Blog home
AWS

Was ist neu in CIS Amazon Web Services Foundations 2.0

Tim Smith
September 11, 2023
Lesedauer: 2 Minuten

Das Center for Internet Security (CIS) hat kürzlich eine aktualisierte Version 2.0 seines Amazon Web Services (AWS) Foundations Benchmarks veröffentlicht. Diese aktualisierte Version enthält mehrere wichtige Änderungen, darunter neue Sicherheitsempfehlungen und die Beseitigung veralteter Praktiken.

Über das Zentrum für Internetsicherheit (CIS)

CIS ist eine gemeinnützige Organisation, die IT-System-Benchmarks entwickelt, um die Cybersicherheitsbereitschaft zu verbessern. In Zusammenarbeit mit verschiedenen Interessengruppen aktualisiert CIS seine Benchmarks kontinuierlich, um auf sich ändernde Sicherheitsbedrohungen zu reagieren.

Was ist neu in AWS Foundations 2.0

CIS-Benchmark-Updates beinhalten in der Regel Verbesserungen der Dokumentation zur Erkennung und Behebung sowie einige neue Sicherheitsempfehlungen. Die neue Version 2.0 brach jedoch mit der Tradition, indem sie satte 11 neue Empfehlungen einführte und zwei veraltete entfernte.

Raus mit dem Alten

Die bestehende Steuerung Stellen Sie sicher, dass alle S3-Buckets Verschlüsselung im Ruhezustand verwenden wurde aus dem Benchmark entfernt, da dies nicht mehr erforderlich ist. Im Januar 2023 Amazon kündigte an dass alle S3-Buckets standardmäßig im Ruhezustand verschlüsselt würden, ohne dass eine Benutzeraktion erforderlich wäre. Dies ist ein fantastischer Schritt für die Sicherheit von S3-Daten und beseitigt eine häufige Sicherheitsfehlkonfiguration, die von Administratoren korrigiert werden musste.

Rein mit dem Neuen

Beschränken Sie die Verwendung von AWS CloudShell

Eine neue Steuerung Beschränken Sie die Verwendung von AWS CloudShell zielt darauf ab, das potenzielle Risiko eines vollen Zugriffs auf die Remote-Shell-Funktion von Amazon zu begrenzen. Wenn Sie wie ich sind, hat das vielleicht dazu geführt, dass Ihr Herz höher schlägt, aber keine Sorge, CIS schlägt nicht vor, den Zugriff auf CloudShell vollständig zu deaktivieren. Die neue Empfehlung lautet: Nur die IAM-Richtlinie Vollzugriff auf AWS CloudShell behindert sein.

Die AWSCloudShellFullAccess-Rechte bieten uneingeschränkten Zugriff auf das AWS-Konto, einschließlich der Möglichkeit, Dateien über CloudShell-Instances auf lokale Systeme hoch- und herunterzuladen. Durch das Entfernen dieser Zugriffsebene wird ein erhebliches Risiko der Datenexfiltration in AWS-Konten verhindert.

Stellen Sie sicher, dass der EC2-Metadatendienst IMDSv2 verwendet

Eine weitere große Änderung ist die Hinzufügung einer neuen Stellen Sie sicher, dass der EC2-Metadatendienst nur IMDSv2 zulässt Kontrolle, um die Nutzung des neuen und sichereren Instanz-Metadatendienstes durchzusetzen. IMDSv2 war eingeführt im Jahr 2019 um mehrere schwerwiegende Sicherheitslücken im bestehenden Instanz-Metadatendienst zu beseitigen, die zu schwerwiegenden Sicherheitslücken geführt haben. IMDSv2 verwendet Sitzungsauthentifizierung, einen niedrigen TTL und HTTP-PUT-Anfragen, um zu verhindern, dass Benutzer außerhalb Ihrer Infrastruktur Instanzmetadaten mithilfe falsch konfigurierter Anwendungsfirewalls, Load Balancer oder NAT-Appliances anfordern.

Dies mag zwar wie ein offensichtlicher Sicherheitsgewinn erscheinen, aber die Aktualisierung von Instanzen auf die neue Version ist sowohl zeitaufwändig als auch kann Aktualisierungen von Software wie Konfigurationsverwaltungssystemen erforderlich machen. Die Mühe lohnt sich, aber allein diese neue Kontrolle rechtfertigt den großen Versionsanstieg im CIS-Benchmark.

Weitere wichtige Updates

Der Großteil der Änderungen am Amazon Web Services Foundations 2.0-Benchmark erfolgt in Form von Aktualisierungen vorhandener Schecks. In dieser Version gibt es 11 aktualisierte Benchmarks, die verbesserte Risikobeschreibungen sowie aktualisierte Prüf- und Abhilfemaßnahmen enthalten. Bei einigen dieser Änderungen handelt es sich um Anpassungen, um Änderungen an AWS zu berücksichtigen, während es sich bei anderen um erhebliche Verbesserungen handelt, die Benutzern helfen sollen, ihre Probleme schneller zu lösen.

AWS-Cloud-Sicherheit und Compliance mit Mondoo

Die fortschrittliche Sicherheits- und Compliance-Plattform von Mondoo umfasst den aktualisierten Amazon Web Services Foundation 2.0-Benchmark sofort einsatzbereit sowie fast 150 weitere CIS-zertifizierte Benchmarks, um Ihre gesamte Infrastruktur von der Cloud über Server, SaaS, Kubernetes und alles dazwischen abzusichern.

Ergreifen Sie Maßnahmen

Vereinbaren Sie noch heute ein Meeting, um zu erfahren, wie Mondoo Ihre Infrastruktur kontinuierlich auf Sicherheitsfehlkonfigurationen überwacht und diese Prüfungen automatisch den wichtigsten Compliance-Frameworks wie SOC2, HIPAA, PCI und ISO 270001 zuordnet.

Find and fix the security risks that pose the biggest threat to your business.

Get started

Tim Smith

Tim Smith ist Produktmanager bei Mondoo. Er arbeitet seit 2007 in den Bereichen Webbetrieb und Softwareentwicklung und seit 1994 in der Portscan-Klasse As. Er lud seine erste Linux-Distribution auf ein 14.4-Modem herunter. Tim hatte zuletzt Positionen bei Limelight Networks, Cozy Co und Chef Software inne.

You might also like

Vergleiche
Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen
Deborah Galea
August 4, 2025
Sanierung
Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben
Parag Baxi
July 24, 2025
Sanierung
Branchenweit erste Priorisierung von Problembehebungen unter Berücksichtigung der Auswirkungen und des Aufwands
Deborah Galea
July 24, 2025

Stay informed with our news and new articles

Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.