PCI DSS 3.2.1 的运营最佳实践 - AWS Config
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

PCI DSS 3.2.1 的运营最佳实践

一致性包提供了通用的合规性框架,旨在使您能够使用托管或自定义 AWS Config 规则以及 AWS Config 修正操作来创建安全、操作或成本优化监管检查。作为示例模板的一致性包并非旨在完全确保符合特定的监管或合规性标准。您有责任评估您对服务的使用是否符合适用的法律法规要求。

下面提供了支付卡数据安全标准 (PCI DSS) 3.2.1 和 AWS 托管 Config 规则之间的示例映射。每个 AWS Config 规则适用于特定的 AWS 资源,并与一个或多个 PCI DSS 控件相关。PCI DSS 控制可与多个 Config 规则相关。有关与这些映射相关的更多详细信息和指导,请参阅下表。

此一致性包已由 AWS Security Assurance Services LLC (AWS SAS) 验证,AWS SAS 是一个由支付卡行业限定的安全评估程序 (QSA)、HITRUST 认证的常见安全框架练习程序 (CCSFP) 和合规性专家组成的团队,这些专家通过了认证,可提供针对各种行业框架的指导和评估。AWS SAS 专业人员设计此一致性包,以使客户能够与 PCI DSS 的子集保持一致。

AWS 区域: 所有支持的 AWS 区域(亚太地区(香港)、欧洲(斯德哥尔摩) 和 中东(巴林) 除外)

控制 ID 控制描述 AWS Config 规则 指南
1.2 构建防火墙和路由器配置,以限制不受信任的网络与持卡人数据环境中任何系统组件之间的连接。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。通过此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,并且这些账户需要原则和访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

restricted-common-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

vpc-sg-open-only-to-authorized-ports

通过确保限制 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上的常见端口,管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以控制对内部系统的远程访问。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

dms-replication-not-public

通过确保 DMS 复制实例不可公开访问来管理对 AWS 云的访问。DMS 复制实例可以包含敏感信息,并且此类账户需要访问控制。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原,管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,并且此类账户需要访问控制。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

ec2-instance-no-public-ip

通过确保无法公开访问 Amazon Elastic Compute Cloud (Amazon EC2) 实例来管理对 AWS 云的访问。Amazon EC2 实例可以包含敏感信息,并且此类账户需要访问控制。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

elasticsearch-in-vpc-only

通过确保 Amazon Elasticsearch Service (Amazon ES) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中来管理对 AWS 云的访问。Amazon VPC 中的 Amazon ES 域支持 Amazon ES 与 Amazon VPC 中的其他服务之间的安全通信,而无需 Internet 网关、NAT 设备或 VPN 连接。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点不可公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可以包含敏感信息,并且此类账户需要访问控制。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

internet-gateway-authorized-vpc-only

通过确保互联网网关仅附加到授权的 Amazon Virtual Private Cloud (Amazon VPC) 来管理对 AWS 云中资源的访问。Internet 网关允许对 Amazon VPC 进行双向 Internet 访问,这可能会导致对 Amazon VPC 资源进行未经授权的访问。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在函数和 Amazon VPC 中的其他服务之间进行安全通信。通过此配置,您无需 Internet 网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都保持安全。由于它们的逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全性。要正确管理访问权限,AWS Lambda 函数应分配给 VPC。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,并且这些账户需要原则和访问控制。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

restricted-common-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制常见端口来管理对 AWS 云中资源的访问。不将对端口的访问限制为受信任的来源可能会导致对系统的可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(配置默认值:20,21,338,3306,333)。实际值应反映您组织的策略。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据对未经授权的远程用户安全。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

通过确保 Amazon SageMaker 笔记本不允许直接 Internet 访问,在 AWS 云中管理对资源的访问。通过防止直接 Internet 访问,您可以防止未经授权的用户访问敏感数据。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
1.3 禁止 Internet 与持卡人数据环境中的任何系统组件之间的直接公有访问。

vpc-sg-open-only-to-authorized-ports

通过确保限制 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上的常见端口,管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以控制对内部系统的远程访问。
2.1 在网络上安装系统之前,请始终更改供应商提供的默认值,并删除或禁用不需要的默认账户。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
2.2 为所有系统组件制定配置标准。

eip-attached

此规则可确保分配给 Amazon Virtual Private Cloud (Amazon VPC) 的弹性 IPs 附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例或正在使用的弹性网络接口。此规则有助于监控您的环境中未使用的 EIPs。
2.2 为所有系统组件制定配置标准。

s3-account-level-public-access-blocks

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶不可公开访问,在 AWS 云中管理对资源的访问。此规则通过防止公有访问来帮助使敏感数据对未经授权的远程用户安全。此规则允许您选择性地设置 ignorePublicAcls(配置默认值:True)、blockPublicPolicy(配置默认值:True)、blockPublicAcls(配置默认值:True)和 restrictPublicBuckets 参数(配置默认值:True)。实际值应反映您组织的策略。
2.2.2 根据系统功能的要求,仅启用必要的服务、协议、守护程序等。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可提供对 AWS 资源传入和传出网络流量的有状态筛选,从而帮助管理网络访问。不允许从 0.0.0.0/0 到资源上的端口 22 的入口(或远程)流量可帮助您限制远程访问。
2.2.2 根据系统功能的要求,仅启用必要的服务、协议、守护程序等。

vpc-sg-open-only-to-authorized-ports

通过确保限制 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上的常见端口,管理对 AWS 云中资源的访问。不将端口上的访问限制为受信任的源可能会导致对系统的可用性、完整性和机密性的攻击。通过限制从 Internet 对安全组内资源的访问 (0.0.0.0/0),可以控制对内部系统的远程访问。
2.4 维护 PCI DSS 范围内的系统组件的清单。

ec2-instance-managed-by-systems-manager

使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,即可列出组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本,以及有关环境的其他详细信息。
2.4 维护 PCI DSS 范围内的系统组件的清单。

ec2-security-group-attached-to-eni

此规则确保将安全组附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例或 ENI。此规则有助于监控清单中的未使用安全组以及环境管理。
3.4 渲染 PAN 在存储的任何位置都是不可读的。

api-gw-cache-enabled-and-encrypted

为了帮助保护静态数据,请确保已为 API Gateway 阶段的缓存启用加密。由于可为 API 方法捕获敏感数据,请启用静态加密以帮助保护这些数据。
3.4 渲染 PAN 在存储的任何位置都是不可读的。

dynamodb-table-encryption-enabled

确保已为您的 Amazon DynamoDB 表启用加密。由于敏感数据可存在于这些表中,因此启用静态加密以帮助保护这些数据。默认情况下,将使用 AWS 拥有的客户主密钥 (CMK) 对 DynamoDB 表进行加密。
3.4 渲染 PAN 在存储的任何位置都是不可读的。

由于敏感数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic File System (EFS) 启用加密。
3.4 渲染 PAN 在存储的任何位置都是不可读的。

由于敏感数据可以存在并有助于保护静态数据,请确保为您的 Amazon Elasticsearch Service (Amazon ES) 域启用加密。
3.4 渲染 PAN 在存储的任何位置都是不可读的。

由于敏感型数据可以存在并有助于保护静态数据,因此请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
3.4 渲染 PAN 在存储的任何位置都是不可读的。

为了帮助保护静态数据,请确保已为您的 Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。
3.4 渲染 PAN 在存储的任何位置都是不可读的。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置一个值。实际值应反映您组织的策略。
3.4 渲染 PAN 在存储的任何位置都是不可读的。

为了帮助保护静态数据,请确保为您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于敏感数据可存在于 Amazon S3 存储桶中,因此,请启用加密以帮助保护该数据。
3.4 渲染 PAN 在存储的任何位置都是不可读的。

sagemaker-endpoint-configuration-kms-key-configured

为了帮助保护静态数据,请确保为您的 SageMaker 终端节点启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可存在于 SageMaker 终端节点中,因此启用静态加密以帮助保护该数据。
3.4 渲染 PAN 在存储的任何位置都是不可读的。

为了帮助保护静态数据,请确保为您的 SageMaker 笔记本启用了 AWS Key Management Service (AWS KMS) 加密。由于敏感数据可存在于 SageMaker 笔记本中,请启用静态加密以帮助保护该数据。
3.6.4 到达加密期限的加密密钥更改。 

通过确保 AWS ACM 颁发 X509 证书,确保网络完整性。这些证书必须有效且不过期。此规则需要 daysToExpiration 的值(AWS 基础安全最佳实践值:90)。实际值应反映您组织的策略。
3.6.4 到达加密期限的加密密钥更改。 

启用密钥轮换,以确保在到达加密期限时轮换密钥。
4.1 在通过开放公用网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据。 

alb-http-to-https-redirection-check

为了帮助保护传输中的数据,请确保您的 Application Load Balancer 自动将未加密的 HTTP 请求重定向到 HTTPS。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
4.1 在通过开放公用网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据。 

由于敏感数据可以存在并且在传输过程中帮助保护数据,请确保为 Elastic Load Balancing 启用加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
4.1 在通过开放公用网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
4.1 在通过开放公用网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据。 

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于敏感数据可以存在,因此启用传输中加密以保护该数据。
6.1 - 建立识别安全漏洞的过程。 

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager 关联可帮助清点组织中的软件平台和应用程序。AWS Systems Manager 为托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置和其他有关环境的详细信息的基准。
6.2 确保所有系统组件和软件都免受已知漏洞的攻击。 

ec2-managedinstance-patch-compliance-status-check

启用此规则可帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。该规则根据组织的策略和过程的要求检查 AWS Systems Manager 中的 Amazon EC2 实例是否补丁合规性。
7.1 将对系统组件和持卡人数据的访问限制为其作业需要此类访问的个人。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
7.1.2 将对特权用户 IDs 的访问权限限制为执行作业责任所需的最小权限。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
7.2 为系统组件建立访问控制系统,根据用户需要了解的内容限制访问,并设置为“拒绝所有”,除非明确允许。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可帮助您遵循最低特权原则和访问权限和授权责任共担原则,限制策略包含“效果”: “Allow”,在“Resource”上包含“Action”:“*”: “*”。 允许用户拥有比完成任务所需的权限更多的权限可能会违反最低权限和职责分离原则。
7.2 为系统组件建立访问控制系统,根据用户需要了解的内容限制访问,并设置为“拒绝所有”,除非明确允许。

iam-root-access-key-check

通过检查根用户是否没有将访问密钥附加到其 AWS Identity and Access Management (IAM) 角色,可以控制对系统和资产的访问。确保删除根访问密钥。而是创建并使用基于角色的 AWS 账户来帮助纳入最低功能原则。
7.2 为系统组件建立访问控制系统,根据用户需要了解的内容限制访问,并设置为“拒绝所有”,除非明确允许。

iam-user-no-policies-check

此规则确保 AWS Identity and Access Management (IAM) 策略仅附加到组或角色来控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份收到或保留过多权限的机会。
7.2 为系统组件建立访问控制系统,根据用户需要了解的内容限制访问,并设置为“拒绝所有”,除非明确允许。

通过确保 AWS Lambda 函数不可公开访问,在 AWS 云中管理对资源的访问。公开访问可能会导致资源可用性下降。
7.2 为系统组件建立访问控制系统,根据用户需要了解的内容限制访问,并设置为“拒绝所有”,除非明确允许。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息,并且这些账户需要原则和访问控制。
7.2 为系统组件建立访问控制系统,根据用户需要了解的内容限制访问,并设置为“拒绝所有”,除非明确允许。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有实例,管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可以包含敏感信息和原则,这些账户需要访问控制。
7.2 为系统组件建立访问控制系统,根据用户需要了解的内容限制访问,并设置为“拒绝所有”,除非明确允许。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有集群来管理对 AWS 云中资源的访问。Amazon Redshift 集群可以包含敏感信息和原则,这些账户需要访问控制。
7.2 为系统组件建立访问控制系统,根据用户需要了解的内容限制访问,并设置为“拒绝所有”,除非明确允许。

通过启用 s3_ bucket_policy_grantee_check 管理对 AWS 云的访问。此规则检查 Amazon S3 存储桶授予的访问权限是否受您提供的任何 AWS 委托人、联合身份用户、服务委托人、IP 地址或 Amazon Virtual Private Cloud (Amazon VPC) IDs 的限制。
7.2 为系统组件建立访问控制系统,根据用户需要了解的内容限制访问,并设置为“拒绝所有”,除非明确允许。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
7.2 为系统组件建立访问控制系统,根据用户需要了解的内容限制访问,并设置为“拒绝所有”,除非明确允许。

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶来管理对 AWS 云中资源的访问。访问管理应与数据的分类一致。
8.1.4 在 90 天内删除/禁用非活动用户账户。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果标识了这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能会违反最小特权原则。此规则要求您将值设置为 maxCredentialUsageAge(PCI DSS 默认值:90)。实际值应反映您组织的策略。
8.2.1 使用强加密,使所有身份验证凭证(如密码/短语)在传输和存储所有系统组件期间不可读。

确保 AWS Codebuild 项目环境中不存在 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 身份验证凭证。不要以明文形式存储这些变量。将这些变量存储在明文中会导致意外的数据泄露和未经授权的访问。
8.2.1 使用强加密,使所有身份验证凭证(如密码/短语)在传输和存储所有系统组件期间不可读。

确保 GitHub 或 Bitbucket 源存储库 URL 在 AWS Codebuild 项目环境中不包含个人访问令牌、用户名和密码。使用 OAuth 而不是个人访问令牌或用户名和密码来授予访问 GitHub 或 Bitbucket 存储库的权限。
8.2.1 使用强大的加密技术,可以将所有身份验证凭证在传输和存储所有系统组件期间呈现为不可读。 

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以管理访问权限和授权,并将其与最低权限和职责共担原则合并起来。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器称为密钥分发中心 (KDC)。它为委托人提供了一种身份验证方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其他有关每个委托人的管理信息的数据库。
8.2.3 密码/口令必须满足以下条件: • 至少需要 7 个字符的最小长度。• 包含数字和字母字符。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和 Centers for Internet Security (CIS) AWS Foundations 基准提供的有关密码强度的要求。此规则允许您可以选择为您的 IAM 密码策略设置 RequireUppercaseCharacters(PCI DSS 默认值:false)、RequireLowercaseCharacters(PCI DSS 默认值:false)、RequireSymbols(PCI DSS 默认值:false)、RequireNumbers(PCI DSS 默认值:true)、MinimumPasswordLength(PCI DSS 默认值:7)、PasswordReusePrevention(PCI DSS 默认值:4)和 MaxPasswordAge(PCI DSS 默认值:90)。实际值应反映您组织的策略。
8.2.4 每 90 天至少更改一次用户密码/口令。

access-keys-rotated

通过确保根据组织策略轮换 IAM 访问密钥,审核授权设备、用户和流程的凭证。定期更改访问密钥是一种安全最佳实践。它缩短了访问密钥处于活动状态的期间,并减小密钥泄露时对业务的影响。此规则需要访问密钥轮换值(PCI DSS 默认值:90)。实际值应反映您组织的策略。
8.2.4 每 90 天至少更改一次用户密码/口令。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和 Centers for Internet Security (CIS) AWS Foundations 基准提供的有关密码强度的要求。此规则允许您可以选择为您的 IAM 密码策略设置 RequireUppercaseCharacters(PCI DSS 默认值:false)、RequireLowercaseCharacters(PCI DSS 默认值:false)、RequireSymbols(PCI DSS 默认值:false)、RequireNumbers(PCI DSS 默认值:true)、MinimumPasswordLength(PCI DSS 默认值:7)、PasswordReusePrevention(PCI DSS 默认值:4)和 MaxPasswordAge(PCI DSS 默认值:90)。实际值应反映您组织的策略。
8.2.4 至少每 90 天更改一次用户密码/口令。

secretsmanager-rotation-enabled-check

此规则可确保 AWS Secrets Manager 密钥已启用轮换。定期轮换密钥可以缩短密钥处于活动状态的期间,并可能减少密钥泄露时对业务的影响。
8.2.5 不允许个人提交与其他人使用的最近四个密码/口令中的任意一个相同的新密码/口令。

iam-password-policy

将根据组织 IAM 密码策略颁发、管理和验证身份和凭证。它们符合或超过 NIST SP 800-63 和 Centers for Internet Security (CIS) AWS Foundations 基准提供的有关密码强度的要求。此规则允许您可以选择为您的 IAM 密码策略设置 RequireUppercaseCharacters(PCI DSS 默认值:false)、RequireLowercaseCharacters(PCI DSS 默认值:false)、RequireSymbols(PCI DSS 默认值:false)、RequireNumbers(PCI DSS 默认值:true)、MinimumPasswordLength(PCI DSS 默认值:7)、PasswordReusePrevention(PCI DSS 默认值:4)和 MaxPasswordAge(PCI DSS 默认值:90)。实际值应反映您组织的策略。
8.3 为所有具有管理访问权限的人员加入针对 CDE 的非控制台访问的多重身份验证。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则确保为所有 IAM 用户启用 Multi-Factor Authentication (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA 来减少受损账户的事件。
8.3 保护所有单独的非控制台管理访问权限以及使用多重验证对 CDE 的所有远程访问。 

mfa-enabled-for-iam-console-access

通过确保为所有具有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA 来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求 IAM 用户使用 MFA,您可以减少遭盗用账户的事件,并防止敏感数据被未经授权的用户访问。
8.3 保护所有单独的非控制台管理访问权限以及使用多重验证对 CDE 的所有远程访问。

通过确保为根用户启用硬件 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了额外的保护层。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
8.3 保护所有单独的非控制台管理访问权限以及使用多重验证对 CDE 的所有远程访问。

通过确保为根用户启用 MFA 来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码添加了额外的保护层。通过要求根用户使用 MFA,您可以减少遭盗用 AWS 账户的事件。
10.1 实施审核跟踪,以将对系统组件的所有访问链接到每个单独的用户。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置值。实际值应反映您组织的策略。
10.1 实施审核跟踪,以将对系统组件的所有访问链接到每个单独的用户。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.2 - 为所有系统组件实施自动审核跟踪。 

zapi-gw-execution-logging-enabled

API Gateway 日志记录显示访问了 API 的用户及其访问 API 的方式的详细视图。此见解实现了用户活动的可见性。
10.2 - 为所有系统组件实施自动审核跟踪。 

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据提供了您的 AWS 账户中的 API 调用活动的详细信息。
10.2 - 为所有系统组件实施自动审核跟踪。 

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置值。实际值应反映您组织的策略。
10.2.1 - 为所有系统组件实施自动审核跟踪以重建所有单个用户对持卡人数据的访问。 

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.2.1 - 为所有系统组件实施自动审核跟踪以重建所有单个用户对持卡人数据的访问。 

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置值。实际值应反映您组织的策略。
10.2.1 - 为所有系统组件实施自动审核跟踪以重建所有单个用户对持卡人数据的访问。 

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.2.2 为所有系统组件实施自动审核跟踪以重新构造具有根或管理权限的任何个人执行的所有操作。 

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.2.2 为所有系统组件实施自动审核跟踪以重新构造具有根或管理权限的任何个人执行的所有操作。 

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置值。实际值应反映您组织的策略。
10.2.2 为所有系统组件实施自动审核跟踪以重新构造具有根或管理权限的任何个人执行的所有操作。 

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.2.3 为所有系统组件实施自动审核跟踪以重建对所有审核跟踪的访问。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.2.3 为所有系统组件实施自动审核跟踪以重建对所有审核跟踪的访问。 

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.2.4 为所有系统组件实施自动审核跟踪以重建无效的逻辑访问尝试。 

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.2.4 为所有系统组件实施自动审核跟踪以重建无效的逻辑访问尝试。 

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置值。实际值应反映您组织的策略。
10.2.4 为所有系统组件实施自动审核跟踪以重建无效的逻辑访问尝试。 

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.2.5 为所有系统组件实施自动审核跟踪以重建标识和身份验证机制的使用和更改。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.2.5 为所有系统组件实施自动审核跟踪以重建标识和身份验证机制的使用和更改。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置一个值。实际值应反映您组织的策略。
10.2.6 为所有系统组件实施自动审核跟踪以重新构造审核日志的初始化、停止或暂停。 

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.2.7, 为所有系统组件实施自动审核跟踪以重新构造系统级对象的创建和删除。 

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.2.7, 为所有系统组件实施自动审核跟踪以重新构造系统级对象的创建和删除。 

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.3.1 在用户标识的所有系统组件的审核条目中记录。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.3.1 在用户标识的所有系统组件的审核条目中记录。

cloudtrail-s3-dataevents-enabled

Amazon S3 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.3.1 在用户标识的所有系统组件的审核条目中记录。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.3.1 在用户标识的所有系统组件的审核条目中记录。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置值。实际值应反映您组织的策略。
10.3.1 在用户标识的所有系统组件的审核条目中记录。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.3.2 所有系统组件的审核条目中的记录 - 事件的类型。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.3.2 所有系统组件的审核条目中的记录 - 事件的类型。

cloudtrail-s3-dataevents-enabled

Amazon S3 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.3.2 所有系统组件的审核条目中的记录 - 事件的类型。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.3.2 所有系统组件的审核条目中的记录 - 事件的类型。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置值。实际值应反映您组织的策略。
10.3.2 所有系统组件的审核条目中的记录 - 事件的类型。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.3.3 - 在审核条目中记录所有系统组件的日期和时间。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.3.3 - 在审核条目中记录所有系统组件的日期和时间。

cloudtrail-s3-dataevents-enabled

Amazon S3 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.3.3 - 在审核条目中记录所有系统组件的日期和时间。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.3.3 - 在审核条目中记录所有系统组件的日期和时间。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置值。实际值应反映您组织的策略。
10.3.3 - 在审核条目中记录所有系统组件的日期和时间。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.3.3 - 在审核条目中记录所有系统组件的日期和时间。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
10.3.4 在所有系统组件的审核条目中记录成功或失败指示。 

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中。
10.3.4 在所有系统组件的审核条目中记录成功或失败指示。 

cloudtrail-s3-dataevents-enabled

Amazon S3 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.3.4 在所有系统组件的审核条目中记录成功或失败指示。 

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.3.4 在所有系统组件的审核条目中记录成功或失败指示。 

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置值。实际值应反映您组织的策略。
10.3.4 在所有系统组件的审核条目中记录成功或失败指示。 

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.3.4 在所有系统组件的审核条目中记录成功或失败指示。 

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
10.3.5 所有系统组件的审核条目中记录事件来源。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息在 AWS CloudTrail 记录内容中查看。
10.3.5 所有系统组件的审核条目中记录事件来源。

cloudtrail-s3-dataevents-enabled

Amazon S3 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.3.5 所有系统组件的审核条目中记录事件来源。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.3.5 所有系统组件的审核条目中记录事件来源。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置值。实际值应反映您组织的策略。
10.3.5 所有系统组件的审核条目中记录事件来源。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.3.5 所有系统组件的审核条目中记录事件来源。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
10.3.6 所有系统组件的审核条目中记录受影响的数据、系统组件或资源的身份或名称。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助进行不可检索。您可以标识调用 AWS 服务的用户和 AWS 账户、生成调用的源 IP 地址以及调用的计时。捕获的数据的详细信息将显示在 AWS CloudTrail 记录内容中。
10.3.6 所有系统组件的审核条目中记录受影响的数据、系统组件或资源的身份或名称。

cloudtrail-s3-dataevents-enabled

Amazon S3 数据事件的集合有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.3.6 所有系统组件的审核条目中记录受影响的数据、系统组件或资源的身份或名称。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的通信中心。确保已启用 ELB 日志记录。收集的数据提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.3.6 所有系统组件的审核条目中记录受影响的数据、系统组件或资源的身份或名称。

redshift-cluster-configuration-check

要保护静态数据,请确保已为您的 Amazon Redshift 集群启用加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审核日志记录以提供有关数据库中的连接和用户活动的信息。此规则要求为 clusterDbEncrypted(PCI DSS 默认值:TRUE)和 loggingEnabled(PCI DSS 默认值:TRUE)设置值。实际值应反映您组织的策略。
10.3.6 所有系统组件的审核条目中记录受影响的数据、系统组件或资源的身份或名称。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监控网络是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录来监控事件。每个访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.3.6 所有系统组件的审核条目中记录受影响的数据、系统组件或资源的身份或名称。

vpc-flow-logs-enabled

VPC 流日志提供有关传入和传出 Amazon Virtual Private Cloud (Amazon VPC) 中的网络接口的 IP 流量的详细信息。默认情况下,流日志记录包含 IP 流的不同组件的值,包括源、目标和协议。
10.5.1 - 将审核跟踪的查看限制为具有作业相关需要的审核跟踪。

由于敏感数据可能存在并有助于保护静态数据,请确保为您的 AWS CloudTrail 跟踪启用加密。
10.5.1 - 将审核跟踪的查看限制为具有作业相关需要的审核跟踪。

为了帮助保护静态敏感数据,请确保已为您的 Amazon CloudWatch 日志组启用加密。
10.5.2 防止审核跟踪文件受到未经授权的修改。

利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证可帮助确定日志文件在 CloudTrail 提交后是否已修改或删除或未更改。此功能是使用行业标准算法构建的: 用于哈希的 SHA-256 和用于数字签名的带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
10.5.3 – 提示将审核跟踪文件备份到难以更改的集中式日志服务器或介质。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制可帮助在相同的 Amazon S3 存储桶中保留对象的多个变体。使用版本控制可保留、检索和还原存储在 Amazon S3 存储桶中的每个对象的每个版本。版本控制可帮助您轻松从意外用户操作和应用程序故障中恢复。
10.5.5 - 在日志上使用文件完整性监控或更改检测软件,以确保在未生成警报的情况下无法更改现有日志数据。 

利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证可帮助确定日志文件在 CloudTrail 提交后是否已修改或删除或未更改。此功能是使用行业标准算法构建的: 用于哈希的 SHA-256 和用于数字签名的带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
10.6 查看所有系统组件的日志和安全事件以确定异常或可疑活动。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。
11.4 使用入侵检测和/或入侵防御技术检测和/或防止入侵网络。

Amazon GuardDuty 可以使用威胁情报源帮助监控和检测潜在的网络安全事件。其中包括恶意 IPs 和机器学习列表,用于识别 AWS 云环境中的意外、未经授权的和恶意活动。
12.5.2 监控和分析安全警报和信息,并将其分发给相应的人员。

securityhub-enabled

AWS Security Hub 有助于监控未授权的人员、连接、设备和软件。AWS Security Hub 聚合、组织来自多个 AWS 服务的安全警报或结果的优先级。一些此类服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) 访问分析器以及 AWS Firewall Manager 和 AWS 合作伙伴解决方案。

Template

该模板在 GitHub 上可用: PCI DSS 3.2.1 的 操作最佳实践。