适用于 CMC 级别 5 的运营最佳实践 - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 CMC 级别 5 的运营最佳实践

一致性包提供了通用的合规性框架,旨在使您能够使用托管或自定义 AWS Config 规则以及 AWS Config 修正操作来创建安全、操作或成本优化监管检查。作为示例模板的一致性包并非旨在完全确保符合特定的监管或合规性标准。您有责任评估您对服务的使用是否符合适用的法律法规要求。

下面提供了 Cybersecurity Maturity Model Certification (CMMC) 5 级和 AWS 托管 Config 规则之间的示例映射。每个 Config 规则适用于特定的 AWS 资源,并且与一个或多个 CMC 级别 5 控件相关。一个 CMC 级别 5 控制可与多个 Config 规则相关。有关与这些映射相关的更多详细信息和指导,请参阅下表。

此一致性包已由 AWS Security Assurance Services LLC (AWS SAS) 验证,AWS SAS 是一个由支付卡行业限定的安全评估程序 (QSA)、HITRUST 认证的常见安全框架练习程序 (CCSFP) 和合规性专家组成的团队,这些专家通过了认证,可提供针对各种行业框架的指导和评估。AWS SAS 专业人员设计此一致性包,以使客户能够与 CMC 5 级的子集保持一致。

AWS 区域: 由于 DoD 和 CMTCAcributor 正文提供的关于 CMC 级别 3 - 5 的 FedRAMP 的依赖关系的永久指导,建议客户此时将 AWS GovCloud (美国) 区域用于需要符合 CMC 级别 3 - 5 要求的任何工作负载。因此,CMMC 级别 3 到 5 的一致性包模板在一致性包控制台中不可用,以避免混淆。客户可以使用本文档中链接的示例 YAML 文件,通过 CloudFormation 独立安装映射 CMC 级别 3-5 的依赖指南(不带一致性包模板)的 Config 规则。

控制 ID 控制描述 AWS Config 规则 指南
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任拆分原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和网络安全中心 (CIS) AWS 基金会基准提供的有关密码强度的要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您组织的策略。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您遵循最低特权原则和访问权限和授权责任共担原则,限制策略包含“效果”:“Allow”,在“Resource”上包含“Action”:“*”:“*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

iam-root-access-key-check

通过检查根用户是否将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需更多的权限可能会违反最小权限原则和职责共担原则。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

iam-user-no-policies-check

此规则可确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以便在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。通过此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。在 AWS 云中,所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

ec2-imdsv2-check

确保启用了实例元数据服务版本 2 (IMDSv2) 方法,以保护对 Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。方法使用基于会话的控件。IMDSv2借助 IMDSv2,可以实施控制以限制对实例元数据的更改。
AC1.001 将信息系统访问权限限制为授权用户、代表授权用户或设备 (包括其他信息系统) 进行处理。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任拆分原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和网络安全中心 (CIS) AWS 基金会基准提供的有关密码强度的要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您组织的策略。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您遵循最低特权原则和访问权限和授权责任共担原则,限制策略包含“效果”:“Allow”,在“Resource”上包含“Action”:“*”:“*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-root-access-key-check

通过检查根用户是否将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需更多的权限可能会违反最小权限原则和职责共担原则。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-user-no-policies-check

此规则可确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
AC.1.002 将信息系统访问限制为允许授权用户执行的事务和函数的类型。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以便在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。通过此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。在 AWS 云中,所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
AC1.003 验证和控制到 以及使用外部信息系统的连接。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则 CloudTrail 会将日志文件从所有 AWS 区域传输到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您组织的策略。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
IA.1.076 标识信息系统用户,代表用户或设备执行的过程。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
IA IA.1.077 作为允许访问组织信息系统的先决条件,对这些用户、进程或设备的身份进行身份验证 (或验证)。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和网络安全中心 (CIS) AWS 基金会基准提供的有关密码强度的要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您组织的策略。
IA IA.1.077 作为允许访问组织信息系统的先决条件,对这些用户、进程或设备的身份进行身份验证 (或验证)。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
IA IA.1.077 作为允许访问组织信息系统的先决条件,对这些用户、进程或设备的身份进行身份验证 (或验证)。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
IA IA.1.077 作为允许访问组织信息系统的先决条件,对这些用户、进程或设备的身份进行身份验证 (或验证)。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以便在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。通过此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。在 AWS 云中,所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
SC.1.175 在外部边界和信息系统的关键内部边界监控、控制和保护组织通信(即,由组织信息系统传输或接收的信息)。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
SC.1.176 - 为与内部网络物理或逻辑上分离的可公开访问的系统组件实施子网工作。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
SI.1.210 及时识别、报告和更正信息和信息系统缺陷。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SI.1.210 及时识别、报告和更正信息和信息系统缺陷。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
SI.1.211 从组织信息系统中的适当位置提供来自恶意代码的保护。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任拆分原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您遵循最低特权原则和访问权限和授权责任共担原则,限制策略包含“效果”:“Allow”,在“Resource”上包含“Action”:“*”:“*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

iam-root-access-key-check

通过检查根用户是否将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需更多的权限可能会违反最小权限原则和职责共担原则。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

iam-user-no-policies-check

此规则可确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs的限制。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

ec2-imdsv2-check

确保启用了实例元数据服务版本 2 (IMDSv2) 方法,以保护对 Amazon Elastic Compute Cloud (Amazon EC2) 实例元数据的访问和控制。方法使用基于会话的控件。IMDSv2借助 IMDSv2,可以实施控制来限制对实例元数据的更改。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC 2.007 采用最小特权原则,包括针对特定安全函数和特权账户。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC 2.008 在访问非安全函数时使用非特权账户或角色。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
AC 2.008 在访问非安全函数时使用非特权账户或角色。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任拆分原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC 2.008 在访问非安全函数时使用非特权账户或角色。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您遵循最低特权原则和访问权限和授权责任共担原则,限制策略包含“效果”:“Allow”,在“Resource”上包含“Action”:“*”:“*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC 2.008 在访问非安全函数时使用非特权账户或角色。

iam-root-access-key-check

通过检查根用户是否将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
AC 2.008 在访问非安全函数时使用非特权账户或角色。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需更多的权限可能会违反最小权限原则和职责共担原则。
AC 2.008 在访问非安全函数时使用非特权账户或角色。

iam-user-no-policies-check

此规则可确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC 2.008 在访问非安全函数时使用非特权账户或角色。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
AC.2.013 监控和控制远程访问会话。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
AC.2.013 监控和控制远程访问会话。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
AC.2.013 监控和控制远程访问会话。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AC.2.016 根据批准的授权控制 CUI 的流。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
AC.2.016 根据批准的授权控制 CUI 的流。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
AC.2.016 根据批准的授权控制 CUI 的流。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
AC.2.016 根据批准的授权控制 CUI 的流。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
AC.2.016 根据批准的授权控制 CUI 的流。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
AC.2.016 根据批准的授权控制 CUI 的流。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
AC.2.016 根据批准的授权控制 CUI 的流。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以便在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
AC.2.016 根据批准的授权控制 CUI 的流。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
AC.2.016 根据批准的授权控制 CUI 的流。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
AC.2.016 根据批准的授权控制 CUI 的流。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。通过此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。在 AWS 云中,所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
AC.2.016 根据批准的授权控制 CUI 的流。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
AC.2.016 根据批准的授权控制 CUI 的流。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
AC.2.016 根据批准的授权控制 CUI 的流。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
AC.2.016 根据批准的授权控制 CUI 的流。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,3389,3306,333)。实际值应反映您组织的策略。
AC.2.016 根据批准的授权控制 CUI 的流。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
AC.2.016 根据批准的授权控制 CUI 的流。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC.2.016 根据批准的授权控制 CUI 的流。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC.2.016 根据批准的授权控制 CUI 的流。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
AC.2.016 根据批准的授权控制 CUI 的流。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
AU.2.041 确保单个系统用户可以对这些用户进行唯一跟踪,以便他们能够保留操作的功能。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AU.2.041 确保单个系统用户可以对这些用户进行唯一跟踪,以便他们能够保留操作的功能。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息将显示在 AWS CloudTrail 记录内容中。
AU.2.041 确保单个系统用户可以对这些用户进行唯一跟踪,以便他们能够保留操作的功能。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
AU.2.041 确保单个系统用户可以对这些用户进行唯一跟踪,以便他们能够保留操作的功能。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
AU.2.041 确保单个系统用户可以对这些用户进行唯一跟踪,以便他们能够保留操作的功能。

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 将从所有 AWS 区域将日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
AU.2.041 确保单个系统用户可以对这些用户进行唯一跟踪,以便他们能够保留操作的功能。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
AU.2.041 确保单个系统用户可以对这些用户进行唯一跟踪,以便他们能够保留操作的功能。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
AU.2.042 创建并保留所需的系统审计日志和记录,以便监控、分析、调查和报告非法或未经授权的系统活动。

cw-loggroup-retention-period-check

确保为您的日志组保留事件日志数据的最短持续时间,以帮助进行故障排除和取证调查。缺少可用的过去事件日志数据使得难以重建和识别潜在的恶意事件。
AU.2.042 创建并保留所需的系统审计日志和记录,以便监控、分析、调查和报告非法或未经授权的系统活动。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
AU.2.042 创建并保留所需的系统审计日志和记录,以便监控、分析、调查和报告非法或未经授权的系统活动。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AU.2.042 创建并保留所需的系统审计日志和记录,以便监控、分析、调查和报告非法或未经授权的系统活动。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
AU.2.042 创建并保留所需的系统审计日志和记录,以便监控、分析、调查和报告非法或未经授权的系统活动。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
AU.2.042 创建并保留所需的系统审计日志和记录,以便监控、分析、调查和报告非法或未经授权的系统活动。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
AU.2.042 创建并保留所需的系统审计日志和记录,以便监控、分析、调查和报告非法或未经授权的系统活动。

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则 CloudTrail 会将日志文件从所有 AWS 区域传输到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
AU.2.042 创建并保留所需的系统审计日志和记录,以便监控、分析、调查和报告非法或未经授权的系统活动。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
AU.2.042 创建并保留所需的系统审计日志和记录,以便监控、分析、调查和报告非法或未经授权的系统活动。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
AU.2.042 创建并保留所需的系统审计日志和记录,以便监控、分析、调查和报告非法或未经授权的系统活动。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
CM.2.061 在整个系统开发生命周期内,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
CM.2.061 在整个系统开发生命周期内,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
CM.2.061 在整个系统开发生命周期内,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。

ec2-managedinstance-patch-compliance-status-check

启用此规则可帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则将根据组织的策略和过程的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规性。
CM.2.061 在整个系统开发生命周期内,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。

ec2-security-group-attached-to-eni

此规则确保将安全组附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例或 ENI。此规则有助于监控清单中的未使用安全组以及环境管理。
CM.2.061 在整个系统开发生命周期内,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。

ec2-stopped-instance

启用此规则可通过检查 Amazon EC2 实例是否已根据您组织的标准停止超过允许的天数来帮助 Amazon Elastic Compute Cloud (Amazon EC2) 实例的基准配置。
CM.2.061 在整个系统开发生命周期内,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。

ec2-volume-inuse-check

此规则可确保将附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例的 Amazon Elastic Block Store 卷标记为在实例终止时删除。如果在某个 Amazon EBS 卷附加到其附加的实例终止时该卷未被删除,则可能会违反最低功能概念。
CM.2.061 在整个系统开发生命周期内,建立和维护组织系统的基准配置和清单(包括硬件、软件、固件和文档)。

eip-attached

此规则可确保分配给 Amazon Virtual Private Cloud (Amazon VPC) 的弹性 IPs 附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例或正在使用的弹性网络接口。此规则有助于监控您的环境中未使用的 EIPs。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
CM.2.062 通过将组织系统配置为仅提供基本功能,采用最低功能原则。

ec2-volume-inuse-check

此规则可确保将附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例的 Amazon Elastic Block Store 卷标记为在实例终止时删除。如果在某个 Amazon EBS 卷附加到其附加的实例终止时该卷未被删除,则可能会违反最低功能概念。
CM.2.063 控制和监控用户安装的软件。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
CM.2.063 控制和监控用户安装的软件。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
CM.2.064 为组织系统中使用的信息技术产品建立并实施安全配置设置。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
CM.2.064 为组织系统中使用的信息技术产品建立并实施安全配置设置。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
CM.2.064 为组织系统中使用的信息技术产品建立并实施安全配置设置。

ec2-managedinstance-patch-compliance-status-check

启用此规则可帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则将根据组织的策略和过程的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规性。
CM.2.064 为组织系统中使用的信息技术产品建立并实施安全配置设置。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
CM.2.064 为组织系统中使用的信息技术产品建立并实施安全配置设置。

利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证可帮助确定日志文件在 CloudTrail 提交后是否已修改或删除或未更改。此功能是使用行业标准算法构建的:用于哈希的 SHA-256 和用于数字签名的带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
CM.2.064 为组织系统中使用的信息技术产品建立并实施安全配置设置。

在 AWS Organizations 中集中管理 AWS 账户有助于确保账户合规。缺少集中式账户监管可能会导致账户配置不一致,这可能会公开资源和敏感数据。
CM.2.064 为组织系统中使用的信息技术产品建立并实施安全配置设置。

cloudtrail-security-trail-enabled

此规则通过检查是否启用多个设置,帮助确保为 AWS CloudTrail 使用 AWS 建议的安全最佳实践。其中包括使用日志加密、日志验证以及在多个区域中启用 AWS CloudTrail。
CM.2.065 跟踪、审核、批准或拒绝对组织系统的更改,并记录更改。

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将所有 AWS 区域中的日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
CM.2.065 跟踪、审核、批准或拒绝对组织系统的更改,并记录更改。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
CM.2.065 跟踪、审核、批准或拒绝对组织系统的更改,并记录更改。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
CM.2.065 跟踪、审核、批准或拒绝对组织系统的更改,并记录更改。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您组织的策略。
CM.2.065 跟踪、审核、批准或拒绝对组织系统的更改,并记录更改。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
CM.2.065 跟踪、审核、批准或拒绝对组织系统的更改,并记录更改。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
CM.2.065 跟踪、审核、批准或拒绝对组织系统的更改,并记录更改。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
IA.2.078 强制实施密码最低复杂性,并在创建新密码时更改字符。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和网络安全中心 (CIS) AWS 基金会基准提供的有关密码强度的要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您组织的策略。
IA.2.079 禁止密码重复使用指定数量的生成。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和网络安全中心 (CIS) AWS 基金会基准提供的有关密码强度的要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您组织的策略。
IA.2.081 仅存储和传输受加密保护的密码。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
IA.2.081 仅存储和传输受加密保护的密码。

api-gw-cache-enabled-and-encrypted

为了帮助保护静态数据,请确保已为 API Gateway 阶段的缓存启用加密。由于可为 API 方法捕获敏感数据,请启用静态加密以帮助保护这些数据。
IA.2.081 仅存储和传输受加密保护的密码。

由于敏感数据可以存在并有助于保护静态数据,因此请确保已为您的 Amazon Elastic File System (EFS) 启用加密。
IA.2.081 仅存储和传输受加密保护的密码。

由于敏感数据可以存在并有助于保护静态数据,请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密。
IA.2.081 仅存储和传输受加密保护的密码。

由于敏感型数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
IA.2.081 仅存储和传输受加密保护的密码。

为了帮助保护静态数据,请确保已为您的 Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可存在于 Amazon RDS 实例中,请启用静态加密以帮助保护这些数据。
IA.2.081 仅存储和传输受加密保护的密码。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您组织的策略。
IA.2.081 仅存储和传输受加密保护的密码。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
IA.2.081 仅存储和传输受加密保护的密码。

为了帮助保护静态数据,请确保为您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可存在于 Amazon S3 存储桶中,因此,请启用加密以帮助保护该数据。
IA.2.081 仅存储和传输受加密保护的密码。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
IA.2.081 仅存储和传输受加密保护的密码。

sns-encrypted-kms

为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于敏感数据可存在于发布的消息中,因此启用静态加密以帮助保护该数据。
IA.2.081 仅存储和传输受加密保护的密码。

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。由于敏感数据可存在于这些卷中,因此启用静态加密以帮助保护这些数据。
IA.2.081 仅存储和传输受加密保护的密码。

rds-snapshot-encrypted

确保为您的 Amazon Relational Database Service (Amazon RDS) 快照启用了加密。由于敏感数据可以存在,请启用静态加密以帮助保护该数据。
IA.2.081 仅存储和传输受加密保护的密码。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
IA.2.081 仅存储和传输受加密保护的密码。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
IA.2.081 仅存储和传输受加密保护的密码。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
IR.2.092 为组织系统建立一个操作事件处理功能,其中包括准备、检测、分析、包含、恢复和用户响应活动。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
IR.2.092 为组织系统建立一个操作事件处理功能,其中包括准备、检测、分析、包含、恢复和用户响应活动。

lambda-dlq-check

启用此规则,可帮助在函数失败时通过 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知相应的人员。
IR.2.092 为组织系统建立一个操作事件处理功能,其中包括准备、检测、分析、包含、恢复和用户响应活动。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
IR.2.093 检测和报告事件。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
IR.2.093 检测和报告事件。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
IR.2.093 检测和报告事件。

lambda-dlq-check

启用此规则,可帮助在函数失败时通过 Amazon Simple Queue Service (Amazon SQS) 或 Amazon Simple Notification Service (Amazon SNS) 通知相应的人员。
MA.2.113 需要多重验证来通过外部网络连接建立非本地维护会话,并在非本地维护完成时终止此类连接。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
MA.2.113 需要多重验证来通过外部网络连接建立非本地维护会话,并在非本地维护完成时终止此类连接。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
RE.2.137 定期执行和测试数据备份。

db-instance-backup-enabled

Amazon RDS 的备份功能创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,并备份整个数据库实例。系统允许您设置特定的保留期以满足您的弹性要求。
RE.2.137 定期执行和测试数据备份。

dynamodb-pitr-enabled

启用此规则可检查是否已备份信息。它还通过确保在 Amazon DynamoDB 中启用时间点恢复来维护备份。 此恢复将保留过去 35 天的表连续备份。
RE.2.137 定期执行和测试数据备份。

elasticache-redis-cluster-automatic-backup-check

在启用自动备份时,Amazon ElastiCache 每天为集群创建备份。该备份可以保留您组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,以从最新的备份还原数据。
RE.2.137 定期执行和测试数据备份。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动异步复制对象,以帮助确保维护数据可用性。
RE.2.137 定期执行和测试数据备份。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制可帮助将对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制可保留、检索和还原存储在 Amazon S3 存储桶中的每个对象的每个版本。版本控制可帮助您轻松从意外用户操作和应用程序故障中恢复。
RM.2.142 - 定期扫描组织系统和应用程序中的漏洞,并在发现影响这些系统和应用程序的新漏洞时扫描这些漏洞。 

ec2-managedinstance-patch-compliance-status-check

启用此规则可帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则将根据组织的策略和过程的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规性。
SI.2.214 监控系统安全警报和公告,并采取响应措施。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
SI.2.214 监控系统安全警报和公告,并采取响应措施。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SI.2.214 监控系统安全警报和公告,并采取响应措施。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
SI.2.214 监控系统安全警报和公告,并采取响应措施。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
SI.2.216 监控组织系统(包括入站和出站通信流量)以检测攻击和潜在攻击的指标。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SI.2.216 监控组织系统(包括入站和出站通信流量)以检测攻击和潜在攻击的指标。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
SI.2.217 识别未经授权对组织系统的使用。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
SI.2.217 识别未经授权对组织系统的使用。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
SI.2.217 识别未经授权对组织系统的使用。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
SI.2.217 识别未经授权对组织系统的使用。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
SI.2.217 识别未经授权对组织系统的使用。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
SI.2.217 识别未经授权对组织系统的使用。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置一个值。实际值应反映您组织的策略。
SI.2.217 识别未经授权对组织系统的使用。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
SI.2.217 识别未经授权对组织系统的使用。

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将所有 AWS 区域中的日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
SI.2.217 识别未经授权对组织系统的使用。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
SI.2.217 识别未经授权对组织系统的使用。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
SI.2.217 识别未经授权对组织系统的使用。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SI.2.217 识别未经授权对组织系统的使用。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
AC.3.017 分离个人的责任以降低男性活动的风险,而不进行碰撞。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
AC.3.017 分离个人的责任以降低男性活动的风险,而不进行碰撞。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任拆分原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC.3.017 分离个人的责任以降低男性活动的风险,而不进行碰撞。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
AC.3.017 分离个人的责任以降低男性活动的风险,而不进行碰撞。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您遵循最低特权原则和访问权限和授权责任共担原则,限制策略包含“效果”:“Allow”,在“Resource”上包含“Action”:“*”:“*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC.3.017 分离个人的责任以降低男性活动的风险,而不进行碰撞。

iam-root-access-key-check

通过检查根用户是否将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
AC.3.017 分离个人的责任以降低男性活动的风险,而不进行碰撞。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需更多的权限可能会违反最小权限原则和职责共担原则。
AC.3.017 分离个人的责任以降低男性活动的风险,而不进行碰撞。

iam-user-no-policies-check

此规则可确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC.3.017 分离个人的责任以降低男性活动的风险,而不进行碰撞。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并在一起。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 通过确保 IAM 组至少拥有一个 IAM 用户,可帮助您遵循最低特权原则以及访问权限和授权责任拆分原则。根据关联的权限或工作职能将 IAM 用户放入组中是包含最小权限的一种方式。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制对系统和资产的访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许重用、版本控制和回滚以及委派权限管理。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您遵循最低特权原则和访问权限和授权责任共担原则,限制策略包含“效果”:“Allow”,在“Resource”上包含“Action”:“*”:“*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

iam-root-access-key-check

通过检查根用户是否将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户,以帮助纳入最少功能原则。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 通过确保 IAM 用户是至少一个组的成员,可帮助您限制访问权限和授权。允许用户拥有比完成任务所需更多的权限可能会违反最小权限原则和职责共担原则。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

iam-user-no-policies-check

此规则可确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则 CloudTrail 会将所有 AWS 区域中的日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
AC.3.018 防止非特权用户执行特权函数并在审核日志中捕获此类函数的执行。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
AC.3.014 使用加密机制来保护远程访问会话的机密性。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
AC.3.014 使用加密机制来保护远程访问会话的机密性。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
AC.3.014 使用加密机制来保护远程访问会话的机密性。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
AC.3.014 使用加密机制来保护远程访问会话的机密性。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
AC.3.014 使用加密机制来保护远程访问会话的机密性。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
AC.3.014 使用加密机制来保护远程访问会话的机密性。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
AU.3.046 审核日志记录过程失败时的警报。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
AU.3.046 审核日志记录过程失败时的警报。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
AU.3.046 审核日志记录过程失败时的警报。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AU.3.049 保护审计信息和审计日志记录工具,以免未经授权的访问、修改和删除。

利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证可帮助确定日志文件在 CloudTrail 提交后是否已修改或删除或未更改。此功能是使用行业标准算法构建的:用于哈希的 SHA-256 和用于数字签名的带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
AU.3.049 保护审计信息和审计日志记录工具,以免未经授权的访问、修改和删除。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制可帮助将对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制可保留、检索和还原存储在 Amazon S3 存储桶中的每个对象的每个版本。版本控制可帮助您轻松从意外用户操作和应用程序故障中恢复。
AU.3.049 保护审计信息和审计日志记录工具,以免未经授权的访问、修改和删除。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AU.3.049 保护审计信息和审计日志记录工具,以免未经授权的访问、修改和删除。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AU.3.049 保护审计信息和审计日志记录工具,以免未经授权的访问、修改和删除。

为了帮助保护静态数据,请确保为您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可存在于 Amazon S3 存储桶中,因此,请启用加密以帮助保护该数据。
AU.3.049 保护审计信息和审计日志记录工具,以免未经授权的访问、修改和删除。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
AU.3.049 保护审计信息和审计日志记录工具,以免未经授权的访问、修改和删除。

s3-bucket-default-lock-enabled

默认情况下,确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶已启用锁定。由于敏感数据可存在于 S3 存储桶中,因此请实施静态对象锁定以帮助保护该数据。
AU.3.049 保护审计信息和审计日志记录工具,以免未经授权的访问、修改和删除。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
AU.3.049 保护审计信息和审计日志记录工具,以免未经授权的访问、修改和删除。

由于敏感数据可能存在并有助于保护静态数据,请确保已为您的 AWS CloudTrail 跟踪启用加密。
AU.3.049 保护审计信息和审计日志记录工具,以免未经授权的访问、修改和删除。

为了帮助保护敏感数据的静态保护,请确保已为您的 Amazon CloudWatch 日志组启用加密。
AU.3.051 关联审核记录审核、分析和报告流程,以调查和响应非法、未经授权、可疑或异常活动的迹象。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
CM.3.068 限制、禁用或阻止使用不必要的程序、函数、端口、协议和服务。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
IA.3.083 使用多重验证对特权账户的本地和网络访问以及对非特权账户的网络访问。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
IA.3.083 使用多重验证对特权账户的本地和网络访问以及对非特权账户的网络访问。

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
IA.3.085 防止在定义的时间段内重复使用标识符。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和网络安全中心 (CIS) AWS 基金会基准提供的有关密码强度的要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您组织的策略。
IA.3.086 在定义的不活动时间段后禁用标识符。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果标识了这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能会违反最小特权原则。此规则要求您将值设置为 maxCredentialUsageAge(配置默认值:90)。实际值应反映您组织的策略。
IA.3.086 在定义的不活动时间段后禁用标识符。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和网络安全中心 (CIS) AWS 基金会基准提供的有关密码强度的要求。此规则允许您选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础最佳实践值:90)。实际值应反映您组织的策略。
RE.3.139 定期执行按组织定义的完整、全面和弹性数据备份。

db-instance-backup-enabled

Amazon RDS 的备份功能创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,并备份整个数据库实例。系统允许您设置特定的保留期以满足您的弹性要求。
RE.3.139 定期执行按组织定义的完整、全面和弹性数据备份。

dynamodb-pitr-enabled

启用此规则可检查是否已备份信息。它还通过确保在 Amazon DynamoDB 中启用时间点恢复来维护备份。 此恢复将保留过去 35 天的表连续备份。
RE.3.139 定期执行按组织定义的完整、全面和弹性数据备份。

elasticache-redis-cluster-automatic-backup-check

当启用自动备份时,Amazon ElastiCache 将每天创建集群的备份。该备份可以保留您组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,以从最新的备份还原数据。
RE.3.139 定期执行按组织定义的完整、全面和弹性数据备份。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动异步复制对象,以帮助确保维护数据可用性。
CA.3.161 持续监控安全控制,以确保控制持续有效。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以便在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。通过此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。在 AWS 云中,所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

在 AWS Organizations 中集中管理 AWS 账户有助于确保账户合规。缺少集中式账户监管可能会导致账户配置不一致,这可能会公开资源和敏感数据。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

cloudtrail-security-trail-enabled

此规则通过检查是否启用多个设置,帮助确保为 AWS CloudTrail 使用 AWS 建议的安全最佳实践。其中包括使用日志加密、日志验证以及在多个区域中启用 AWS CloudTrail。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) 中的优化实例为 Amazon EBS I/O 操作提供额外的专用容量。这种优化通过最大限度减少 Amazon EBS I/O 操作与来自实例的其他流量之间的争用,为您的 EBS 卷提供最有效的性能。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

elb-deletion-protection-enabled

此规则确保 Elastic Load Balancing 已启用删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致您的应用程序的可用性降低。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) 中的多可用区支持为数据库实例提供了更高的可用性和持久性。当您预配置多可用区数据库实例时,Amazon RDS 会自动创建一个主数据库实例,并将数据同步复制到其他可用区中的备用实例。每个可用区都运行在其自身独立的、物理上不同的基础设施上,且设计为高度可靠。如果基础设施出现故障,Amazon RDS 会执行到备用实例的自动故障转移,以便您可以在故障转移完成后立即恢复数据库操作。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

可以实施冗余站点到站点 VPN 隧道以实现恢复能力要求。它使用两条隧道来帮助确保连接性,以防其中一个站点到站点 VPN 连接变得不可用。为了防止连接丢失,在您的客户网关变得不可用时,您可以使用第二个客户网关设置到 Amazon Virtual Private Cloud (Amazon VPC) 和虚拟专用网关的第二个站点到站点 VPN 连接。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

elb-cross-zone-load-balancing-enabled

为您的 Elastic Load Balancer (ELB) 启用跨区域负载均衡,以帮助保持充足的容量和可用性。跨区域负载均衡可降低在每个启用的可用区中保持相同数量的实例的需求。它还可以提高应用程序处理一个或多个实例丢失情况的能力。
SC.3.180 - 使用架构设计、软件开发技巧和系统工程原则,以提升组织系统内的有效信息安全。

rds-instance-deletion-protection-enabled

确保 Amazon Relational Database Service (Amazon RDS) 实例已启用删除保护。使用删除保护可防止您的 Amazon RDS 实例被意外或恶意删除,这可能会导致您的应用程序的可用性降低。
SC.3.182 防止通过共享系统资源进行未经授权的和意外的信息传输。

ec2-volume-inuse-check

此规则可确保将附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例的 Amazon Elastic Block Store 卷标记为在实例终止时删除。如果在某个 Amazon EBS 卷附加到其附加的实例终止时该卷未被删除,则可能会违反最低功能概念。
SC.3.185 实施加密机制以防止在传输过程中未经授权泄露 CUI,除非受其他物理安全保护。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.3.185 实施加密机制以防止在传输过程中未经授权泄露 CUI,除非受其他物理安全保护。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.3.185 实施加密机制以防止在传输过程中未经授权泄露 CUI,除非受其他物理安全保护。

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.3.185 实施加密机制以防止在传输过程中未经授权泄露 CUI,除非受其他物理安全保护。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.3.185 实施加密机制以防止在传输过程中未经授权泄露 CUI,除非受其他物理安全保护。

确保为 Amazon Elasticsearch Service 启用节点到节点加密。节点到节点加密为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.3.185 实施加密机制以防止在传输过程中未经授权泄露 CUI,除非受其他物理安全保护。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.3.187 - 为组织系统中使用的加密密钥建立和管理加密密钥。

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保不会计划在 AWS Key Management Service (AWS KMS) 中删除必要的客户主密钥 (CMK)。由于密钥删除有时是必需的,因此此规则可以帮助检查计划删除的所有密钥,以防意外计划了密钥。
SC.3.187 - 为组织系统中使用的加密密钥建立和管理加密密钥。

启用密钥轮换,以确保在到达加密期限后轮换密钥。
SC.3.190 - 保护通信会话的真实性。

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.3.190 - 保护通信会话的真实性。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancer (ELB) 配置为删除 http 标头。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.3.190 - 保护通信会话的真实性。

elb-tls-https-listeners-only

确保您的 Elastic Load Balancer (ELB) 配置了 SSL 或 HTTPS 侦听器。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
SC.3.191 保护 CUI 的静态机密性。

api-gw-cache-enabled-and-encrypted

为了帮助保护静态数据,请确保已为 API Gateway 阶段的缓存启用加密。由于可为 API 方法捕获敏感数据,请启用静态加密以帮助保护这些数据。
SC.3.191 保护 CUI 的静态机密性。

由于敏感数据可能存在并有助于保护静态数据,请确保为您的 AWS CloudTrail 跟踪启用加密。
SC.3.191 保护 CUI 的静态机密性。

为了帮助保护敏感数据的静态数据,请确保已为您的 Amazon CloudWatch 日志组启用加密。
SC.3.191 保护 CUI 的静态机密性。

由于敏感数据可以存在并有助于保护静态数据,因此请确保已为您的 Amazon Elastic File System (EFS) 启用加密。
SC.3.191 保护 CUI 的静态机密性。

由于敏感数据可以存在并有助于保护静态数据,请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密。
SC.3.191 保护 CUI 的静态机密性。

由于敏感型数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
SC.3.191 保护 CUI 的静态机密性。

为了帮助保护静态数据,请确保已为您的 Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可存在于 Amazon RDS 实例中,请启用静态加密以帮助保护这些数据。
SC.3.191 保护 CUI 的静态机密性。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置值。实际值应反映您组织的策略。
SC.3.191 保护 CUI 的静态机密性。

为了帮助保护静态数据,请确保为您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可存在于 Amazon S3 存储桶中,因此,请启用加密以帮助保护该数据。
SC.3.191 保护 CUI 的静态机密性。

sns-encrypted-kms

为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于敏感数据可存在于发布的消息中,因此启用静态加密以帮助保护该数据。
SC.3.191 保护 CUI 的静态机密性。

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。由于敏感数据可存在于这些卷中,因此启用静态加密以帮助保护这些数据。
SC.3.191 保护 CUI 的静态机密性。

rds-snapshot-encrypted

确保为您的 Amazon Relational Database Service (Amazon RDS) 快照启用了加密。由于敏感数据可以存在,请启用静态加密以帮助保护该数据。
AC.4.023 控制连接系统上的安全域之间的信息流。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
AC.4.023 控制连接系统上的安全域之间的信息流。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
AC.4.023 控制连接系统上的安全域之间的信息流。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
AC.4.023 控制连接系统上的安全域之间的信息流。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
AC.4.023 控制连接系统上的安全域之间的信息流。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
AC.4.023 控制连接系统上的安全域之间的信息流。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
AC.4.023 控制连接系统上的安全域之间的信息流。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以便在实例和 Amazon VPC 中的其他服务之间实现安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 anAmazon VPC 中的域有一层额外的安全性。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问。
AC.4.023 控制连接系统上的安全域之间的信息流。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
AC.4.023 控制连接系统上的安全域之间的信息流。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
AC.4.023 控制连接系统上的安全域之间的信息流。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。通过此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。在 AWS 云中,所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
AC.4.023 控制连接系统上的安全域之间的信息流。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可包含敏感信息,并且这些账户需要原则和访问控制。
AC.4.023 控制连接系统上的安全域之间的信息流。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,在 AWS 云中管理对资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
AC.4.023 控制连接系统上的安全域之间的信息流。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群,管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
AC.4.023 控制连接系统上的安全域之间的信息流。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
AC.4.023 控制连接系统上的安全域之间的信息流。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据免受未经授权的远程用户的影响。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
AC.4.023 控制连接系统上的安全域之间的信息流。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC.4.023 控制连接系统上的安全域之间的信息流。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
AC.4.023 控制连接系统上的安全域之间的信息流。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
AC.4.023 控制连接系统上的安全域之间的信息流。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
AM.4.226 使用一种功能来发现和标识具有清单中的特定组件属性(例如,固件级别、操作系统类型)的系统。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
AM.4.226 使用一种功能来发现和标识具有清单中的特定组件属性(例如,固件级别、操作系统类型)的系统。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
AM.4.226 使用一种功能来发现和标识具有清单中的特定组件属性(例如,固件级别、操作系统类型)的系统。

ec2-managedinstance-patch-compliance-status-check

启用此规则可帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则将根据组织的策略和过程的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规性。
AU.4.053 自动分析审计日志,以确定关键指标 (TTP) 和/或组织定义的可疑活动并采取相应措施。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
AU.4.053 自动分析审计日志,以确定关键指标 (TTP) 和/或组织定义的可疑活动并采取相应措施。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
AU.4.053 自动分析审计日志,以确定关键指标 (TTP) 和/或组织定义的可疑活动并采取相应措施。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AU.4.053 自动分析审计日志,以确定关键指标 (TTP) 和/或组织定义的可疑活动并采取相应措施。

ec2-instance-detailed-monitoring-enabled

启用此规则以帮助在 Amazon EC2 控制台上改进 Amazon Elastic Compute Cloud (Amazon EC2) 实例监控,这会以 1 分钟为间隔显示该实例的监控图表。
AU.4.054 查看宽泛的活动以及每个机器活动的审核信息。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
- RM.4.151 在组织的 Internet 网络边界和其他组织定义的边界之间,执行跨外围网络边界的未经授权的端口扫描。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
- RM.4.151 在组织的 Internet 网络边界和其他组织定义的边界之间,执行跨外围网络边界的未经授权的端口扫描。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
- RM.4.151 在组织的 Internet 网络边界和其他组织定义的边界之间,执行跨外围网络边界的未经授权的端口扫描。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
- RM.4.151 在组织的 Internet 网络边界和其他组织定义的边界之间,执行跨外围网络边界的未经授权的端口扫描。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
AU.5.055 确定不报告审计日志的资产,并确保组织定义的适当系统是日志记录系统。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
AU.5.055 确定不报告审计日志的资产,并确保组织定义的适当系统是日志记录系统。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
AU.5.055 确定不报告审计日志的资产,并确保组织定义的适当系统是日志记录系统。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
AU.5.055 确定不报告审计日志的资产,并确保组织定义的适当系统是日志记录系统。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
AU.5.055 确定不报告审计日志的资产,并确保组织定义的适当系统是日志记录系统。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
AU.5.055 确定不报告审计日志的资产,并确保组织定义的适当系统是日志记录系统。

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则 CloudTrail 会将日志文件从所有 AWS 区域传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
AU.5.055 确定不报告审计日志的资产,并确保组织定义的适当系统是日志记录系统。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
AU.5.055 确定不报告审计日志的资产,并确保组织定义的适当系统是日志记录系统。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
AU.5.055 确定不报告审计日志的资产,并确保组织定义的适当系统是日志记录系统。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。
AU.5.055 确定不报告审计日志的资产,并确保组织定义的适当系统是日志记录系统。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(配置默认值:TRUE)和 loggingEnabled(配置默认值:TRUE)设置一个值。实际值应反映您组织的策略。
AU.5.055 确定不报告审计日志的资产,并确保组织定义的适当系统是日志记录系统。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
CM.5.074 验证组织所定义的安全关键软件或基本软件(例如,信任根、正式验证或加密签名)的完整性和正确性。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
CM.5.074 验证组织所定义的安全关键软件或基本软件(例如,信任根、正式验证或加密签名)的完整性和正确性。

ec2-managedinstance-patch-compliance-status-check

启用此规则可帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则将根据组织的策略和过程的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规性。
CM.5.074 验证组织所定义的安全关键软件或基本软件(例如,信任根、正式验证或加密签名)的完整性和正确性。

利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证可帮助确定日志文件在 CloudTrail 提交后是否已修改或删除或未更改。此功能是使用行业标准算法构建的:用于哈希的 SHA-256 和用于数字签名的带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
CM.5.074 验证组织所定义的安全关键软件或基本软件(例如,信任根、正式验证或加密签名)的完整性和正确性。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
IR.5.102 - 结合使用手动和自动实时响应与事件模式匹配的异常活动。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
IR.5.102 - 结合使用手动和自动实时响应与事件模式匹配的异常活动。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
RE.5.140 确保信息处理设施满足组织定义的信息安全连续性、冗余和可用性要求。

db-instance-backup-enabled

Amazon RDS 的备份功能创建数据库和事务日志的备份。Amazon RDS 自动创建数据库实例的存储卷快照,并备份整个数据库实例。系统允许您设置特定的保留期以满足您的弹性要求。
RE.5.140 确保信息处理设施满足组织定义的信息安全连续性、冗余和可用性要求。

dynamodb-pitr-enabled

启用此规则可检查是否已备份信息。它还通过确保在 Amazon DynamoDB 中启用时间点恢复来维护备份。 此恢复将保留过去 35 天的表连续备份。
RE.5.140 确保信息处理设施满足组织定义的信息安全连续性、冗余和可用性要求。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) 中的优化实例为 Amazon EBS I/O 操作提供额外的专用容量。这种优化通过最大限度减少 Amazon EBS I/O 操作与来自实例的其他流量之间的争用,为您的 EBS 卷提供最有效的性能。
RE.5.140 确保信息处理设施满足组织定义的信息安全连续性、冗余和可用性要求。

elasticache-redis-cluster-automatic-backup-check

在启用自动备份时,Amazon ElastiCache 每天为集群创建备份。该备份可以保留您组织指定的天数。自动备份可以帮助防止数据丢失。如果发生故障,您可以创建一个新集群,以从最新的备份还原数据。
RE.5.140 确保信息处理设施满足组织定义的信息安全连续性、冗余和可用性要求。

elb-deletion-protection-enabled

此规则确保 Elastic Load Balancing 已启用删除保护。使用此功能可防止您的负载均衡器被意外或恶意删除,这可能会导致您的应用程序的可用性降低。
RE.5.140 确保信息处理设施满足组织定义的信息安全连续性、冗余和可用性要求。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) 中的多可用区支持为数据库实例提供了更高的可用性和持久性。当您预配置多可用区数据库实例时,Amazon RDS 会自动创建一个主数据库实例,并将数据同步复制到其他可用区中的备用实例。每个可用区都运行在其自身独立的、物理上不同的基础设施上,且设计为高度可靠。如果基础设施出现故障,Amazon RDS 会执行到备用实例的自动故障转移,以便您可以在故障转移完成后立即恢复数据库操作。
RE.5.140 确保信息处理设施满足组织定义的信息安全连续性、冗余和可用性要求。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持充足的容量和可用性。CRR 允许跨 Amazon S3 存储桶自动异步复制对象,以帮助确保维护数据可用性。
RE.5.140 确保信息处理设施满足组织定义的信息安全连续性、冗余和可用性要求。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制可帮助将对象的多个变体保留在同一 Amazon S3 存储桶中。使用版本控制可保留、检索和还原存储在 Amazon S3 存储桶中的每个对象的每个版本。版本控制可帮助您轻松从意外用户操作和应用程序故障中恢复。
RE.5.140 确保信息处理设施满足组织定义的信息安全连续性、冗余和可用性要求。

可以实施冗余站点到站点 VPN 隧道以实现恢复能力要求。它使用两条隧道来帮助确保连接性,以防其中一个站点到站点 VPN 连接变得不可用。为了防止连接丢失,在您的客户网关变得不可用时,您可以使用第二个客户网关设置到 Amazon Virtual Private Cloud (Amazon VPC) 和虚拟专用网关的第二个站点到站点 VPN 连接。
RE.5.140 确保信息处理设施满足组织定义的信息安全连续性、冗余和可用性要求。

elb-cross-zone-load-balancing-enabled

为您的 Elastic Load Balancer (ELB) 启用跨区域负载均衡,以帮助保持充足的容量和可用性。跨区域负载均衡可降低在每个启用的可用区中保持相同数量的实例的需求。它还可以提高应用程序处理一个或多个实例丢失情况的能力。
RE.5.140 确保信息处理设施满足组织定义的信息安全连续性、冗余和可用性要求。

rds-instance-deletion-protection-enabled

确保 Amazon Relational Database Service (Amazon RDS) 实例已启用删除保护。使用删除保护可防止您的 Amazon RDS 实例被意外或恶意删除,这可能会导致您的应用程序的可用性降低。
SC.5.230 强制实施端口和协议合规性。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
SC.5.230 强制实施端口和协议合规性。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
SC.5.230 强制实施端口和协议合规性。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
SC.5.230 强制实施端口和协议合规性。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
SC 5.208 除了商用解决方案之外,采用组织上定义和定制的边界保护。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
SC 5.208 除了商用解决方案之外,采用组织上定义和定制的边界保护。

restricted-common-ports

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
SC 5.208 除了商用解决方案之外,采用组织上定义和定制的边界保护。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
SC 5.208 除了商用解决方案之外,采用组织上定义和定制的边界保护。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以对内部系统控制远程访问。
SI 5.2.23 持续监控个人和系统组件是否存在异常或可疑行为。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
SI 5.2.23 持续监控个人和系统组件是否存在异常或可疑行为。

cloudwatch-alarm-action-check

当某个指标在指定数量的评估期内超出阈值时,Amazon CloudWatch 警报会发出警报。警报根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(配置默认值:True)、insufficientDataActionRequired(配置默认值:True)、okActionRequired(配置默认值:False)的值。实际值应反映环境的警报操作。
SI 5.2.23 持续监控个人和系统组件是否存在异常或可疑行为。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
SI 5.2.23 持续监控个人和系统组件是否存在异常或可疑行为。

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
SI 5.2.23 持续监控个人和系统组件是否存在异常或可疑行为。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息将显示在 AWS CloudTrail 记录内容中。
SI 5.2.23 持续监控个人和系统组件是否存在异常或可疑行为。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
SI 5.2.23 持续监控个人和系统组件是否存在异常或可疑行为。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
SI 5.2.23 持续监控个人和系统组件是否存在异常或可疑行为。

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则 CloudTrail 会将所有 AWS 区域中的日志文件传送到您的 S3 存储桶。此外,当 AWS 启动新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您将收到包含新区域的 API 活动的日志文件,而无需执行任何操作。
SI 5.2.23 持续监控个人和系统组件是否存在异常或可疑行为。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
SI 5.2.23 持续监控个人和系统组件是否存在异常或可疑行为。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
SI 5.2.23 持续监控个人和系统组件是否存在异常或可疑行为。

为了帮助在您的环境中进行日志记录和监控,请确保启用 Amazon Relational Database Service (Amazon RDS) 日志记录。借助 Amazon RDS 日志记录,您可以捕获连接、断开连接、查询或查询的表等事件。

Template

该模板在 GitHub 上可用:适用于 CMC 5 级的 操作最佳实践。