本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Center for Internet Security (CIS) Amazon 基金会基准 v1.2.0 和 v1.4.0
CIS Amazon 基金会基准测试是一组安全配置最佳实践 Amazon。这些业界认可的最佳实践为您提供了清晰的 step-by-step 实施和评估程序。从操作系统到云服务和网络设备,此基准测试中的控件可帮助您保护组织使用的特定系统。
Amazon Security Hub 支持 CIS Amazon 基金会基准测试 v1.2.0 和 v1.4.0。
此页面列出了安全控件 ID 和标题。在 Amazon GovCloud (US) Region 和中国区域,使用特定于标准的控件 ID 和标题。有关安全控件 ID 和标题与特定标准的控件 ID 和标题的映射,请参阅 整合如何影响控件 ID 和标题。
Center for Internet Security (CIS) Amazon 基金会基准 v1.2.0
Security Hub 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:
-
CIS Amazon 基金会基准测试基准,v1.2.0,第 1 级
-
CIS Amazon 基金会基准测试基准,v1.2.0,第 2 级
适用于 CIS Amazon 基金会基准测试 v1.2.0 的控件
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
[CloudWatch.1] “root” 用户应有日志指标筛选器和警报
[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报
[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报
[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报
[CloudWatch.5] 确保存在针对 CloudTrail Amazon Config持续时间变化的日志指标筛选器和警报
[CloudWatch.6] 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报
[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报
[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报
[CloudWatch.9] 确保存在针对 Amazon Config 配置更改的日志指标筛选器和警报
[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报
[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报
[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报
[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报
[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报
[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录
[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量
[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母
[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母
[IAM.13] 确保 IAM 密码策略要求包含至少一个符号
[IAM.14] 确保 IAM 密码策略要求包含至少一个数字
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效
[IAM.18] 确保已创建支持角色来管理事件 Amazon Web Services Support
Center for Internet Security (CIS) Amazon 基金会基准 v1.4.0
Security Hub 支持 CIS Amazon 基金会基准测试的 v1.4.0。
适用于 CIS Amazon 基金会基准测试 v1.4.0 的控件
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
[CloudWatch.1] “root” 用户应有日志指标筛选器和警报
[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报
[CloudWatch.5] 确保存在针对 CloudTrail Amazon Config持续时间变化的日志指标筛选器和警报
[CloudWatch.6] 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报
[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报
[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报
[CloudWatch.9] 确保存在针对 Amazon Config 配置更改的日志指标筛选器和警报
[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报
[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报
[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报
[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报
[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报
[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录
[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.18] 确保已创建支持角色来管理事件 Amazon Web Services Support
[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证
CIS Amazon 基金会基准测试 v1.2.0 与 v1.4.0 的比较
本节总结了互联网安全中心 (CIS) Amazon 基金会基准 v1.4.0 和 v1.2.0 之间的区别。Security Hub 支持该标准的两个版本。
注意
我们建议升级到 CIS Fou Amazon ndations Benchmark v1.4.0,以了解最新的安全最佳实践,但你可能同时启用了 v1.4.0 和 v1.2.0。有关更多信息,请参阅 启用和禁用安全标准。如果您想升级到 v1.4.0,最好先启用 v1.4.0,然后再禁用 v1.2.0。如果您使用与 Security Hub 的集成 Amazon Organizations 来集中管理多个帐户,并且想要在所有账户中批量启用 v1.4.0(并可选择禁用 v1.2.0),则可以从管理员帐户运行 S ecurity Hub 多账户脚本
CIS Amazon 基金会基准测试版本 1.4.0 中存在但不存在于 v1.2.0 中的控件
CIS Amazon 基金会基准测试版本 1.4.0 中添加了以下控件。这些控件未包含在 CIS Amazon 基金会基准 v1.2.0 中。
CIS Amazon 基金会基准测试版本 1.2.0 中存在但不存在于 v1.4.0 中的控件
以下控件仅存在于 CIS Amazon 基金会基准 v1.2.0 中。这些控件未包含在 CIS Amazon 基金会基准 v1.4.0 中。
| 安全控件 ID | CISv1.2.0 要求 | 控件标题 | v1.4.0 中未包含原因 |
|---|---|---|---|
|
3.1 |
确保存在关于未经授权的 API 调用的日志指标筛选条件和警报 |
自动检查 Security Hub 是否不支持 |
|
|
3.2 |
确保存在关于无 MFA 的 Amazon Web Services Management Console 登录的日志指标筛选条件和警报 |
自动检查 Security Hub 是否不支持 |
|
|
4.1 |
确保没有安全组允许从 0.0.0.0/0 到端口 22 的入站流量 |
||
|
4.2 |
确保没有安全组允许从 0.0.0.0/0 到端口 3389 的入站流量 |
自动检查 Security Hub 是否不支持 |
|
|
1.16 |
IAM 用户不应附加 IAM policy |
自动检查 Security Hub 是否不支持 |
|
|
1.3 |
确保禁用 90 天或更长时间未使用的凭证 |
||
|
1.5 |
确保 IAM 密码策略要求包含至少一个大写字母 |
在 CISv1.4.0 中不是必需的 |
|
|
1.6 |
确保 IAM 密码策略要求包含至少一个小写字母 |
在 CISv1.4.0 中不是必需的 |
|
|
1.7 |
确保 IAM 密码策略要求包含至少一个符号 |
在 CISv1.4.0 中不是必需的 |
|
|
1.8 |
确保 IAM 密码策略要求包含至少一个数字 |
在 CISv1.4.0 中不是必需的 |
|
|
1.11 |
确保 IAM 密码策略使密码在 90 天或更短时间内失效 |
在 CISv1.4.0 中不是必需的 |
|
|
1.1 |
避开根用户的用户 |
CIS Amazon 基金会基准 v1.2.0 和 v1.4.0 中存在的控件
CIS Amazon 基金会基准测试版本 1.2.0 和 v1.4.0 中都存在以下控件。但是,每个版本中的控件 ID 和某些控件标题有所不同。
| 安全控件 ID | CISv1.2.0 要求 | CISv1.2.0 中的控件标题 | CISv1.4.0 要求 | CISv1.4.0 中的控件标题 |
|---|---|---|---|---|
|
2.1 |
确保 CloudTrail 在所有区域都已启用 |
3.1 |
确保 CloudTrail 在所有区域都已启用 |
|
|
2.7 |
使用以下方法确保对 CloudTrail 日志进行静态加密 Amazon KMS keys |
3.7 |
使用以下方法确保对 CloudTrail 日志进行静态加密 Amazon KMS keys |
|
|
2.2 |
确保已启用 CloudTrail 日志文件验证 |
3.2 |
确保已启用 CloudTrail 日志文件验证 |
|
|
2.4 |
确保 CloudTrail 跟踪与 CloudWatch 日志集成 |
3.4 |
确保 CloudTrail 跟踪与 CloudWatch 日志集成 |
|
|
2.3 |
确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 |
3.3 |
确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 |
|
|
2.6 |
确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 |
3.6 |
确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 |
|
|
1.1 3.3 |
1.1——避免使用根用户 3.3——确保存在关于使用根用户的日志指标筛选条件和警报 |
1.7 |
无需使用根用户执行管理和日常任务 |
|
|
3.4 |
确保存在关于 IAM policy 更改的日志指标筛选条件和警报 |
4.4 |
确保存在关于 IAM 策略更改的日志指标筛选条件和警报 |
|
|
3.5 |
确保存在 CloudTrail配置更改的日志指标筛选器和警报 |
4.5 |
确保存在 CloudTrail配置更改的日志指标筛选器和警报 |
|
|
3.6 |
确保存在关于 Amazon Web Services Management Console 身份验证失败的日志指标筛选条件和警报 |
4.6 |
确保存在关于 Amazon Web Services Management Console 身份验证失败的日志指标筛选条件和警报 |
|
|
3.7 |
确保存在日志指标筛选条件和警报,用于禁用或计划删除客户托管式密钥 |
4.7 |
确保存在日志指标筛选条件和警报,用于禁用或计划删除客户托管式密钥 |
|
|
3.8 |
确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 |
4.8 |
确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 |
|
|
3.9 |
确保存在关于 Amazon Config 配置更改的日志指标筛选条件和警报 |
4.9 |
确保存在关于 Amazon Config 配置更改的日志指标筛选条件和警报 |
|
|
3.10 |
确保存在关于安全组更改的日志指标筛选条件和警报 |
4.10 |
确保存在关于安全组更改的日志指标筛选条件和警报 |
|
|
3.11 |
确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报 |
4.11 |
确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报 |
|
|
3.12 |
确保存在关于网络网关更改的日志指标筛选条件和警报 |
4.12 |
确保存在关于网络网关更改的日志指标筛选条件和警报 |
|
|
3.13 |
确保存在关于路由表更改的日志指标筛选条件和警报 |
4.13 |
确保存在关于路由表更改的日志指标筛选条件和警报 |
|
|
3.14 |
确保存在关于 VPC 更改的日志指标筛选条件和警报 |
4.14 |
确保存在关于 VPC 更改的日志指标筛选条件和警报 |
|
|
2.5 |
确保 Amazon Config 已启用 |
3.5 |
确保 Amazon Config 在所有区域都已启用 |
|
|
4.3 |
确保每个 VPC 的默认安全组限制所有流量 |
5.3 |
确保每个 VPC 的默认安全组限制所有流量 |
|
|
2.9 |
确保在所有 VPC 中启用 VPC 流日志记录 |
3.9 |
确保在所有 VPC 中启用 VPC 流日志记录 |
|
|
1.22 |
确保未创建允许完全“*.*”管理权限的 IAM policy |
1.16 |
确保未附加的允许完全“*.*”管理权限的 IAM policy |
|
|
1.4 |
确保访问密钥每 90 天或更短时间轮换一次 |
1.14 |
确保访问密钥每 90 天或更短时间轮换一次 |
|
|
1.12 |
确保不存在根用户访问密钥 |
1.4 |
确保不存在根用户账户访问密钥 |
|
|
1.2 |
确保为拥有控制台密码的所有 IAM 用户启用多重身份验证(MFA) |
1.10 |
确保为拥有控制台密码的所有 IAM 用户启用多重身份验证(MFA) |
|
|
1.14 |
确保为根用户启用硬件 MFA |
1.6 |
确保为根用户账户启用硬件 MFA |
|
|
1.13 |
确保为根用户启用 MFA |
1.5 |
确保为根用户账户启用 MFA |
|
|
1.9 |
确保 IAM 密码策略要求最短密码长度不低于 14 |
1.8 |
确保 IAM 密码策略要求最短长度不低于 14 |
|
|
1.10 |
确保 IAM 密码策略阻止重复使用密码 |
1.9 |
确保 IAM 密码策略阻止重复使用密码 |
|
|
1.20 |
确保已创建支持角色来管理事件 Amazon Web Services Support |
1.17 |
确保已创建支持角色来管理事件 Amazon Web Services Support |
|
|
2.8 |
确保启用客户创建的 KMS 密钥的轮换 |
3.8 |
确保启用客户创建的 KMS 密钥的轮换 |
CIS Amazon 基金会基准 v1.4.0 的调查发现字段字段格式
启用 CIS Found Amazon ations Benchmark v1.4.0 后,您将开始以 Amazon 安全调查结果格式 (ASFF) 接收调查结果。对于这些结果,特定于标准的字段将参考 v1.4.0。对于 CIS Amazon 基金会基准 v1.4.0,请注意以下格式GeneratorID以及任何引用标准亚马逊资源名称 (ARN) 的 ASFF 字段。
-
标准 ARN——
arn:partition:securityhub:region:account-id:standards/cis-aws-foundations-benchmark/v/1.4.0 -
GeneratorID–cis-aws-foundations-benchmark/v/1.4.0/control ID
您可以调用 GetEnabledStandardsAPI 接口来找出标准的 ARN。
注意
启用 CIS Fou Amazon ndations Benchmark v1.4.0 时,Security Hub 最多可能需要 18 小时才能为使用与其他启用标准中已启用的控件相同的 Amazon Config 服务关联规则的控件生成调查结果。有关更多信息,请参阅 有关运行安全检查的计划。
如果您启用了整合的控件调查发现,则调查发现字段会有所不同。有关这些区别的更多信息,请参阅 合并对 ASFF 字段和值的影响。有关开启和关闭合并功能的 CIS 控件调查发现示例,请参阅 控件调查发现样本。
Security Hub 不支持的 CIS Amazon 基金会基准安全检查
本部分总结了 Security Hub 目前不支持的 CIS 要求。Center for Internet Security (CIS) 是一个独立的非营利组织,负责制定这些要求。
Security Hub 不支持的 CIS Amazon 基金会基准 v1.2.0 安全检查
Security Hub 目前不支持以下 CIS Amazon 基金会基准测试 v1.2.0 要求。
不支持的手动检查
Security Hub 专注于自动安全检查。因此,Security Hub 不支持 CIS Amazon Foundations Benchmark v1.2.0 的以下要求,因为它们需要手动检查您的资源:
-
1.15——确保安全问题已在 Amazon Web Services 账户 中注册
-
1.17——维护最新的联系人详细信息
-
1.18——确保注册安全联系人信息
-
1.19——确保从实例访问 Amazon 资源时使用 IAM 实例角色
-
1.21——在初始用户设置期间,不要为具有控制台密码的所有 IAM 用户设置访问密钥
-
4.4——确保 VPC 对等连接的路由表为“最少访问”
Security Hub 支持 CIS Amazon 基金会基准测试 v1.2.0 的所有自动检查。
Security Hub 不支持的 CIS Amazon 基金会基准 v1.4.0 安全检查
Security Hub 目前不支持以下 CIS Amazon 基金会基准测试 v1.4.0 要求。
不支持的手动检查
Security Hub 专注于自动安全检查。因此,Security Hub 不支持 CIS Amazon Foundations Benchmark v1.4.0 的以下要求,因为它们需要手动检查您的资源:
-
1.1——维护最新的联系人详细信息
-
1.2——确保注册安全联系人信息
-
1.3——确保安全问题已在 Amazon Web Services 账户 中注册
-
1.11——在初始用户设置期间,不要为具有控制台密码的所有 IAM 用户设置访问密钥
-
1.18——确保从实例访问 Amazon 资源时使用 IAM 实例角色
-
1.21 — 确保通过联合身份验证或 Amazon Organizations 在多账户环境中集中管理 IAM 用户
-
2.1.4——确保在需要时发现、分类和保护了 Amazon S3 中的所有数据
-
5.4——确保 VPC 对等连接的路由表为“最少访问”
不支持的自动检查
Security Hub 不支持 CIS Amazon Foundations Benchmark v1.4.0 中依赖自动检查的以下要求:
-
1.13——确保只有一个有效的访问密钥可供任何单个 IAM 用户使用
-
1.15——确保 IAM 用户仅通过群组获得权限
-
1.19——确保所有存储在 IAM 中的过期 SSL/TLS 证书都已删除
-
1.20——确保所有区域都启用 IAM 访问分析器
-
3.10——确保为 S3 存储桶启用写入事件的对象级日志记录
-
3.11——确保为 S3 存储桶启用读取事件的对象级日志记录
-
4.1——确保存在关于未经授权的 API 调用的日志指标筛选条件和警报
-
4.2——确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报
-
4.3——确保存在使用根账户的日志指标筛选条件和警报(这类似于自动要求,1.7——避免使用根用户执行管理和日常任务,Security Hub 支持此功能)
-
4.15——确保 Amazon Organizations 更改的日志指标筛选条件和警报存在
-
5.2 确保没有安全组允许从 0.0.0.0/0 进入远程服务器管理端口