本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CIS Amazon 基金会基准
互联网安全中心 (CIS) Amazon 基金会基准测试是一组安全配置最佳实践 Amazon。这些业界认可的最佳实践为您提供了清晰的 step-by-step 实施和评估程序。从操作系统到云服务和网络设备,此基准测试中的控件可帮助您保护组织使用的特定系统。
Amazon Security Hub 支持 CIS Amazon 基金会基准测试 v3.0.0、1.4.0 和 v1.2.0。
本页列出了每个版本支持的安全控制,并提供了版本对比。
独联体 Amazon 基金会基准测试 v3.0.0
Security Hub 支持 CIS Amazon 基金会基准测试的 3.0.0 版。
Security Hub 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:
-
CIS Amazon 基金会基准测试基准,v3.0.0,第 1 级
-
CIS Amazon 基金会基准测试基准,v3.0.0,第 2 级
适用于 CIS Amazon 基金会基准测试 v3.0.0 的控件
[Account.1] 应为以下人员提供安全联系信息 Amazon Web Services 账户
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录
[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录
[EC2.8] EC2 实例应使用实例元数据服务版本 2 (IMDSv2)
[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口
[EC2.54] EC2 安全组不应允许从:: /0 进入远程服务器管理端口
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 Amazon KMS
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.18] 确保已创建支持角色来管理事件 Amazon Web Services Support
[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证
[IAM.26] 应移除在 IAM 中管理的过期 SSL/TLS 证书
[IAM.27] IAM 身份不应附加策略 AWSCloudShellFullAccess
[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于持续时间 PubliclyAccessible Amazon Config
独联体 Amazon 基金会基准测试 v1.4.0
Security Hub 支持 CIS Amazon 基金会基准测试的 v1.4.0。
适用于 CIS Amazon 基金会基准测试 v1.4.0 的控件
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
[CloudWatch.1] “root” 用户应有日志指标筛选器和警报
[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报
[CloudWatch.5] 确保存在针对 CloudTrail Amazon Config持续时间变化的日志指标筛选器和警报
[CloudWatch.6] 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报
[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报
[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报
[CloudWatch.9] 确保存在针对 Amazon Config 配置更改的日志指标筛选器和警报
[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报
[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报
[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报
[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报
[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报
Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录
[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录
[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.18] 确保已创建支持角色来管理事件 Amazon Web Services Support
[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证
Center for Internet Security(CIS) Amazon 基金会基准 v1.2.0
Security Hub 支持 CIS Amazon 基金会基准测试的 1.2.0 版。
Security Hub 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:
-
CIS Amazon 基金会基准测试基准,v1.2.0,第 1 级
-
CIS Amazon 基金会基准测试基准,v1.2.0,第 2 级
适用于 CIS Amazon 基金会基准测试 v1.2.0 的控件
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
[CloudWatch.1] “root” 用户应有日志指标筛选器和警报
[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报
[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报
[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报
[CloudWatch.5] 确保存在针对 CloudTrail Amazon Config持续时间变化的日志指标筛选器和警报
[CloudWatch.6] 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报
[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报
[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报
[CloudWatch.9] 确保存在针对 Amazon Config 配置更改的日志指标筛选器和警报
[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报
[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报
[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报
[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报
[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报
Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录
[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录
[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量
[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母
[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母
[IAM.13] 确保 IAM 密码策略要求包含至少一个符号
[IAM.14] 确保 IAM 密码策略要求包含至少一个数字
[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14
[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效
[IAM.18] 确保已创建支持角色来管理事件 Amazon Web Services Support
CIS Amazon 基金会基准测试的版本比较
本节总结了互联网安全中心 (CIS) Amazon 基金会基准测试 v3.0.0、v1.4.0 和 v1.2.0 之间的区别。
Security Hub 支持这些版本的 CIS Amazon 基金会基准测试,但我们建议使用 v3.0.0 来了解最新的安全最佳实践。您可以同时启用多个版本的标准。有关更多信息,请参阅 启用和禁用安全标准。如果要升级到 v3.0.0,最好先将其启用,然后再禁用旧版本。如果您使用与 Security Hub 的集成 Amazon Organizations 来集中管理多个账户, Amazon Web Services 账户 并且想要在所有账户中批量启用 v3.0.0,则可以使用集中配置。
将控件映射到每个版本中的 CIS 要求
了解每个版本的 CIS Amazon 基金会基准测试支持的控件。
| 控件 ID 和标题 | CIS v3.0.0 要求 | CIS v1.4.0 要求 | CIS v1.2.0 要求 |
|---|---|---|---|
|
1.2 |
1.2 |
1.18 |
|
|
3.1 |
3.1 |
2.1 |
|
|
3.1 |
3.1 |
2.1 |
|
|
3.5 |
3.7 |
2.7 |
|
|
3.2 |
3.2 |
2.2 |
|
|
不支持 — CIS 删除了此要求 |
3.4 |
2.4 |
|
|
不支持 — CIS 删除了此要求 |
3.3 |
2.3 |
|
|
3.4 |
3.6 |
2.6 |
|
|
不支持-手动检查 |
4.3 |
3.3 |
|
|
不支持-手动检查 |
不支持-手动检查 |
3.1 |
|
|
不支持-手动检查 |
不支持-手动检查 |
3.2 |
|
|
不支持-手动检查 |
4.4 |
3.4 |
|
|
[CloudWatch.5] 确保存在针对 CloudTrail Amazon Config持续时间变化的日志指标筛选器和警报 |
不支持-手动检查 |
4.5 |
3.5 |
|
[CloudWatch.6] 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报 |
不支持-手动检查 |
4.6 |
3.6 |
|
不支持-手动检查 |
4.7 |
3.7 |
|
|
不支持-手动检查 |
4.8 |
3.8 |
|
|
不支持-手动检查 |
4.9 |
3.9 |
|
|
不支持-手动检查 |
4.10 |
3.10 |
|
|
不支持-手动检查 |
4.11 |
3.11 |
|
|
不支持-手动检查 |
4.12 |
3.12 |
|
|
不支持-手动检查 |
4.13 |
3.13 |
|
|
不支持-手动检查 |
4.14 |
3.14 |
|
|
3.3 |
3.5 |
2.5 |
|
|
5.4 |
5.3 |
4.3 |
|
|
3.7 |
3.9 |
2.9 |
|
|
2.2.1 |
2.2.1 |
不支持 |
|
|
5.6 |
不支持 |
不支持 |
|
|
不支持 — 取而代之的是要求 5.2 和 5.3 |
不支持 — 取而代之的是要求 5.2 和 5.3 |
4.1 |
|
|
不支持 — 取而代之的是要求 5.2 和 5.3 |
不支持 — 取而代之的是要求 5.2 和 5.3 |
4.2 |
|
|
5.1 |
5.1 |
不支持 |
|
|
5.2 |
不支持 |
不支持 |
|
|
5.3 |
不支持 |
不支持 |
|
|
2.4.1 |
不支持 |
不支持 |
|
|
不支持 |
1.16 |
1.22 |
|
|
1.15 |
不支持 |
1.16 |
|
|
1.14 |
1.14 |
1.4 |
|
|
1.4 |
1.4 |
1.12 |
|
|
1.10 |
1.10 |
1.2 |
|
|
1.6 |
1.6 |
1.14 |
|
|
不支持 — [IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证 改为参见 |
不支持 — [IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证 改为参见 |
1.3 |
|
|
1.5 |
1.5 |
1.13 |
|
|
不支持 — CIS 删除了此要求 |
不支持 — CIS 删除了此要求 |
1.5 |
|
|
不支持 — CIS 删除了此要求 |
不支持 — CIS 删除了此要求 |
1.6 |
|
|
不支持 — CIS 删除了此要求 |
不支持 — CIS 删除了此要求 |
1.7 |
|
|
不支持 — CIS 删除了此要求 |
不支持 — CIS 删除了此要求 |
1.8 |
|
|
1.8 |
1.8 |
1.9 |
|
|
1.9 |
1.9 |
1.10 |
|
|
不支持 — CIS 删除了此要求 |
不支持 — CIS 删除了此要求 |
1.11 |
|
|
1.17 |
1.17 |
1.2 |
|
|
不支持 — CIS 删除了此要求 |
不支持 — CIS 删除了此要求 |
1.1 |
|
|
1.12 |
1.12 |
不支持 — CIS 在更高版本中添加了此要求 |
|
|
1.19 |
不支持 — CIS 在更高版本中添加了此要求 |
不支持 — CIS 在更高版本中添加了此要求 |
|
|
1.22 |
不支持 — CIS 在更高版本中添加了此要求 |
不支持 — CIS 在更高版本中添加了此要求 |
|
|
1.20 |
不支持 — CIS 在更高版本中添加了此要求 |
不支持 — CIS 在更高版本中添加了此要求 |
|
|
3.6 |
3.8 |
2.8 |
|
|
不支持-手动检查 |
不支持 — 手动检查 |
不支持 — 手动检查 |
|
|
[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于持续时间 PubliclyAccessible Amazon Config |
2.3.3 |
不支持 — CIS 在更高版本中添加了此要求 |
不支持 — CIS 在更高版本中添加了此要求 |
|
2.3.1 |
2.3.1 |
不支持 — CIS 在更高版本中添加了此要求 |
|
|
2.3.2 |
不支持 — CIS 在更高版本中添加了此要求 |
不支持 — CIS 在更高版本中添加了此要求 |
|
|
2.1.4 |
2.1.5 |
不支持 — CIS 在更高版本中添加了此要求 |
|
|
2.1.1 |
2.1.2 |
不支持 — CIS 在更高版本中添加了此要求 |
|
|
2.1.4 |
2.1.5 |
不支持 — CIS 在更高版本中添加了此要求 |
|
|
2.1.2 |
2.1.3 |
不支持 — CIS 在更高版本中添加了此要求 |
独联体 Amazon 基金会的 ARN 基准测试
启用一个或多个版本的 CIS Amazon Foundations Benchmark 后,您将开始收到 Amazon 安全调查结果格式 (ASFF) 中的调查结果。在 ASFF 中,每个版本都使用以下亚马逊资源名称 (ARN):
- 独联体 Amazon 基金会基准测试 v3.0.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0- 独联体 Amazon 基金会基准测试 v1.4.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0- 独联体 Amazon 基金会基准测试 v1.2.0
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
您可以使用 Security Hub API 的GetEnabledStandards操作来找出已启用标准的 ARN。
前面的值适用于StandardsArn。但是,StandardsSubscriptionArn是指 Security Hub BatchEnableStandards在您通过调用某个区域来订阅标准时创建的标准订阅资源。
注意
启用 CIS Amazon Foundations Benchmark 版本时,Security Hub 最多可能需要 18 小时才能为使用与其他已启用标准中的已启用控件相同的 Amazon Config 服务关联规则的控件生成调查结果。有关更多信息,请参阅 有关运行安全检查的计划。
如果启用合并控制结果,则查找字段会有所不同。有关这些区别的更多信息,请参阅 合并对 ASFF 字段和值的影响。有关样本对照结果,请参阅控件调查发现样本。
Security Hub 不支持的 CIS 要求
如上表所述,Security Hub并不支持每个版本的CIS Amazon 基金会基准测试中的所有CIS要求。许多不受支持的要求只能通过查看您的 Amazon 资源状态来手动评估。