivého záměru. Pokud zásada kbelíku S3 umožňuje přístup z externích účtů, může vést k exfiltraci dat vnitřní hrozbou nebo útočníkem. Parametr blacklistedactionpatterns umožňuje úspěšné vyhodnocení pravidla pro kontejnery S3. Parametr uděluje přístup k externím účtům pro vzory akcí, které nejsou zahrnuty v seznamu blacklistedactionpatterns.

Závažnost: Vysoká

Vyhněte se použití účtu root.

Popis: Účet root má neomezený přístup ke všem prostředkům v účtu AWS. Důrazně doporučujeme, aby se používání tohoto účtu zabránilo. Účet root je nejprivilegovanějším účtem AWS. Minimalizace použití tohoto účtu a přijetí zásady nejnižších oprávnění pro správu přístupu sníží riziko náhodných změn a nezamýšlené zpřístupnění vysoce privilegovaných přihlašovacích údajů.

Závažnost: Vysoká

Klíče Služba správy klíčů AWS by neměly být neúmyslně odstraněny.

Popis: Tento ovládací prvek zkontroluje, jestli jsou Služba správy klíčů klíče naplánovány k odstranění. Ovládací prvek selže, pokud je naplánované odstranění klíče Služba správy klíčů. Služba správy klíčů klíče nelze po odstranění obnovit. Data zašifrovaná pod klíčem Služba správy klíčů jsou také trvale neobnovitelná, pokud se klíč Služba správy klíčů odstraní. Pokud byla smysluplná data zašifrována pod klíčem Služba správy klíčů naplánovaným k odstranění, zvažte dešifrování dat nebo opětovné šifrování dat pod novým klíčem Služba správy klíčů, pokud záměrně neskončíte kryptografické vymazání. Pokud je klíč Služba správy klíčů naplánovaný na odstranění, je vynucena povinná čekací doba, která umožňuje vrátit odstranění zpět, pokud byl naplánovaný omylem. Výchozí čekací doba je 30 dní, ale při plánovaném odstranění klíče Služba správy klíčů se dá zkrátit na 7 dnů. Během čekací doby je možné plánované odstranění zrušit a klíč Služba správy klíčů se neodstraní. Další informace o odstraňování klíčů Služba správy klíčů najdete v tématu Odstranění klíčů Služba správy klíčů v příručce pro vývojáře AWS Služba správy klíčů.

Závažnost: Vysoká

Protokolování globálního webového seznamu ACL pro AWS WAF Classic by mělo být povolené.

Popis: Tento ovládací prvek zkontroluje, jestli je protokolování povolené pro globální seznam ACL webu AWS WAF. Tento ovládací prvek selže, pokud protokolování není pro webový seznam ACL povolené. Protokolování je důležitou součástí údržby spolehlivosti, dostupnosti a výkonu AWS WAF globálně. Je to požadavek na obchodní a dodržování předpisů v mnoha organizacích a umožňuje řešit potíže s chováním aplikací. Poskytuje také podrobné informace o provozu, který je analyzován webovým seznamem ACL připojeným k AWS WAF.

Závažnost: Střední

Distribuce CloudFront by měly mít nakonfigurovaný výchozí kořenový objekt.

Popis: Tento ovládací prvek zkontroluje, zda je distribuce Amazon CloudFront nakonfigurována tak, aby vracela konkrétní objekt, který je výchozím kořenovým objektem. Pokud distribuce CloudFront nemá nakonfigurovaný výchozí kořenový objekt, ovládací prvek selže. Uživatel může někdy požadovat kořenovou adresu URL distribuce místo objektu v distribuci. Když k tomu dojde, zadání výchozího kořenového objektu vám může pomoct vyhnout se zveřejnění obsahu vaší webové distribuce.

Závažnost: Vysoká

Distribuce CloudFront by měly mít povolenou identitu přístupu ke zdroji.

Popis: Tento ovládací prvek zkontroluje, jestli je nakonfigurovaná distribuce Amazon CloudFront s typem Zdroje Amazon S3 Origin Identity (OAI). Pokud není nakonfigurovaný OAI, ovládací prvek selže. CloudFront OAI brání uživatelům v přímém přístupu k obsahu kbelíku S3. Když uživatelé přistupují přímo k kbelíku S3, efektivně obcházejí distribuci CloudFront a všechna oprávnění, která se použijí na podkladový obsah kbelíku S3.

Závažnost: Střední

Ověření souboru protokolu CloudTrail by mělo být povolené.

Popis: Pokud chcete zajistit další kontrolu integrity protokolů CloudTrail, doporučujeme povolit ověřování souborů na všech CloudTrails.

Závažnost: Nízká

Měla by být povolená služba CloudTrail.

Popis: AWS CloudTrail je webová služba, která zaznamenává volání rozhraní API AWS pro váš účet a doručuje soubory protokolů. Ne všechny služby ve výchozím nastavení povolují protokolování pro všechna rozhraní API a události. Měli byste implementovat všechny další záznamy auditu jiné než CloudTrail a projít si dokumentaci pro každou službu v podporovaných službách a integrací CloudTrail.

Závažnost: Vysoká

Trasy CloudTrail by měly být integrované s protokoly CloudWatch.

Popis: Kromě zachycení protokolů CloudTrail v zadaném kontejneru S3 pro dlouhodobou analýzu je možné analýzu v reálném čase provést konfigurací CloudTrail pro odesílání protokolů do protokolů CloudWatch. Pro trasu, která je povolená ve všech oblastech v účtu, Odešle CloudTrail soubory protokolu ze všech těchto oblastí do skupiny protokolů CloudWatch. Doporučujeme, aby se protokoly CloudTrail odesílaly do protokolů CloudWatch, aby se zajistilo, že se aktivita účtu AWS zaznamenává, monitoruje a odpovídajícím způsobem alarmuje. Odesílání protokolů CloudTrail do protokolů CloudWatch usnadňuje protokolování aktivit v reálném čase a historické aktivitě na základě uživatele, rozhraní API, prostředku a IP adresy a poskytuje příležitost k vytvoření alarmů a oznámení pro neobvyklou aktivitu účtu nebo aktivitu účtu citlivosti.

Závažnost: Nízká

Protokolování databáze by mělo být povolené.

Popis: Tento ovládací prvek zkontroluje, jestli jsou povolené a odesílané následující protokoly Amazon RDS do protokolů CloudWatch:

• Oracle: (upozornění, audit, trasování, naslouchací proces)
• PostgreSQL: (Postgresql, Upgrade)
• MySQL: (Audit, Chyba, Obecné, SlowQuery)
• MariaDB: (Audit, Chyba, Obecné, SlowQuery)
• SQL Server: (chyba, agent)
• Aurora: (Audit, Chyba, Obecné, SlowQuery)
• Aurora-MySQL: (Audit, Chyba, Obecné, SlowQuery)
• Aurora-PostgreSQL: (Postgresql, Upgrade). Databáze RDS by měly mít povolené relevantní protokoly. Protokolování databáze poskytuje podrobné záznamy požadavků provedených v RDS. Databázové protokoly můžou pomoct s audity zabezpečení a přístupu a můžou pomoct s diagnostikou problémů s dostupností.

Závažnost: Střední

Zakázání přímého přístupu k internetu pro instance poznámkových bloků Amazon SageMaker

Popis: Přímý přístup k internetu by měl být pro instanci poznámkového bloku SageMaker zakázán. Tím zkontrolujete, jestli je pro instanci poznámkového bloku zakázané pole DirectInternetAccess. Vaše instance by měla být nakonfigurovaná s VPC a výchozí nastavení by mělo být Zakázáno – Přístup k internetu přes VPC. Pokud chcete povolit přístup k internetu pro trénování nebo hostování modelů z poznámkového bloku, ujistěte se, že váš VPC má bránu NAT a vaše skupina zabezpečení umožňuje odchozí připojení. Ujistěte se, že přístup ke konfiguraci SageMakeru je omezený jenom na oprávněné uživatele, a omezte oprávnění IAM uživatelů k úpravě nastavení a prostředků SageMakeru.

Závažnost: Vysoká

Nenastavujte přístupové klíče během počátečního nastavení uživatele pro všechny uživatele IAM, kteří mají heslo konzoly.

Popis: Konzola AWS ve výchozím nastavení zaškrtne políčko pro vytváření přístupových klíčů pro povolení. Výsledkem je zbytečně generování mnoha přístupových klíčů. Kromě nepotřebných přihlašovacích údajů generuje také nepotřebnou práci správy při auditování a obměně těchto klíčů. Vyžadování dalších kroků, které uživatel po vytvoření profilu provede, poskytne silnější označení záměru, že přístupové klíče jsou [a] nezbytné pro svou práci, a [b] jakmile je přístupový klíč vytvořen na účtu, který by mohl klíče používat někde v organizaci.

Závažnost: Střední

Zajištění vytvoření role podpory pro správu incidentů pomocí podpory AWS

Popis: AWS poskytuje centrum podpory, které se dá použít k oznámení a reakci na incidenty, jakož i technickou podporu a služby zákazníků. Vytvořte roli IAM, která oprávněným uživatelům umožní spravovat incidenty pomocí podpory AWS. Díky implementaci nejnižších oprávnění pro řízení přístupu vyžaduje role IAM odpovídající zásady IAM, které umožňují přístup k Centru podpory podpory, aby bylo možné spravovat incidenty pomocí podpory AWS.

Závažnost: Nízká

Ujistěte se, že se přístupové klíče obměňují každých 90 dnů nebo méně.

Popis: Přístupové klíče se skládají z ID přístupového klíče a tajného přístupového klíče, které slouží k podepisování programových požadavků, které provedete v AWS. Uživatelé AWS potřebují vlastní přístupové klíče, aby mohli programově volat AWS z rozhraní příkazového řádku AWS (AWS CLI), Nástrojů pro Windows PowerShell, sad AWS SDK nebo přímých volání HTTP pomocí rozhraní API pro jednotlivé služby AWS. Doporučuje se pravidelně obměňovat všechny přístupové klíče. Rotace přístupových klíčů zkracuje okno příležitosti pro přístupový klíč, který je spojený s ohroženým nebo ukončeným účtem, který se má použít. Přístupové klíče by se měly otočit, aby se zajistilo, že data nebudou přístupná starým klíčem, který by mohl být ztracený, prasklý nebo odcizený.

Závažnost: Střední

Ujistěte se, že je ve všech oblastech povolená konfigurace AWS.

Popis: AWS Config je webová služba, která provádí správu konfigurace podporovaných prostředků AWS v rámci vašeho účtu a doručuje soubory protokolu. Zaznamenané informace zahrnují položku konfigurace (prostředek AWS), vztahy mezi položkami konfigurace (prostředky AWS), všechny změny konfigurace mezi prostředky. Doporučujeme povolit konfiguraci AWS ve všech oblastech.

Historie položek konfigurace AWS zachycená konfigurací AWS Config umožňuje analýzu zabezpečení, sledování změn prostředků a auditování dodržování předpisů.

Závažnost: Střední

Ujistěte se, že je služba CloudTrail povolená ve všech oblastech.

Popis: AWS CloudTrail je webová služba, která zaznamenává volání rozhraní API AWS pro váš účet a doručuje soubory protokolů. Zaznamenané informace zahrnují identitu volajícího rozhraní API, čas volání rozhraní API, zdrojovou IP adresu volajícího rozhraní API, parametry požadavku a prvky odpovědi vrácené službou AWS. CloudTrail poskytuje historii volání rozhraní API AWS pro účet, včetně volání rozhraní API provedených prostřednictvím konzoly pro správu, sad SDK, nástrojů příkazového řádku a služeb AWS vyšší úrovně (například CloudFormation). Historie volání rozhraní API AWS vytvořená službou CloudTrail umožňuje analýzu zabezpečení, sledování změn prostředků a auditování dodržování předpisů. Dále:

• zajištění, že existuje záznam s více oblastmi, zajistí, že se zjistí neočekávaná aktivita, ke které dochází v jinak nepoužívaných oblastech.
• zajištění, že existuje stopa pro více oblastí, zajistí, že pro záznam událostí generovaných v globálních službách AWS je ve výchozím nastavení povolené protokolování globální služby Global Service Logging.
• pro záznam ve více oblastech zajišťuje, aby události správy nakonfigurované pro všechny typy čtení a zápisů zajistily záznam operací správy, které se provádějí u všech prostředků v účtu AWS.

Závažnost: Vysoká

Ujistěte se, že jsou zakázané nepoužívané přihlašovací údaje po dobu 90 dnů nebo vyšší.

Popis: Uživatelé IAM AWS mají přístup k prostředkům AWS pomocí různých typů přihlašovacích údajů, jako jsou hesla nebo přístupové klíče. Doporučujeme odebrat nebo deaktivovat všechny přihlašovací údaje, které se během 90 nebo více dnů nepoužívané. Zakázání nebo odebrání nepotřebných přihlašovacích údajů zkracuje okno příležitosti pro přihlašovací údaje spojené s ohroženým nebo opuštěným účtem, který se má použít.

Závažnost: Střední

Ujistěte se, že platnost zásad hesel IAM vyprší do 90 dnů nebo méně.

Popis: Zásady hesel IAM můžou vyžadovat obměnu nebo vypršení platnosti hesel po daném počtu dnů. Doporučujeme, aby platnost hesel vypršela po 90 dnech nebo méně. Snížení doby života hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou. Kromě toho, vyžadování pravidelné změny hesla pomoci v následujících scénářích:

• Hesla můžou být někdy odcizena nebo ohrožena bez vašich znalostí. K tomu může dojít prostřednictvím ohrožení zabezpečení systému, ohrožení zabezpečení softwaru nebo interní hrozby.
• Některé podnikové a vládní webové filtry nebo proxy servery mají možnost zachytit a zaznamenávat provoz, i když je šifrovaný.
• Mnoho lidí používá stejné heslo pro mnoho systémů, jako je práce, e-mail a osobní.
• Ohrožené pracovní stanice koncových uživatelů můžou obsahovat protokolovací nástroj pro stisknutí kláves.

Závažnost: Nízká

Ujistěte se, že zásady hesel IAM brání opakovanému použití hesla.

Popis: Zásady hesel IAM můžou zabránit opakovanému použití daného hesla stejným uživatelem. Doporučuje se, aby zásady hesel znemožňovaly opakované použití hesel. Zabránění opakovanému použití hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Nízká

Ujistěte se, že zásady hesel IAM vyžadují aspoň jedno malé písmeno.

Popis: Zásady hesel se částečně používají k vynucení požadavků na složitost hesel. Zásady hesel IAM se dají použít k zajištění, že se heslo skládá z různých znakových sad. Doporučuje se, aby zásady hesel vyžadovaly alespoň jedno malé písmeno. Nastavení zásad složitosti hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Střední

Ujistěte se, že zásady hesel IAM vyžadují alespoň jedno číslo.

Popis: Zásady hesel se částečně používají k vynucení požadavků na složitost hesel. Zásady hesel IAM se dají použít k zajištění, že se heslo skládá z různých znakových sad. Doporučuje se, aby zásady hesel vyžadovaly alespoň jedno číslo. Nastavení zásad složitosti hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Střední

Ujistěte se, že zásady hesel IAM vyžadují alespoň jeden symbol.

Popis: Zásady hesel se částečně používají k vynucení požadavků na složitost hesel. Zásady hesel IAM se dají použít k zajištění, že se heslo skládá z různých znakových sad. Doporučuje se, aby zásady hesel vyžadovaly alespoň jeden symbol. Nastavení zásad složitosti hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Střední

Ujistěte se, že zásady hesel IAM vyžadují aspoň jedno velké písmeno.

Popis: Zásady hesel se částečně používají k vynucení požadavků na složitost hesel. Zásady hesel IAM se dají použít k zajištění, že se heslo skládá z různých znakových sad. Doporučuje se, aby zásady hesel vyžadovaly alespoň jedno velké písmeno. Nastavení zásad složitosti hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Střední

Ujistěte se, že zásady hesel IAM vyžadují minimální délku 14 nebo vyšší.

Popis: Zásady hesel se částečně používají k vynucení požadavků na složitost hesel. Zásady hesel IAM je možné použít k zajištění, aby heslo mělo alespoň danou délku. Doporučuje se, aby zásady hesel vyžadovaly minimální délku hesla 14. Nastavení zásad složitosti hesla zvyšuje odolnost účtu proti pokusům o přihlášení hrubou silou.

Závažnost: Střední

Ujistěte se, že je pro všechny uživatele IAM s heslem konzoly povolené vícefaktorové ověřování (MFA).

Popis: Vícefaktorové ověřování (MFA) přidá nad uživatelské jméno a heslo další vrstvu ochrany. Když se uživatel přihlásí k webu AWS, zobrazí se mu při povoleném vícefaktorovém ověřování výzva k zadání uživatelského jména a hesla a ověřovacího kódu ze svého zařízení AWS MFA. Doporučujeme povolit vícefaktorové ověřování pro všechny účty, které mají heslo konzoly. Povolení vícefaktorového ověřování poskytuje vyšší zabezpečení přístupu ke konzole, protože vyžaduje ověřování objektu zabezpečení, které má zařízení, které generuje časově citlivý klíč a má znalosti o přihlašovacích údajích.

Závažnost: Střední

Funkce GuardDuty by měla být povolená.

Popis: Pokud chcete poskytnout další ochranu před neoprávněným vniknutím, měla by být ve vašem účtu a oblasti AWS povolená ochrana GuardDuty. Poznámka: GuardDuty nemusí být kompletním řešením pro každé prostředí.

Závažnost: Střední

Pro účet root by mělo být povolené vícefaktorové ověřování hardwaru.

Popis: Kořenový účet je nejprivilegovanější uživatel v účtu. Vícefaktorové ověřování přidá nad uživatelské jméno a heslo další vrstvu ochrany. Když se uživatel přihlásí k webu AWS, zobrazí se mu při povoleném vícefaktorovém ověřování výzva k zadání uživatelského jména a hesla a ověřovacího kódu ze svého zařízení AWS MFA. Pro úroveň 2 se doporučuje chránit kořenový účet pomocí hardwarového vícefaktorového ověřování. Vícefaktorové ověřování hardwaru má menší prostor pro útoky než virtuální MFA. Například hardwarové vícefaktorové ověřování netrpí prostorem pro útok, který představuje mobilní smartphone, na kterém se nachází virtuální MFA. Použití vícefaktorového ověřování hardwaru pro mnoho účtů může způsobit problém se správou logistického zařízení. Pokud k tomu dojde, zvažte selektivní implementaci tohoto doporučení úrovně 2 na nejvyšší účty zabezpečení. Pak můžete u zbývajících účtů použít doporučení úrovně 1.

Závažnost: Nízká

Ověřování IAM by mělo být nakonfigurované pro clustery RDS.

Popis: Tento ovládací prvek zkontroluje, jestli má cluster služby RDS DB povolené ověřování databáze IAM. Ověřování databáze IAM umožňuje ověřování bez hesla pro instance databáze. Ověřování používá ověřovací token. Síťový provoz do a z databáze se šifruje pomocí PROTOKOLU SSL. Další informace najdete v tématu Ověřování databáze IAM v uživatelské příručce Amazon Aurora.

Závažnost: Střední

Ověřování IAM by mělo být nakonfigurované pro instance vzdálené plochy.

Popis: Tento ovládací prvek zkontroluje, jestli má instance databáze RDS povoleno ověřování databáze IAM. Ověřování databáze IAM umožňuje ověřování instancím databáze s ověřovacím tokenem místo hesla. Síťový provoz do a z databáze se šifruje pomocí PROTOKOLU SSL. Další informace najdete v tématu Ověřování databáze IAM v uživatelské příručce Amazon Aurora.

Závažnost: Střední

Zásady spravované zákazníkem IAM by neměly umožňovat dešifrování akcí u všech klíčů Služba správy klíčů

Popis: Kontroluje, jestli výchozí verze zásad spravovaných zákazníkem IAM umožňuje objektům zabezpečení používat akce dešifrování Služba správy klíčů AWS u všech prostředků. Tento ovládací prvek používá Zelkova, automatizovaný modul pro odůvodnění, k ověření a upozornění na zásady, které by mohly udělit široký přístup k vašim tajným kódům napříč účty AWS. Tento ovládací prvek selže, pokud jsou u všech klíčů Služba správy klíčů povolené akce kms:Decrypt nebo Kms:ReEncryptFrom. Ovládací prvek vyhodnotí připojené i nepřipojené zásady spravované zákazníkem. Nekontroluje vložené zásady ani spravované zásady AWS. S Služba správy klíčů AWS řídíte, kdo může používat klíče Služba správy klíčů a získat přístup k zašifrovaným datům. Zásady IAM definují, které akce může identita (uživatel, skupina nebo role) provádět s jakými prostředky. Podle osvědčených postupů zabezpečení doporučuje AWS povolit nejnižší oprávnění. Jinými slovy, měli byste identitám udělit pouze oprávnění kms:Decrypt nebo kms:ReEncryptFrom a pouze pro klíče, které jsou potřeba k provedení úkolu. Jinak může uživatel používat klíče, které nejsou vhodné pro vaše data. Místo udělení oprávnění pro všechny klíče určete minimální sadu klíčů, které uživatelé potřebují pro přístup k šifrovaným datům. Pak navrhněte zásady, které uživatelům umožňují používat pouze tyto klíče. Například nepovolujte oprávnění kms:Decrypt pro všechny klíče Služba správy klíčů. Místo toho povolte "kms:Decrypt" pouze u klíčů v konkrétní oblasti pro váš účet. Přijetím zásady nejnižších oprávnění můžete snížit riziko neúmyslného zveřejnění vašich dat.

Závažnost: Střední

Zásady spravované zákazníkem IAM, které vytvoříte, by neměly povolovat akce se zástupnými znaky pro služby.

Popis: Tento ovládací prvek zkontroluje, jestli zásady založené na identitě IAM, které vytvoříte, mají příkazy Povolit, které používají * zástupný znak k udělení oprávnění pro všechny akce v jakékoli službě. Ovládací prvek selže, pokud nějaké prohlášení o zásadách zahrnuje "Effect": Allow with 'Action': 'Service:*'. Například následující příkaz v zásadách způsobí neúspěšné hledání.

'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:*',
  'Resource': '*'
}

Ovládací prvek také selže, pokud použijete effect: Allow s NotAction: "service:". V takovém případě element NotAction poskytuje přístup ke všem akcím ve službě AWS s výjimkou akcí zadaných v NotAction. Tento ovládací prvek platí jenom pro zásady IAM spravované zákazníky. Nevztahuje se na zásady IAM spravované službou AWS. Když přiřadíte oprávnění ke službám AWS, je důležité nastavit rozsah povolených akcí IAM ve vašich zásadách IAM. Akce IAM byste měli omezit jenom na ty, které jsou potřeba. To vám pomůže zřídit oprávnění s nejnižšími oprávněními. Příliš permisivní zásady můžou vést k eskalaci oprávnění, pokud jsou zásady připojené k objektu zabezpečení IAM, který nemusí vyžadovat oprávnění. V některých případech můžete chtít povolit akce IAM, které mají podobnou předponu, například DescribeFlowLogs a DescribeAvailabilityZones. V těchto autorizovaných případech můžete k společné předponě přidat zástupný znak s příponou. Například ec2:Describe.

Tento ovládací prvek se předá, pokud použijete akci IAM s předponou se zástupným znakem s příponou. Například následující příkaz v zásadách vede k předání hledání.

 'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:Describe*',
  'Resource': '*'
}

Když tímto způsobem seskupíte související akce IAM, můžete se vyhnout překročení limitů velikosti zásad IAM.

Závažnost: Nízká

Zásady IAM by měly být připojené jenom ke skupinám nebo rolím.

Popis: Ve výchozím nastavení nemají uživatelé, skupiny a role IAM přístup k prostředkům AWS. Zásady IAM jsou prostředky, pomocí kterých jsou udělena oprávnění uživatelům, skupinám nebo rolím. Doporučujeme, aby se zásady IAM použily přímo na skupiny a role, ale ne pro uživatele. Přiřazení oprávnění na úrovni skupiny nebo role snižuje složitost správy přístupu při rostoucím počtu uživatelů. Snížení složitosti správy přístupu může zase snížit příležitost pro instanční objekt neúmyslně přijímat nebo uchovávat nadměrná oprávnění.

Závažnost: Nízká

Zásady IAM, které povolují úplná oprávnění správce :, by se neměly vytvářet.

Popis: Zásady IAM jsou prostředky, pomocí kterých jsou udělena oprávnění uživatelům, skupinám nebo rolím. Doporučuje se a považuje se za standardní doporučení k zabezpečení, které umožňuje udělit nejnižší oprávnění a udělit pouze oprávnění potřebná k provedení úkolu. Určete, co uživatelé potřebují dělat, a pak pro ně vytvořte zásady, které uživatelům umožňují provádět pouze tyto úlohy, místo aby povolovaly úplná oprávnění správce. Je bezpečnější začít s minimální sadou oprávnění a podle potřeby udělovat další oprávnění, nikoli začít s oprávněními, která jsou příliš časná, a pak je později zpřísnit. Poskytnutí úplných oprávnění pro správu místo omezení na minimální sadu oprávnění, která uživatel vyžaduje, aby prostředky zpřístupnil potenciálně nežádoucím akcím. Zásady IAM, které mají prohlášení s efektem: "Povolit" s akcí: "" přes "Prostředek": "" by se měly odebrat.

Závažnost: Vysoká

Instanční objekty IAM by neměly obsahovat vložené zásady IAM, které umožňují dešifrovací akce pro všechny klíče Služba správy klíčů

Popis: Kontroluje, jestli vložené zásady vložené do identit IAM (role, uživatel nebo skupina) umožňují AWS Služba správy klíčů dešifrovací akce pro všechny klíče Služba správy klíčů. Tento ovládací prvek používá Zelkova, automatizovaný modul pro odůvodnění, k ověření a upozornění na zásady, které by mohly udělit široký přístup k vašim tajným kódům napříč účty AWS. Tento ovládací prvek selže, pokud jsou akce kms:Decrypt nebo Kms:ReEncryptFrom povolené pro všechny klíče Služba správy klíčů v vložené zásadě. S Služba správy klíčů AWS řídíte, kdo může používat klíče Služba správy klíčů a získat přístup k zašifrovaným datům. Zásady IAM definují, které akce může identita (uživatel, skupina nebo role) provádět s jakými prostředky. Podle osvědčených postupů zabezpečení doporučuje AWS povolit nejnižší oprávnění. Jinými slovy, měli byste identitám udělit jenom oprávnění, která potřebují, a pouze pro klíče potřebné k provedení úlohy. Jinak může uživatel používat klíče, které nejsou vhodné pro vaše data. Místo udělení oprávnění pro všechny klíče určete minimální sadu klíčů, které uživatelé potřebují pro přístup k šifrovaným datům. Pak navrhněte zásady, které uživatelům umožňují používat pouze tyto klíče. Například nepovolujte oprávnění kms:Decrypt pro všechny klíče Služba správy klíčů. Místo toho je povolte pouze u klíčů v konkrétní oblasti pro váš účet. Přijetím zásady nejnižších oprávnění můžete snížit riziko neúmyslného zveřejnění vašich dat.

Závažnost: Střední

Funkce lambda by měly omezit veřejný přístup.

Popis: Zásady založené na prostředcích funkce lambda by měly omezit veřejný přístup. Toto doporučení nekontroluje přístup interními objekty zabezpečení. Zajistěte, aby přístup k funkci byl omezen pouze na autorizované objekty zabezpečení pomocí zásad založených na prostředcích s nejnižšími oprávněními.

Závažnost: Vysoká

Vícefaktorové ověřování by mělo být povolené pro všechny uživatele IAM.

Popis: Všichni uživatelé IAM by měli mít povolené vícefaktorové ověřování (MFA).

Závažnost: Střední

Pro účet root by mělo být povolené vícefaktorové ověřování.

Popis: Kořenový účet je nejprivilegovanější uživatel v účtu. Vícefaktorové ověřování přidá nad uživatelské jméno a heslo další vrstvu ochrany. Když se uživatel přihlásí k webu AWS, zobrazí se mu při povoleném vícefaktorovém ověřování výzva k zadání uživatelského jména a hesla a ověřovacího kódu ze svého zařízení AWS MFA. Pokud pro kořenové účty používáte virtuální MFA, doporučuje se, aby použité zařízení nebylo osobním zařízením. Místo toho používejte vyhrazené mobilní zařízení (tablet nebo telefon), které spravujete, abyste zachovali poplatky a zabezpečení nezávisle na jednotlivých osobních zařízeních. Tím se sníží riziko ztráty přístupu k vícefaktorovém ověřování kvůli ztrátě zařízení, obchodu se zařízením nebo v případě, že jednotlivec, který zařízení vlastní, už ve společnosti nepoužívá.

Závažnost: Nízká

Zásady hesel pro uživatele IAM by měly mít silné konfigurace

Popis: Zkontroluje, jestli zásady hesel účtu pro uživatele IAM používají následující minimální konfigurace.

• RequireUppercaseCharacters– Vyžaduje alespoň jedno velké písmeno v hesle. (Default = true)
• RequireLowercaseCharacters – Vyžaduje alespoň jedno malé písmeno v hesle. (Default = true)
• RequireNumbers– Vyžaduje alespoň jedno číslo v hesle. (Default = true)
• MinimumPasswordLength- Minimální délka hesla. (Výchozí = 7 nebo delší)
• PasswordReusePrevention – počet hesel před povolením opětovného použití. (Výchozí = 4)
• MaxPasswordAge – počet dní před vypršením platnosti hesla. (Výchozí = 90)

Závažnost: Střední

Přístupový klíč kořenového účtu by neměl existovat.

Popis: Kořenový účet je nejprivilegovanějším uživatelem v účtu AWS. Přístupové klíče AWS poskytují programový přístup k danému účtu AWS. Doporučujeme odebrat všechny přístupové klíče přidružené ke kořenovému účtu. Odebrání přístupových klíčů přidružených k vektorům omezení kořenového účtu, kterými může být účet ohrožen. Kromě toho odebrání kořenových přístupových klíčů podporuje vytváření a používání účtů založených na rolích, které jsou nejméně privilegované.

Závažnost: Vysoká

Mělo by být povolené nastavení S3 Block Public Access (Blokovat veřejný přístup).

Popis: Povolení nastavení blokovat veřejný přístup pro kontejner S3 může pomoct zabránit únikům citlivých dat a chránit kontejner před škodlivými akcemi.

Závažnost: Střední

Nastavení S3 Block Public Access (Blokovat veřejný přístup) by mělo být povolené na úrovni kontejneru.

Popis: Tento ovládací prvek kontroluje, jestli kontejnery S3 mají použité bloky veřejného přístupu na úrovni kbelíku. Tento ovládací prvek selže, pokud je některá z následujících nastavení nastavená na false:

• ignorePublicAcls
• blockPublicPolicy
• blockPublicAcls
• omezeníPublicBuckets Blokovat veřejný přístup na úrovni kontejneru S3 poskytuje ovládací prvky, které zajistí, že objekty nikdy nemají veřejný přístup. Veřejný přístup se uděluje kontejnerům a objektům prostřednictvím seznamů řízení přístupu (ACL), zásad kbelíku nebo obojího. Pokud nemáte v úmyslu veřejně zpřístupnit kontejnery S3, měli byste nakonfigurovat funkci Amazon S3 Block Public Access na úrovni kbelíku.

Závažnost: Vysoká

Veřejný přístup ke čtení by se měl odebrat v kontejnerech S3.

Popis: Odebrání veřejného přístupu pro čtení do kontejneru S3 může pomoct chránit vaše data a zabránit porušení zabezpečení dat.

Závažnost: Vysoká

Veřejný přístup k zápisu do kontejnerů S3 by se měl odebrat.

Popis: Povolení přístupu k veřejnému zápisu do kontejneru S3 vám umožní ohrozit škodlivé akce, jako je ukládání dat na vaše výdaje, šifrování souborů za účelem výkupného nebo používání kontejneru k provozování malwaru.

Závažnost: Vysoká

Tajné kódy Správce tajných kódů by měly mít povolenou automatickou obměnu.

Popis: Tento ovládací prvek zkontroluje, jestli je tajný kód uložený ve Správci tajných kódů AWS nakonfigurovaný s automatickou obměnou. Správce tajných kódů pomáhá zlepšit stav zabezpečení vaší organizace. Tajné kódy zahrnují přihlašovací údaje databáze, hesla a klíče rozhraní API třetích stran. Pomocí Správce tajných kódů můžete ukládat tajné kódy centrálně, šifrovat tajné kódy automaticky, řídit přístup k tajným kódům a bezpečně a automaticky obměňovat tajné kódy. Správce tajných kódů může obměňovat tajné kódy. Obměně můžete nahradit dlouhodobé tajné kódy krátkodobými tajnými kódy. Obměně tajných kódů omezuje dobu, po jakou může neoprávněný uživatel použít ohrožený tajný kód. Z tohoto důvodu byste měli často obměňovat tajné kódy. Další informace o obměně najdete v části Obměně tajných kódů AWS Secrets Manageru v uživatelské příručce AWS Secrets Manager.

Závažnost: Střední

Zastavené instance EC2 by měly být odebrány po zadaném časovém období.

Popis: Tento ovládací prvek zkontroluje, jestli byly některé instance EC2 zastaveny déle než povolený počet dní. Instance EC2 tuto kontrolu nezdaří, pokud je zastavena déle, než je maximální povolené časové období, což je ve výchozím nastavení 30 dnů. Neúspěšné zjištění značí, že instance EC2 se po dlouhou dobu nespustí. To vytváří bezpečnostní riziko, protože instance EC2 se aktivně neudržuje (analyzovaná, opravená, aktualizovaná). Pokud se později spustí, může nedostatek správné údržby vést k neočekávaným problémům ve vašem prostředí AWS. Pokud chcete bezpečně udržovat instanci EC2 v čase v nerušovacím stavu, spusťte ji pravidelně pro údržbu a po údržbě ji zastavte. V ideálním případě se jedná o automatizovaný proces.

Závažnost: Střední

Nadměrné identity AWS by měly mít pouze potřebná oprávnění (Preview).

Popis: Nadměrně zřízená aktivní identita je identita, která má přístup k oprávněním, která nepoužívají. Nadměrně zřízené aktivní identity, zejména u nelidských účtů, které mají definované akce a odpovědnosti, můžou zvýšit poloměr výbuchu v případě ohrožení zabezpečení uživatele, klíče nebo prostředku. Odeberte nepotřebná oprávnění a nastavte procesy kontroly, abyste dosáhli nejnižších privilegovaných oprávnění.

Závažnost: Střední

Nepoužité identity ve vašem prostředí AWS by se měly odebrat (Preview)

Popis: Neaktivní identity jsou lidské a nelidé entity, které v posledních 90 dnech neprovedli žádnou akci u žádného prostředku. Neaktivní identity IAM s vysoce rizikovými oprávněními ve vašem účtu AWS můžou být náchylné k útoku, pokud zůstanou tak, jak jsou, a nechat organizace otevřené pro zneužití nebo zneužití přihlašovacích údajů. Proaktivní zjišťování a reagování na nepoužívané identity pomáhá zabránit neoprávněným entitám v získání přístupu k vašim prostředkům AWS.

Závažnost: Střední

Doporučení pro sítě AWS

Amazon EC2 by měl být nakonfigurovaný tak, aby používal koncové body VPC.

Popis: Tento ovládací prvek zkontroluje, jestli je pro každý VPC vytvořen koncový bod služby pro Amazon EC2. Tento ovládací prvek selže, pokud VPC nemá vytvořený koncový bod VPC pro službu Amazon EC2. Pokud chcete zlepšit stav zabezpečení vašeho VPC, můžete nakonfigurovat Amazon EC2 tak, aby používal koncový bod VPC rozhraní. Koncové body rozhraní využívají AWS PrivateLink, technologii, která umožňuje privátní přístup k operacím rozhraní API Amazon EC2. Omezuje veškerý síťový provoz mezi vaším VPC a Amazon EC2 do sítě Amazon. Vzhledem k tomu, že koncové body jsou podporovány pouze ve stejné oblasti, nemůžete vytvořit koncový bod mezi VPC a službou v jiné oblasti. Tím se zabrání nezamýšleným voláním rozhraní API Amazon EC2 do jiných oblastí. Další informace o vytváření koncových bodů VPC pro Amazon EC2 najdete v tématu Koncové body Amazon EC2 a rozhraní VPC v uživatelské příručce Amazon EC2 pro linuxové instance.

Závažnost: Střední

Služby Amazon ECS by neměly mít automaticky přiřazené veřejné IP adresy.

Popis: Veřejná IP adresa je IP adresa, která je dostupná z internetu. Pokud spustíte instance Amazon ECS s veřejnou IP adresou, budou vaše instance Amazon ECS dostupné z internetu. Služby Amazon ECS by neměly být veřejně přístupné, protože to může umožnit nezamýšlený přístup k vašim aplikačním serverům kontejnerů.

Závažnost: Vysoká

Hlavní uzly clusteru Amazon EMR by neměly mít veřejné IP adresy

Popis: Tento ovládací prvek zkontroluje, jestli hlavní uzly v clusterech Amazon EMR mají veřejné IP adresy. Ovládací prvek selže, pokud má hlavní uzel veřejné IP adresy, které jsou přidružené k některé z jejích instancí. Veřejné IP adresy jsou určené v poli PublicIp konfigurace NetworkInterfaces pro instanci. Tento ovládací prvek kontroluje pouze clustery Amazon EMR, které jsou ve stavu SPUŠTĚNO nebo ČEKÁ.

Závažnost: Vysoká

Clustery Amazon Redshift by měly používat vylepšené směrování VPC.

Popis: Tento ovládací prvek zkontroluje, jestli je povolený cluster Amazon Redshift EnhancedVpcRouting. Vylepšené směrování VPC vynutí, aby veškerý provoz COPY a UNLOAD mezi clusterem a úložišti dat procházel vaším VPC. K zabezpečení síťového provozu pak můžete použít funkce VPC, jako jsou skupiny zabezpečení a seznamy řízení přístupu k síti. K monitorování síťového provozu můžete použít také protokoly toku VPC.

Závažnost: Vysoká

Nástroj pro vyrovnávání zatížení aplikace by měl být nakonfigurovaný tak, aby přesměroval všechny požadavky HTTP na HTTPS.

Popis: Pokud chcete vynutit šifrování během přenosu, měli byste použít akce přesměrování s nástroji pro vyrovnávání zatížení aplikace k přesměrování požadavků HTTP klienta na požadavek HTTPS na portu 443.

Závažnost: Střední

Nástroje pro vyrovnávání zatížení aplikací by měly být nakonfigurované tak, aby zahazovaly hlavičky HTTP.

Popis: Tento ovládací prvek vyhodnocuje nástroje pro vyrovnávání zatížení aplikací AWS (ALB), aby se zajistilo, že jsou nakonfigurované tak, aby zahodily neplatné hlavičky HTTP. Pokud je hodnota routing.http.drop_invalid_header_fields.enabled nastavená na false, ovládací prvek selže. Ve výchozím nastavení nejsou alb nakonfigurované tak, aby zahodila neplatné hodnoty hlaviček HTTP. Odebráním těchto hodnot hlaviček zabráníte útokům http desynchronizace.

Závažnost: Střední

Konfigurace funkcí lambda pro VPC

Popis: Tento ovládací prvek zkontroluje, jestli je funkce Lambda v VPC. Nevyhodnocuje konfiguraci směrování podsítě VPC za účelem určení veřejné dostupnosti. Všimněte si, že pokud se v účtu nachází Lambda@Edge, vygeneruje tento ovládací prvek neúspěšná zjištění. Chcete-li těmto zjištěním zabránit, můžete tento ovládací prvek zakázat.

Závažnost: Nízká

Instance EC2 by neměly mít veřejnou IP adresu.

Popis: Tento ovládací prvek kontroluje, jestli instance EC2 mají veřejnou IP adresu. Ovládací prvek selže, pokud je pole publicIp v položce konfigurace instance EC2. Tento ovládací prvek platí jenom pro adresy IPv4. Veřejná IPv4 adresa je IP adresa, která je dostupná z internetu. Pokud spustíte instanci s veřejnou IP adresou, bude vaše instance EC2 dostupná z internetu. Privátní IPv4 adresa je IP adresa, která není dostupná z internetu. Privátní IPv4 adresy můžete použít ke komunikaci mezi instancemi EC2 ve stejném VPC nebo v připojené privátní síti. Adresy IPv6 jsou globálně jedinečné, a proto jsou dostupné z internetu. Ve výchozím nastavení ale všechny podsítě mají atribut adresování IPv6 nastavený na false. Další informace o protokolu IPv6 najdete v tématu Přidělování IP adres v nástroji VPC v uživatelské příručce Amazon VPC. Pokud máte legitimní případ použití k udržování instancí EC2 s veřejnými IP adresami, můžete zjištění z tohoto ovládacího prvku potlačit. Další informace o možnostech front-endové architektury najdete v blogu O architektuře AWS nebo v řadě This Is My Architecture(Tato architektura).

Závažnost: Vysoká

Instance EC2 by neměly používat více eni

Popis: Tento ovládací prvek kontroluje, zda instance EC2 používá více elastických síťových rozhraní (ENI) nebo elastických adaptérů infrastruktury (EFA). Tento ovládací prvek se předá, pokud se použije jeden síťový adaptér. Ovládací prvek obsahuje volitelný seznam parametrů pro identifikaci povolených eni. Několik eni může způsobit duální domácí instance, což znamená instance, které mají více podsítí. To může přidat složitost zabezpečení sítě a zavést nezamýšlené síťové cesty a přístup.

Závažnost: Nízká

Instance EC2 by měly používat IMDSv2

Popis: Tento ovládací prvek zkontroluje, jestli je vaše verze metadat instance EC2 nakonfigurovaná se službou Instance Metadata Service verze 2 (IMDSv2). Ovládací prvek se předá, pokud je pro IMDSv2 nastavená hodnota HttpTokens nastavená na "required". Pokud je vlastnost HttpTokens nastavená na volitelnou, ovládací prvek selže. Metadata instance slouží ke konfiguraci nebo správě spuštěné instance. IMDS poskytuje přístup k dočasným a často obměňovaným přihlašovacím údajům. Tyto přihlašovací údaje odeberou potřebu pevného kódu nebo distribuovat citlivé přihlašovací údaje do instancí ručně nebo programově. IMDS je připojen místně ke každé instanci EC2. Běží na speciální místní IP adrese odkazu 169.254.169.254. Tato IP adresa je přístupná pouze softwarem, který běží na instanci. Verze 2 IMDS přidává nové ochrany pro následující typy ohrožení zabezpečení. Tato ohrožení zabezpečení se dají použít k pokusu o přístup k IMDS.

• Otevření firewallů webových aplikací
• Otevřít reverzní proxy servery
• Ohrožení zabezpečení požadavků na straně serveru (SSRF)
• Open Layer 3 firewalls and network address translation (NAT) Security Hub doporučuje nakonfigurovat instance EC2 pomocí IMDSv2.

Závažnost: Vysoká

Podsítě EC2 by neměly automaticky přiřazovat veřejné IP adresy

Popis: Tento ovládací prvek zkontroluje, jestli přiřazení veřejných IP adres v podsítích Amazon Virtual Private Cloud (Amazon VPC) má vlastnost MapPublicIpOnLaunch nastavenou na HODNOTU FALSE. Ovládací prvek se předá, pokud je příznak nastaven na FALSE. Všechny podsítě mají atribut, který určuje, jestli síťové rozhraní vytvořené v podsíti automaticky obdrží veřejnou adresu IPv4. Instance spuštěné do podsítí, které mají tento atribut povolený, mají přiřazenou veřejnou IP adresu přiřazenou k primárnímu síťovému rozhraní.

Závažnost: Střední

Ujistěte se, že pro změny konfigurace konfigurace AWS existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro detekci změn konfigurace CloudTrail. Monitorování změn konfigurace AWS pomáhá zajistit trvalou viditelnost položek konfigurace v rámci účtu AWS.

Závažnost: Nízká

Ujistěte se, že pro selhání ověřování konzoly pro správu AWS existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metriky a alarm pro neúspěšné pokusy o ověření konzoly. Monitorování neúspěšných přihlášení ke konzole může zkrátit dobu, kdy se zjistí pokus o útok hrubou silou na přihlašovací údaje, což může poskytnout indikátor, jako je zdrojová IP adresa, která se dá použít v jiné korelaci událostí.

Závažnost: Nízká

Ujistěte se, že pro změny seznamů řízení přístupu k síti (NACL) existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Seznamy NACLs se používají jako bezstavový filtr paketů k řízení příchozího a výchozího provozu pro podsítě v rámci VPC. Doporučuje se vytvořit filtr metriky a alarm pro změny v názvech NAC. Monitorování změn adres NACL pomáhá zajistit, aby prostředky a služby AWS byly neúmyslně vystaveny.

Závažnost: Nízká

Ujistěte se, že pro změny síťových bran existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Síťové brány se vyžadují k odesílání a příjmu provozu do cíle mimo VPC. Doporučuje se vytvořit filtr metrik a alarm pro změny síťových bran. Monitorování změn síťových bran pomáhá zajistit, aby veškerý provoz příchozího a výchozího přenosu procházející ohraničení VPC přes řízenou cestu.

Závažnost: Nízká

Ujistěte se, že pro změny konfigurace CloudTrail existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro detekci změn konfigurace CloudTrail.

Monitorování změn konfigurace CloudTrail pomáhá zajistit trvalou viditelnost aktivit prováděných v účtu AWS.

Závažnost: Nízká

Ujistěte se, že pro zakázání nebo plánovaného odstranění sad CMK vytvořených zákazníkem existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro zákazníky vytvořené cmk, které změnily stav na zakázané nebo plánované odstranění. Data šifrovaná pomocí zakázaných nebo odstraněných klíčů už nebudou přístupná.

Závažnost: Nízká

Ujistěte se, že pro změny zásad IAM existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se zavést filtr metriky a upozornění provedené změny zásad správy identit a přístupu (IAM). Monitorování změn zásad IAM pomáhá zajistit, aby ověřování a autorizační ovládací prvky zůstaly nedotčené.

Závažnost: Nízká

Ujistěte se, že pro přihlášení ke konzole pro správu bez vícefaktorového ověřování existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro přihlášení konzoly, které nejsou chráněné vícefaktorovým ověřováním (MFA). Monitorování pro přihlášení k jednofaktorové konzole zvyšuje přehled o účtech, které nejsou chráněné vícefaktorovým ověřováním.

Závažnost: Nízká

Ujistěte se, že pro změny směrovací tabulky existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Směrovací tabulky se používají ke směrování síťového provozu mezi podsítěmi a síťovými bránami. Doporučuje se vytvořit filtr metrik a alarm pro změny směrovacích tabulek. Monitorování změn směrovacích tabulek pomáhá zajistit, aby veškerý provoz VPC procházel očekávanou cestou.

Závažnost: Nízká

Ujistěte se, že pro změny zásad kontejneru S3 existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro změny zásad kbelíku S3. Monitorování změn v zásadách kbelíku S3 může zkrátit dobu, než zjistí a opraví zásady pro citlivé kontejnery S3.

Závažnost: Nízká

Ujistěte se, že pro změny skupin zabezpečení existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Skupiny zabezpečení jsou stavový filtr paketů, který řídí příchozí a výchozí provoz v rámci VPC. Doporučuje se zavést filtr metrik a alarm změny ve skupinách zabezpečení. Monitorování změn ve skupině zabezpečení pomáhá zajistit, že prostředky a služby nejsou neúmyslně vystavené.

Závažnost: Nízká

Ujistěte se, že pro neautorizovaná volání rozhraní API existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metrik a alarm pro neautorizovaná volání rozhraní API. Monitorování neautorizovaných volání rozhraní API pomáhá odhalit chyby aplikací a může zkrátit dobu detekce škodlivých aktivit.

Závažnost: Nízká

Ujistěte se, že pro použití kořenového účtu existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. Doporučuje se vytvořit filtr metriky a alarm pro pokusy o přihlášení uživatele root.

Monitorování pro přihlášení ke kořenovému účtu poskytuje přehled o využití plně privilegovaného účtu a příležitost snížit jeho využití.

Závažnost: Nízká

Ujistěte se, že pro změny VPC existuje filtr metrik protokolu a alarm.

Popis: Monitorování volání rozhraní API v reálném čase se dá dosáhnout tak, že přesměruje protokoly CloudTrail do protokolů CloudWatch a vytvoří odpovídající filtry metrik a alarmy. V rámci účtu je možné mít více než jeden VPC. Kromě toho je také možné vytvořit partnerské připojení mezi 2 vpC, které umožňuje síťové přenosy směrovat mezi sítěmi VPN. Doporučuje se vytvořit filtr metriky a alarm pro změny v sítích VPN. Monitorování změn zásad IAM pomáhá zajistit, aby ověřování a autorizační ovládací prvky zůstaly nedotčené.

Závažnost: Nízká

Ujistěte se, že žádné skupiny zabezpečení nepovolují příchozí přenos dat z 0.0.0.0/0 na port 3389.

Popis: Skupiny zabezpečení poskytují stavové filtrování příchozího a výchozího síťového provozu do prostředků AWS. Doporučuje se, aby žádná skupina zabezpečení nepoužovala neomezený přístup příchozího přenosu dat k portu 3389. Odebrání nefetterovaného připojení ke vzdáleným konzolovým službám, jako je RDP, snižuje riziko serveru.

Závažnost: Vysoká

Databáze a clustery RDS by neměly používat výchozí port databázového stroje.

Popis: Tento ovládací prvek zkontroluje, jestli cluster RDS nebo instance používá jiný port než výchozí port databázového stroje. Pokud k nasazení clusteru nebo instance RDS použijete známý port, může útočník odhadnout informace o clusteru nebo instanci. Útočník může tyto informace použít ve spojení s dalšími informacemi pro připojení ke clusteru vzdálené plochy nebo instanci nebo získání dalších informací o vaší aplikaci. Když port změníte, musíte také aktualizovat existující připojovací řetězec, které byly použity pro připojení k původnímu portu. Měli byste také zkontrolovat skupinu zabezpečení instance databáze, abyste měli jistotu, že obsahuje pravidlo příchozího přenosu dat, které umožňuje připojení na novém portu.

Závažnost: Nízká

Instance RDS by se měly nasadit v nástroji VPC.

Popis: Sítě VP poskytují řadu síťových ovládacích prvků pro zabezpečení přístupu k prostředkům RDS. Mezi tyto ovládací prvky patří koncové body VPC, seznamy ACL sítě a skupiny zabezpečení. Pokud chcete tyto ovládací prvky využít, doporučujeme přesunout instance RDS EC2-Classic do EC2-VPC.

Závažnost: Nízká

Kontejnery S3 by měly vyžadovat požadavky na použití protokolu Secure Socket Layer.

Popis: Doporučujeme vyžadovat žádosti o použití protokolu SSL (Secure Socket Layer) ve všech kontejnerech Amazon S3. Kontejnery S3 by měly mít zásady, které vyžadují všechny požadavky (akce: S3:*), aby přijímaly pouze přenos dat přes PROTOKOL HTTPS v zásadách prostředků S3 označené klíčem podmínky aws:SecureTransport.

Závažnost: Střední

Skupiny zabezpečení by neměly umožňovat příchozí přenos dat z 0.0.0.0/0 na port 22.

Popis: Pokud chcete snížit expozici serveru, doporučujeme nepovolit neomezený přístup příchozího přenosu dat k portu 22.

Závažnost: Vysoká

Skupiny zabezpečení by neměly umožňovat neomezený přístup k portům s vysokým rizikem

Popis: Tento ovládací prvek zkontroluje, jestli je neomezený příchozí provoz pro skupiny zabezpečení přístupný určeným portům, které mají nejvyšší riziko. Tento ovládací prvek projde, když žádná z pravidel ve skupině zabezpečení nepovoluje příchozí provoz z 0.0.0.0/0 pro tyto porty. Neomezený přístup (0.0.0.0/0) zvyšuje příležitosti pro škodlivou aktivitu, jako je hacking, útoky na dostupnost služby a ztráta dat. Skupiny zabezpečení poskytují stavové filtrování příchozího a výchozího síťového provozu do prostředků AWS. Žádná skupina zabezpečení by neměla umožňovat neomezený přístup příchozího přenosu dat k následujícím portům:

• 3389 (RDP)
• 20, 21 (FTP)
• 22 (SSH)
• 23 (Telnet)
• 110 (POP3)
• 143 (IMAP)
• 3306 (MySQL)
• 8080 (proxy)
• 1433, 1434 (MSSQL)
• 9200 nebo 9300 (Elasticsearch)
• 5601 (Kibana)
• 25 (SMTP)
• 445 (CIFS)
• 135 (RPC)
• 4333 (ahsp)
• 5432 (postgresql)
• 5500 (fcp-addr-srvr1)

Závažnost: Střední

Skupiny zabezpečení by měly povolit pouze neomezený příchozí provoz pro autorizované porty.

Popis: Tento ovládací prvek zkontroluje, jestli skupiny zabezpečení, které se používají, umožňují neomezený příchozí provoz. Volitelně pravidlo zkontroluje, jestli jsou čísla portů uvedená v parametru "authorizedTcpPorts".

• Pokud číslo portu pravidla skupiny zabezpečení umožňuje neomezený příchozí provoz, ale číslo portu je zadané v "authorizedTcpPorts", pak řízení projde. Výchozí hodnota pro "authorizedTcpPorts" je 80, 443.
• Pokud číslo portu pravidla skupiny zabezpečení umožňuje neomezený příchozí provoz, ale číslo portu není zadané ve vstupním parametru authorizedTcpPorts, ovládací prvek selže.
• Pokud se parametr nepoužívá, ovládací prvek selže pro žádnou skupinu zabezpečení, která má neomezené příchozí pravidlo. Skupiny zabezpečení poskytují stavové filtrování příchozího a výchozího síťového provozu do AWS. Pravidla skupin zabezpečení by měla dodržovat princip nejnižšího privilegovaného přístupu. Neomezený přístup (IP adresa s příponou /0) zvyšuje příležitost pro škodlivé aktivity, jako je hacking, útoky na dostupnost služby a ztráta dat. Pokud není výslovně povolený port, měl by port odepřít neomezený přístup.

Závažnost: Vysoká

Nepoužité EIPS EC2 by se měly odebrat.

Popis: Elastické IP adresy přidělené VPC by měly být připojené k instancím Amazon EC2 nebo k elastickým síťovým rozhraním (ENI).

Závažnost: Nízká

Nepoužívané seznamy řízení přístupu k síti by se měly odebrat.

Popis: Tento ovládací prvek zkontroluje, jestli existují nepoužívané seznamy řízení přístupu k síti (ACL). Ovládací prvek zkontroluje konfiguraci položky prostředku AWS::EC2::NetworkAcl a určí vztahy seznamu ACL sítě. Pokud je jediným vztahem seznam ACL sítě VPC, ovládací prvek selže. Pokud jsou uvedené další relace, předá se ovládací prvek.

Závažnost: Nízká

Výchozí skupina zabezpečení VPC by měla omezit veškerý provoz.

Popis: Skupina zabezpečení by měla omezit veškerý provoz, aby se snížila expozice prostředků.

Závažnost: Nízká

Související obsah

• Připojení účtů AWS ke službě Microsoft Defender for Cloud
• Co jsou zásady zabezpečení, iniciativy a doporučení?
• Kontrola doporučení týkajících se zabezpečení