本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 中的独联体 Amazon 基金会基准
Center for Internet Security (CIS) Amazon 基金会基准测试是一组的安全配置最佳实践 Amazon。这些行业公认的最佳实践为您提供了清晰、分明的 step-by-step实施和评估程序。从操作系统到云服务和网络设备,此基准测试中的控件可帮助您保护组织使用的特定系统。
Amazon Security Hub 支持 CIS Amazon 基金会基准的 3.0.0、1.4.0 和 1.2.0 版本。本页列出了每个版本支持的安全控件。它还提供了版本的比较。
CIS Amazon 基金会基准 3.0.0
Security Hub 支持 CIS 基金会基准的 3.0.0 版本(v3.0.0)。 Amazon Security Hub 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:
-
CIS Amazon 基金会基准的 CIS 基准的 CIS 基准,v3.0,1 级
-
CIS Amazon 基金会基准的 CIS 基准的 CIS 基准,v3.0,2 级
适用于 CIS Amazon 基金会基准的 CIS 控件
[Account.1] 应为以下人员提供安全联系人信息 Amazon Web Services 账户
[CloudTrail.1] CloudTrail 应启用并至少配置一个包含读写管理事件的多区域追踪
[CloudTrail.2] CloudTrail 应启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
[Config.1] Amazon Config 应启用并使用服务相关角色进行资源记录
[EC2.6] 应在所有中启用 VPC 流日志记录 VPCs
[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2
[EC2.21] 网络 ACLs 不应允许从 0.0.0/0 进入端口 22 或端口 3389
[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 到远程服务器管理端口的入口流量
[EC2.54] EC2 安全组不应允许从::: /0 到远程服务器管理端口的入口流量
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 Amazon KMS
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持的事务
[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证
[IAM.26] 应删除 IAM 中管理的过期 SSL/TLS 证书
[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess
[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器
[RDS.2] RDS 数据库实例应禁止公有访问,这取决于 PubliclyAccessible
CIS Amazon 基金会基准 1.4.0
Security Hub 支持 CIS Amazon 基金会基准的 1.4.0 版本(v1.4.0)。
适用于 CIS Amazon 基金会基准版本 1.4.0 的控件
[CloudTrail.1] CloudTrail 应启用并至少配置一个包含读写管理事件的多区域追踪
[CloudTrail.2] CloudTrail 应启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudTrail.6] 确保用来存储 CloudTrail 日志的 S3 存储桶不可公开访问
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
[CloudWatch.1] 应具有有关 “根” 用户使用的日志指标筛选条件和警报
[CloudWatch.4] 确保存在关于 IAM policy 更改的日志指标筛选条件和警报
[CloudWatch.5] 确保存在关于 CloudTrail配置更改的日志指标筛选条件和警报
[CloudWatch.6] 确保存在关于 Amazon Web Services Management Console 身份验证失败的日志指标筛选条件和警报
[CloudWatch.7] 确保存在关于禁用或计划删除客户托管式密钥的日志指标筛选条件和警报
[CloudWatch.8] 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报
[CloudWatch.9] 确保存在关于 Amazon Config 配置更改的日志指标筛选条件和警报
[CloudWatch.10] 确保存在关于安全组更改的日志指标筛选条件和警报
[CloudWatch.11] 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报
[CloudWatch.12] 确保存在关于网络网关更改的日志指标筛选条件和警报
[CloudWatch.13] 确保存在关于路由表更改的日志指标筛选条件和警报
[CloudWatch.14] 确保存在关于 VPC 更改的日志指标筛选条件和警报
[Config.1] Amazon Config 应启用并使用服务相关角色进行资源记录
[EC2.6] 应在所有中启用 VPC 流日志记录 VPCs
[EC2.21] 网络 ACLs 不应允许从 0.0.0/0 进入端口 22 或端口 3389
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持的事务
[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证
CIS Amazon 基金会基准 1.2.0
Security Hub 支持 CIS Amazon 基金会基准的 1.2.0 版本(v1.2.0)。Security Hub 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:
-
CIS Amazon 基金会基准的 CIS 基准的 CIS 基准,v1.2,1 级
-
CIS Amazon 基金会基准的 CIS 基准的 CIS 基准,v1.2,2 级
适用于 CIS Amazon 基金会基准版本 1.2.0 的控件
[CloudTrail.1] CloudTrail 应启用并至少配置一个包含读写管理事件的多区域追踪
[CloudTrail.2] CloudTrail 应启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudTrail.6] 确保用来存储 CloudTrail 日志的 S3 存储桶不可公开访问
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
[CloudWatch.1] 应具有有关 “根” 用户使用的日志指标筛选条件和警报
[CloudWatch.2] 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报
[CloudWatch.3] 确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报
[CloudWatch.4] 确保存在关于 IAM policy 更改的日志指标筛选条件和警报
[CloudWatch.5] 确保存在关于 CloudTrail配置更改的日志指标筛选条件和警报
[CloudWatch.6] 确保存在关于 Amazon Web Services Management Console 身份验证失败的日志指标筛选条件和警报
[CloudWatch.7] 确保存在关于禁用或计划删除客户托管式密钥的日志指标筛选条件和警报
[CloudWatch.8] 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报
[CloudWatch.9] 确保存在关于 Amazon Config 配置更改的日志指标筛选条件和警报
[CloudWatch.10] 确保存在关于安全组更改的日志指标筛选条件和警报
[CloudWatch.11] 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报
[CloudWatch.12] 确保存在关于网络网关更改的日志指标筛选条件和警报
[CloudWatch.13] 确保存在关于路由表更改的日志指标筛选条件和警报
[CloudWatch.14] 确保存在关于 VPC 更改的日志指标筛选条件和警报
[Config.1] Amazon Config 应启用并使用服务相关角色进行资源记录
[EC2.6] 应在所有中启用 VPC 流日志记录 VPCs
[EC2.13] 安全组不应允许从 0.0.0.0/0 或:: /0 到端口 22 的入口流量
[EC2.14] 安全组不应允许从 0.0.0.0/0 或:: /0 到端口 3389 的入口流量
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母
[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母
[IAM.13] 确保 IAM 密码策略要求包含至少一个符号
[IAM.14] 确保 IAM 密码策略要求包含至少一个数字
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效
[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持的事务
CIS Amazon 基金会基准的版本比较
本节总结了 Center for Internet Security (CIS) Amazon 基金会基准 v3.0.0、v1.4.0 和 v1.2.0 的特定版本之间的区别。 Amazon Security Hub 支持这些版本的 CIS Amazon 基金会基准测试。但是,我们建议使用 v3.0.0 以了解最新的安全最佳实践。您可以同时启用多个版本的标准。有关启用标准的信息,请参阅在 Security Hub 中启用安全标准。如果您想升级到 v3.0.0,请在禁用旧版本之前启用该版本。这样可以防止您的安全检查出现漏洞。如果您使用 Security Hub 与的集成, Amazon Organizations 并希望在多个账户中批量启用 v3.0.0,我们建议使用中心配置。
将控件映射到每个版本中的 CIS 要求
了解每个版本的 CIS Amazon 基金会基准支持的控件。
| 控件 ID 和标题 | CIS v3.0.0 要求 | CIS v1.4.0 要求 | CIS v1.2.0 要求 |
|---|---|---|---|
|
1.2 |
1.2 |
1.18 |
|
|
3.1 |
3.1 |
2.1 |
|
|
3.5 |
3.7 |
2.7 |
|
|
3.2 |
3.2 |
2.2 |
|
|
不支持 – CIS 删除了此要求 |
3.4 |
2.4 |
|
|
不支持 – CIS 删除了此要求 |
3.3 |
2.3 |
|
|
3.4 |
3.6 |
2.6 |
|
|
不支持 – 手动检查 |
4.3 |
3.3 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
3.1 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
3.2 |
|
|
不支持 – 手动检查 |
4.4 |
3.4 |
|
|
不支持 – 手动检查 |
4.5 |
3.5 |
|
|
[CloudWatch.6] 确保存在关于 Amazon Web Services Management Console 身份验证失败的日志指标筛选条件和警报 |
不支持 – 手动检查 |
4.6 |
3.6 |
|
不支持 – 手动检查 |
4.7 |
3.7 |
|
|
不支持 – 手动检查 |
4.4 |
3.8 |
|
|
不支持 – 手动检查 |
4.9 |
3.9 |
|
|
不支持 – 手动检查 |
4.10 |
1.18 |
|
|
不支持 – 手动检查 |
4.11 |
1.18 |
|
|
不支持 – 手动检查 |
1.12 |
1.12 |
|
|
不支持 – 手动检查 |
4.13 |
3.13 |
|
|
不支持 – 手动检查 |
1.14 |
3.14 |
|
|
3.3 |
3.5 |
2.5 |
|
|
4.4 |
5.3 |
4.3 |
|
|
3.7 |
3.9 |
4.4 |
|
|
2.2.1 |
2.2.1 |
不支持 |
|
|
5.6 |
不支持 |
不支持 |
|
|
不支持 – 替换为要求 5.2 和 5.3 |
不支持 – 替换为要求 5.2 和 5.3 |
4.1 |
|
|
不支持 – 替换为要求 5.2 和 5.3 |
不支持 – 替换为要求 5.2 和 5.3 |
4.2 |
|
|
5.1 |
5.1 |
不支持 |
|
|
5.2 |
不支持 |
不支持 |
|
|
5.3 |
不支持 |
不支持 |
|
|
2.4.1 |
不支持 |
不支持 |
|
|
不支持 |
1.16 |
1.22 |
|
|
1.15 |
不支持 |
1.16 |
|
|
1.14 |
1.14 |
1.4 |
|
|
1.4 |
1.4 |
1.12 |
|
|
1.10 |
1.10 |
1.2 |
|
|
1.6 |
1.6 |
1.14 |
|
|
不支持 – 改为参阅 [IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证 |
不支持 – 改为参阅 [IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证 |
1.3 |
|
|
1.5 |
1.5 |
1.13 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.5 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.6 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.7 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.8 |
|
|
1.8 |
1.8 |
1.9 |
|
|
1.9 |
1.9 |
1.10 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.11 |
|
|
1.17 |
1.17 |
1.2 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.1 |
|
|
1.12 |
1.12 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
1.19 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
1.22 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
1.19 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
3.6 |
3.8 |
1.8 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
不支持 – 手动检查 |
|
|
2.3.3 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.3.1 |
2.3.1 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.3.2 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.1.4 |
2.1.5 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.1.1 |
2.1.2 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.1.4 |
2.1.5 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.1.2 |
2.1.3 |
不支持 – CIS 在更高版本中添加了此要求 |
ARNs 适用于独联体 Amazon 基金会基准
启用 CIS Amazon 基金会基准中的一个或多个版本后,您将开始以 Amazon 安全调查发现格式(ASFF)接收调查发现。在 ASFF 中,每个版本都使用以下 Amazon 资源名称(ARN):
- CIS Amazon 基金会基准 v3.0.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0- CIS Amazon 基金会基准 v1.4.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0- CIS Amazon 基金会基准 v1.2.0
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
您可以使用 Security Hub API 的GetEnabledStandards操作找出已启用标准的 ARN。
前面的值与 StandardsArn 对应。但是,StandardsSubscriptionArn 是指在您通过在某个区域中调用 BatchEnableStandards 订阅标准时 Security Hub 创建的标准订阅资源。
注意
启用 CIS Amazon 基金会基准的版本时,Security Hub 最多可能需要 18 小时才能为使用与其他启用标准中已启用的控件相同的 Amazon Config 服务关联规则的控件生成调查发现。有关生成控件调查发现的时间表的更多信息,请参阅有关运行安全检查的计划。
如果您启用了整合的控件调查发现,则调查发现字段会有所不同。有关这些区别的信息,请参阅合并对 ASFF 字段和值的影响。有关控件调查发现样本,请参阅Security Hub 中的控件调查发现样本。
Security Hub 不支持的 CIS 要求
如上表所述,Security Hub 并不支持每个版本的 CIS Amazon 基金会基准中的所有 CIS 要求。许多不受支持的要求只能通过手动检查您的 Amazon 资源状态来评估。