本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CIS Amazon 基金会在 Security Hub CSPM 中的基准
互联网安全中心 (CIS) Amazon 基金会基准测试是一组安全配置最佳实践Amazon。这些业界认可的最佳实践为您提供了清晰的 step-by-step实施和评估程序。从操作系统到云服务和网络设备,此基准测试中的控件可帮助您保护组织使用的特定系统。
AmazonSecurity Hub CSPM 支持 CIS Amazon 基金会基准测试版本 5.0.0、3.0.0、1.4.0 和 1.2.0。本页列出了每个版本支持的安全控件。它还提供了版本的比较。
独联体Amazon基金会基准测试版本 5.0.0
Security Hub CSPM 支持 CIS 基金会基准测试的 5.0.0 版 (v5.0.0)。AmazonSecurity Hub CSPM 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:
-
CIS Amazon 基金会基准测试基准,v5.0.0,第 1 级
-
CIS Amazon 基金会基准测试基准,v5.0.0,第 2 级
适用于 CIS Amazon 基金会基准版本 5.0.0 的控件
[Account.1] 应为以下人员提供安全联系信息 Amazon Web Services 账户
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
Amazon Config应启用 [Config.1] 并使用服务相关角色进行资源记录
[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2
[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口
[EC2.54] EC2 安全组不应允许从:: /0 进入远程服务器管理端口
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 Amazon KMS
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持 的事务
[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证
[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书
[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess
[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器
[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于配置 PubliclyAccessible
独联体Amazon基金会基准测试版本 3.0.0
Security Hub CSPM 支持 CIS 基金会基准测试的 3.0.0 版 (v3.0.0)。AmazonSecurity Hub CSPM 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:
-
CIS Amazon 基金会基准测试基准,v3.0.0,第 1 级
-
CIS Amazon 基金会基准测试基准,v3.0.0,第 2 级
适用于 CIS Amazon 基金会基准版本 3.0.0 的控件
[Account.1] 应为以下人员提供安全联系信息 Amazon Web Services 账户
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
Amazon Config应启用 [Config.1] 并使用服务相关角色进行资源记录
[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2
[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口
[EC2.54] EC2 安全组不应允许从:: /0 进入远程服务器管理端口
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 Amazon KMS
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持 的事务
[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证
[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书
[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess
[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器
[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于配置 PubliclyAccessible
独联体Amazon基金会基准测试版本 1.4.0
Security Hub CSPM 支持 CIS 基金会基准测试的 1.4.0 版 (v1.4.0)。Amazon
适用于 CIS Amazon 基金会基准版本 1.4.0 的控件
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
[CloudWatch.1] “root” 用户应有日志指标筛选器和警报
[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报
[CloudWatch.5] 确保存在针对 CloudTrail配置更改的日志指标筛选器和警报
[CloudWatch.6] 确保存在针对Amazon Web Services 管理控制台身份验证失败的日志指标筛选器和警报
[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报
[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报
[CloudWatch.9] 确保存在针对Amazon Config配置更改的日志指标筛选器和警报
[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报
[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报
[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报
[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报
[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报
Amazon Config应启用 [Config.1] 并使用服务相关角色进行资源记录
[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持 的事务
[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证
独联体Amazon基金会基准测试版本 1.2.0
Security Hub CSPM 支持 CIS 基金会基准测试的 1.2.0 版 (v1.2.0)。AmazonSecurity Hub CSPM 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:
-
CIS Amazon 基金会基准测试基准,v1.2.0,第 1 级
-
CIS Amazon 基金会基准测试基准,v1.2.0,第 2 级
适用于 CIS Amazon 基金会基准版本 1.2.0 的控件
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
[CloudWatch.1] “root” 用户应有日志指标筛选器和警报
[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报
[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报
[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报
[CloudWatch.5] 确保存在针对 CloudTrail配置更改的日志指标筛选器和警报
[CloudWatch.6] 确保存在针对Amazon Web Services 管理控制台身份验证失败的日志指标筛选器和警报
[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报
[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报
[CloudWatch.9] 确保存在针对Amazon Config配置更改的日志指标筛选器和警报
[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报
[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报
[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报
[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报
[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报
Amazon Config应启用 [Config.1] 并使用服务相关角色进行资源记录
[EC2.13] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22
[EC2.14] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 3389
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母
[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母
[IAM.13] 确保 IAM 密码策略要求包含至少一个符号
[IAM.14] 确保 IAM 密码策略要求包含至少一个数字
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效
[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持 的事务
CIS Amazon 基金会基准测试版本比较
本节总结了互联网安全中心 (CIS) Amazon 基金会基准测试的特定版本之间的区别 — v5.0.0、v3.0.0、v1.4.0 和 v1.2.0。AmazonSecurity Hub CSPM 支持 CIS Amazon 基金会基准测试的每个版本。但是,建议使用 v5.0.0 以了解最新的安全最佳实践。您可以同时启用多个版本的 CIS Amazon 基金会基准标准。有关启用标准的信息,请参阅启用安全标准。如果要升级到 v5.0.0,请先启用新版本,然后再禁用旧版本。这可以防止您的安全检查出现漏洞。如果您使用与 Security Hub CSPM 集成,Amazon Organizations并希望在多个账户中批量启用 v5.0.0,我们建议使用集中配置。
将控件映射到每个版本中的 CIS 要求
了解每个版本的 CIS Amazon 基金会基准测试支持的控件。
| 控件 ID 和标题 | CIS v5.0.0 要求 | CIS v3.0.0 要求 | CIS v1.4.0 要求 | CIS v1.2.0 要求 |
|---|---|---|---|---|
|
1.2 |
1.2 |
1.2 |
1.18 |
|
|
3.1 |
3.1 |
3.1 |
2.1 |
|
|
3.5 |
3.5 |
3.7 |
2.7 |
|
|
3.2 |
3.2 |
3.2 |
2.2 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
3.4 |
2.4 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
3.3 |
2.3 |
|
|
3.4 |
3.4 |
3.6 |
2.6 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
4.3 |
3.3 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
不支持 – 手动检查 |
3.1 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
不支持 – 手动检查 |
3.2 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
4.4 |
3.4 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
4.5 |
3.5 |
|
|
[CloudWatch.6] 确保存在针对Amazon Web Services 管理控制台身份验证失败的日志指标筛选器和警报 |
不支持 – 手动检查 |
不支持 – 手动检查 |
4.6 |
3.6 |
|
不支持 – 手动检查 |
不支持 – 手动检查 |
4.7 |
3.7 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
4.8 |
3.8 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
4.9 |
3.9 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
4.10 |
3.10 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
4.11 |
3.11 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
4.12 |
3.12 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
4.13 |
3.13 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
4.14 |
3.14 |
|
|
3.3 |
3.3 |
3.5 |
2.5 |
|
|
5.5 |
5.4 |
5.3 |
4.3 |
|
|
3.7 |
3.7 |
3.9 |
2.9 |
|
|
5.1.1 |
2.2.1 |
2.2.1 |
不支持 |
|
|
5.7 |
5.6 |
不支持 |
不支持 |
|
|
不支持 – 替换为要求 5.3 和 5.4 |
不支持 – 替换为要求 5.2 和 5.3 |
不支持 – 替换为要求 5.2 和 5.3 |
4.1 |
|
|
不支持 – 替换为要求 5.3 和 5.4 |
不支持 – 替换为要求 5.2 和 5.3 |
不支持 – 替换为要求 5.2 和 5.3 |
4.2 |
|
|
5.2 |
5.1 |
5.1 |
不支持 |
|
|
5.3 |
5.2 |
不支持 |
不支持 |
|
|
5.4 |
5.3 |
不支持 |
不支持 |
|
|
2.3.1 |
2.4.1 |
不支持 |
不支持 |
|
|
2.3.1 |
不支持 |
不支持 |
不支持 |
|
|
不支持 |
不支持 |
1.16 |
1.22 |
|
|
1.14 |
1.15 |
不支持 |
1.16 |
|
|
1.13 |
1.14 |
1.14 |
1.4 |
|
|
1.3 |
1.4 |
1.4 |
1.12 |
|
|
1.9 |
1.10 |
1.10 |
1.2 |
|
|
1.5 |
1.6 |
1.6 |
1.14 |
|
|
不支持 – 改为参阅 [IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证 |
不支持 – 改为参阅 [IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证 |
不支持 – 改为参阅 [IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证 |
1.3 |
|
|
1.4 |
1.5 |
1.5 |
1.13 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.5 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.6 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.7 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.8 |
|
|
1.7 |
1.8 |
1.8 |
1.9 |
|
|
1.8 |
1.9 |
1.9 |
1.10 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.11 |
|
|
1.16 |
1.17 |
1.17 |
1.2 |
|
|
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
不支持 – CIS 删除了此要求 |
1.1 |
|
|
1.11 |
1.12 |
1.12 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
1.18 |
1.19 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
1.21 |
1.22 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
1.19 |
1.20 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
3.6 |
3.6 |
3.8 |
2.8 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
不支持 – 手动检查 |
不支持 – 手动检查 |
|
|
2.2.3 |
2.3.3 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.2.1 |
2.3.1 |
2.3.1 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.2.4 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.2.2 |
2.3.2 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.2.4 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.1.4 |
2.1.4 |
2.1.5 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.1.1 |
2.1.1 |
2.1.2 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.1.4 |
2.1.4 |
2.1.5 |
不支持 – CIS 在更高版本中添加了此要求 |
|
|
2.1.2 |
2.1.2 |
2.1.3 |
不支持 – CIS 在更高版本中添加了此要求 |
ARNs 适用于独联体Amazon基金会基准
启用一个或多个版本的 CIS Amazon 基金会基准测试后,您将开始收到Amazon安全调查结果格式 (ASFF) 中的调查结果。在 ASFF 中,每个版本都使用以下 Amazon 资源名称(ARN):
- 独联体Amazon基金会基准测试 v5.0.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0- 独联体Amazon基金会基准测试 v3.0.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0- 独联体Amazon基金会基准测试 v1.4.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0- 独联体Amazon基金会基准测试 v1.2.0
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
您可以使用 Security Hub CSPM API 的 GetEnabledStandards 操作找出已启用标准的 ARN。
前面的值与 StandardsArn 对应。但是,StandardsSubscriptionArn 是指在您通过在某个区域中调用 BatchEnableStandards 订阅标准时 Security Hub CSPM 创建的标准订阅资源。
注意
启用 CIS Amazon 基金会基准测试版本时,Security Hub CSPM 最多可能需要 18 小时才能为使用与其他启用标准中已启用控件相同的Amazon Config服务关联规则的控件生成调查结果。有关生成控件调查发现的时间表的更多信息,请参阅有关运行安全检查的计划。
如果您启用了整合的控件调查发现,则调查发现字段会有所不同。有关这些区别的信息,请参阅 合并对 ASFF 字段和值的影响。有关控件调查发现样本,请参阅控件调查发现样本。
Security Hub CSPM 不支持的 CIS 要求
如上表所述,Security Hub CSPM并不支持每个版本的CIS Amazon 基金会基准测试中的所有CIS要求。许多不受支持的要求只能通过查看 Amazon 资源的状态手动评估。