CIS Amazon 基金会基准 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CIS Amazon 基金会基准

互联网安全中心 (CIS) Amazon 基金会基准测试是一组安全配置最佳实践 Amazon。这些业界认可的最佳实践为您提供了清晰的 step-by-step 实施和评估程序。从操作系统到云服务和网络设备,此基准测试中的控件可帮助您保护组织使用的特定系统。

Amazon Security Hub 支持 CIS Amazon 基金会基准测试 v3.0.0、1.4.0 和 v1.2.0。

本页列出了每个版本支持的安全控制,并提供了版本对比。

独联体 Amazon 基金会基准测试 v3.0.0

Security Hub 支持 CIS Amazon 基金会基准测试的 3.0.0 版。

Security Hub 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:

  • CIS Amazon 基金会基准测试基准,v3.0.0,第 1 级

  • CIS Amazon 基金会基准测试基准,v3.0.0,第 2 级

适用于 CIS Amazon 基金会基准测试 v3.0.0 的控件

[Account.1] 应为以下人员提供安全联系信息 Amazon Web Services 账户

[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪

[CloudTrail.2] CloudTrail 应该启用静态加密

[CloudTrail.4] 应启用 CloudTrail 日志文件验证

[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录

Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录

[EC2.2] VPC 默认安全组不应允许入站或出站流量

[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录

[EC2.7] 应启用 EBS 默认加密

[EC2.8] EC2 实例应使用实例元数据服务版本 2 (IMDSv2)

[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389

[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口

[EC2.54] EC2 安全组不应允许从:: /0 进入远程服务器管理端口

[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 Amazon KMS

[IAM.2] IAM 用户不应附加 IAM policy

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[IAM.4] 不应存在 IAM 根用户访问密钥

[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.9] 应为根用户启用 MFA

[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14

[IAM.16] 确保 IAM 密码策略阻止重复使用密码

[IAM.18] 确保已创建支持角色来管理事件 Amazon Web Services Support

[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证

[IAM.26] 应移除在 IAM 中管理的过期 SSL/TLS 证书

[IAM.27] IAM 身份不应附加策略 AWSCloudShellFullAccess

[IAM.28] 应启用 IAM 访问分析器外部访问分析器

[KMS.4] 应启用 Amazon KMS 密钥轮换

[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于持续时间 PubliclyAccessible Amazon Config

[RDS.3] RDS 数据库实例应启用静态加密

[RDS.13] 应启用 RDS 自动次要版本升级

[S3.1] S3 通用存储桶应启用阻止公共访问设置

[S3.5] S3 通用存储桶应要求请求使用 SSL

[S3.8] S3 通用存储桶应阻止公共访问

[S3.20] S3 通用存储桶应启用 MFA 删除

[S3.22] S3 通用存储桶应记录对象级写入事件

[S3.23] S3 通用存储桶应记录对象级读取事件

独联体 Amazon 基金会基准测试 v1.4.0

Security Hub 支持 CIS Amazon 基金会基准测试的 v1.4.0。

适用于 CIS Amazon 基金会基准测试 v1.4.0 的控件

[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪

[CloudTrail.2] CloudTrail 应该启用静态加密

[CloudTrail.4] 应启用 CloudTrail 日志文件验证

[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成

[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问

[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录

[CloudWatch.1] “root” 用户应有日志指标筛选器和警报

[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报

[CloudWatch.5] 确保存在针对 CloudTrail Amazon Config持续时间变化的日志指标筛选器和警报

[CloudWatch.6] 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报

[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报

[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报

[CloudWatch.9] 确保存在针对 Amazon Config 配置更改的日志指标筛选器和警报

[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报

[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报

[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报

[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报

[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报

Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录

[EC2.2] VPC 默认安全组不应允许入站或出站流量

[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录

[EC2.7] 应启用 EBS 默认加密

[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389

[IAM.1] IAM policy 不应允许完整的“*”管理权限

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[IAM.4] 不应存在 IAM 根用户访问密钥

[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.9] 应为根用户启用 MFA

[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14

[IAM.16] 确保 IAM 密码策略阻止重复使用密码

[IAM.18] 确保已创建支持角色来管理事件 Amazon Web Services Support

[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证

[KMS.4] 应启用 Amazon KMS 密钥轮换

[RDS.3] RDS 数据库实例应启用静态加密

[S3.1] S3 通用存储桶应启用阻止公共访问设置

[S3.5] S3 通用存储桶应要求请求使用 SSL

[S3.8] S3 通用存储桶应阻止公共访问

[S3.20] S3 通用存储桶应启用 MFA 删除

Center for Internet Security(CIS) Amazon 基金会基准 v1.2.0

Security Hub 支持 CIS Amazon 基金会基准测试的 1.2.0 版。

Security Hub 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:

  • CIS Amazon 基金会基准测试基准,v1.2.0,第 1 级

  • CIS Amazon 基金会基准测试基准,v1.2.0,第 2 级

适用于 CIS Amazon 基金会基准测试 v1.2.0 的控件

[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪

[CloudTrail.2] CloudTrail 应该启用静态加密

[CloudTrail.4] 应启用 CloudTrail 日志文件验证

[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成

[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问

[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录

[CloudWatch.1] “root” 用户应有日志指标筛选器和警报

[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报

[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报

[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报

[CloudWatch.5] 确保存在针对 CloudTrail Amazon Config持续时间变化的日志指标筛选器和警报

[CloudWatch.6] 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报

[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报

[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报

[CloudWatch.9] 确保存在针对 Amazon Config 配置更改的日志指标筛选器和警报

[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报

[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报

[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报

[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报

[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报

Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录

[EC2.2] VPC 默认安全组不应允许入站或出站流量

[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录

[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量

[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量

[IAM.1] IAM policy 不应允许完整的“*”管理权限

[IAM.2] IAM 用户不应附加 IAM policy

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[IAM.4] 不应存在 IAM 根用户访问密钥

[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.8] 应移除未使用的 IAM 用户凭证

[IAM.9] 应为根用户启用 MFA

[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母

[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母

[IAM.13] 确保 IAM 密码策略要求包含至少一个符号

[IAM.14] 确保 IAM 密码策略要求包含至少一个数字

[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14

[IAM.16] 确保 IAM 密码策略阻止重复使用密码

[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效

[IAM.18] 确保已创建支持角色来管理事件 Amazon Web Services Support

[KMS.4] 应启用 Amazon KMS 密钥轮换

CIS Amazon 基金会基准测试的版本比较

本节总结了互联网安全中心 (CIS) Amazon 基金会基准测试 v3.0.0、v1.4.0 和 v1.2.0 之间的区别。

Security Hub 支持这些版本的 CIS Amazon 基金会基准测试,但我们建议使用 v3.0.0 来了解最新的安全最佳实践。您可以同时启用多个版本的标准。有关更多信息,请参阅 启用和禁用安全标准。如果要升级到 v3.0.0,最好先将其启用,然后再禁用旧版本。如果您使用与 Security Hub 的集成 Amazon Organizations 来集中管理多个账户, Amazon Web Services 账户 并且想要在所有账户中批量启用 v3.0.0,则可以使用集中配置。

将控件映射到每个版本中的 CIS 要求

了解每个版本的 CIS Amazon 基金会基准测试支持的控件。

控件 ID 和标题 CIS v3.0.0 要求 CIS v1.4.0 要求 CIS v1.2.0 要求

[Account.1] 应为以下人员提供安全联系信息 Amazon Web Services 账户

1.2

1.2

1.18

[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪

3.1

3.1

2.1

[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪

3.1

3.1

2.1

[CloudTrail.2] CloudTrail 应该启用静态加密

3.5

3.7

2.7

[CloudTrail.4] 应启用 CloudTrail 日志文件验证

3.2

3.2

2.2

[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成

不支持 — CIS 删除了此要求

3.4

2.4

[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问

不支持 — CIS 删除了此要求

3.3

2.3

[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录

3.4

3.6

2.6

[CloudWatch.1] “root” 用户应有日志指标筛选器和警报

不支持-手动检查

4.3

3.3

[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报

不支持-手动检查

不支持-手动检查

3.1

[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报

不支持-手动检查

不支持-手动检查

3.2

[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报

不支持-手动检查

4.4

3.4

[CloudWatch.5] 确保存在针对 CloudTrail Amazon Config持续时间变化的日志指标筛选器和警报

不支持-手动检查

4.5

3.5

[CloudWatch.6] 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报

不支持-手动检查

4.6

3.6

[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报

不支持-手动检查

4.7

3.7

[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报

不支持-手动检查

4.8

3.8

[CloudWatch.9] 确保存在针对 Amazon Config 配置更改的日志指标筛选器和警报

不支持-手动检查

4.9

3.9

[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报

不支持-手动检查

4.10

3.10

[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报

不支持-手动检查

4.11

3.11

[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报

不支持-手动检查

4.12

3.12

[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报

不支持-手动检查

4.13

3.13

[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报

不支持-手动检查

4.14

3.14

Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录

3.3

3.5

2.5

[EC2.2] VPC 默认安全组不应允许入站或出站流量

5.4

5.3

4.3

[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录

3.7

3.9

2.9

[EC2.7] 应启用 EBS 默认加密

2.2.1

2.2.1

不支持

[EC2.8] EC2 实例应使用实例元数据服务版本 2 (IMDSv2)

5.6

不支持

不支持

[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量

不支持 — 取而代之的是要求 5.2 和 5.3

不支持 — 取而代之的是要求 5.2 和 5.3

4.1

[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量

不支持 — 取而代之的是要求 5.2 和 5.3

不支持 — 取而代之的是要求 5.2 和 5.3

4.2

[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389

5.1

5.1

不支持

[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口

5.2

不支持

不支持

[EC2.54] EC2 安全组不应允许从:: /0 进入远程服务器管理端口

5.3

不支持

不支持

[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 Amazon KMS

2.4.1

不支持

不支持

[IAM.1] IAM policy 不应允许完整的“*”管理权限

不支持

1.16

1.22

[IAM.2] IAM 用户不应附加 IAM policy

1.15

不支持

1.16

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

1.14

1.14

1.4

[IAM.4] 不应存在 IAM 根用户访问密钥

1.4

1.4

1.12

[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA

1.10

1.10

1.2

[IAM.6] 应该为根用户启用硬件 MFA

1.6

1.6

1.14

[IAM.8] 应移除未使用的 IAM 用户凭证

不支持 — [IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证 改为参见

不支持 — [IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证 改为参见

1.3

[IAM.9] 应为根用户启用 MFA

1.5

1.5

1.13

[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母

不支持 — CIS 删除了此要求

不支持 — CIS 删除了此要求

1.5

[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母

不支持 — CIS 删除了此要求

不支持 — CIS 删除了此要求

1.6

[IAM.13] 确保 IAM 密码策略要求包含至少一个符号

不支持 — CIS 删除了此要求

不支持 — CIS 删除了此要求

1.7

[IAM.14] 确保 IAM 密码策略要求包含至少一个数字

不支持 — CIS 删除了此要求

不支持 — CIS 删除了此要求

1.8

[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14

1.8

1.8

1.9

[IAM.16] 确保 IAM 密码策略阻止重复使用密码

1.9

1.9

1.10

[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效

不支持 — CIS 删除了此要求

不支持 — CIS 删除了此要求

1.11

[IAM.18] 确保已创建支持角色来管理事件 Amazon Web Services Support

1.17

1.17

1.2

[IAM.20] 避免使用根用户

不支持 — CIS 删除了此要求

不支持 — CIS 删除了此要求

1.1

[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证

1.12

1.12

不支持 — CIS 在更高版本中添加了此要求

[IAM.26] 应移除在 IAM 中管理的过期 SSL/TLS 证书

1.19

不支持 — CIS 在更高版本中添加了此要求

不支持 — CIS 在更高版本中添加了此要求

[IAM.27] IAM 身份不应附加策略 AWSCloudShellFullAccess

1.22

不支持 — CIS 在更高版本中添加了此要求

不支持 — CIS 在更高版本中添加了此要求

[IAM.28] 应启用 IAM 访问分析器外部访问分析器

1.20

不支持 — CIS 在更高版本中添加了此要求

不支持 — CIS 在更高版本中添加了此要求

[KMS.4] 应启用 Amazon KMS 密钥轮换

3.6

3.8

2.8

[Macie.1] 应该启用亚马逊 Macie

不支持-手动检查

不支持 — 手动检查

不支持 — 手动检查

[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于持续时间 PubliclyAccessible Amazon Config

2.3.3

不支持 — CIS 在更高版本中添加了此要求

不支持 — CIS 在更高版本中添加了此要求

[RDS.3] RDS 数据库实例应启用静态加密

2.3.1

2.3.1

不支持 — CIS 在更高版本中添加了此要求

[RDS.13] 应启用 RDS 自动次要版本升级

2.3.2

不支持 — CIS 在更高版本中添加了此要求

不支持 — CIS 在更高版本中添加了此要求

[S3.1] S3 通用存储桶应启用阻止公共访问设置

2.1.4

2.1.5

不支持 — CIS 在更高版本中添加了此要求

[S3.5] S3 通用存储桶应要求请求使用 SSL

2.1.1

2.1.2

不支持 — CIS 在更高版本中添加了此要求

[S3.8] S3 通用存储桶应阻止公共访问

2.1.4

2.1.5

不支持 — CIS 在更高版本中添加了此要求

[S3.20] S3 通用存储桶应启用 MFA 删除

2.1.2

2.1.3

不支持 — CIS 在更高版本中添加了此要求

独联体 Amazon 基金会的 ARN 基准测试

启用一个或多个版本的 CIS Amazon Foundations Benchmark 后,您将开始收到 Amazon 安全调查结果格式 (ASFF) 中的调查结果。在 ASFF 中,每个版本都使用以下亚马逊资源名称 (ARN):

独联体 Amazon 基金会基准测试 v3.0.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0

独联体 Amazon 基金会基准测试 v1.4.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0

独联体 Amazon 基金会基准测试 v1.2.0

arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

您可以使用 Security Hub API 的GetEnabledStandards操作来找出已启用标准的 ARN。

前面的值适用于StandardsArn。但是,StandardsSubscriptionArn是指 Security Hub BatchEnableStandards在您通过调用某个区域来订阅标准时创建的标准订阅资源。

注意

启用 CIS Amazon Foundations Benchmark 版本时,Security Hub 最多可能需要 18 小时才能为使用与其他已启用标准中的已启用控件相同的 Amazon Config 服务关联规则的控件生成调查结果。有关更多信息,请参阅 有关运行安全检查的计划

如果启用合并控制结果,则查找字段会有所不同。有关这些区别的更多信息,请参阅 合并对 ASFF 字段和值的影响。有关样本对照结果,请参阅控件调查发现样本

Security Hub 不支持的 CIS 要求

如上表所述,Security Hub并不支持每个版本的CIS Amazon 基金会基准测试中的所有CIS要求。许多不受支持的要求只能通过查看您的 Amazon 资源状态来手动评估。