Security Hub 控件的更改日志 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 控件的更改日志

以下更改日志跟踪 Amazon Security Hub 安全控制的重大更改,这些更改可能会导致控制的整体状态及其发现的合规性状态发生变化。有关 Security Hub 如何评估控件状态的信息,请参阅合规状态和控制状态。更改在输入此日志后可能需要几天时间才能影响所有 Amazon Web Services 区域 可用的控件。

此日志跟踪自 2023 年 4 月以来发生的更改。

选择控件可查看有关该控件的更多详细信息。标题变更会在每个控件的详细描述中注明 90 天。

重要

作为控制措施定期审查的一部分,Security Hub 将于 2024 年 3 月从所有安全标准中删除以下控制措施。全部移除 Amazon Web Services 账户 , Amazon Web Services 区域 最多可能需要一个月的时间。从账户中移除控件后,Security Hub 会在五天内存档相关的调查结果,并在 90 天后将其删除。如果您希望在 Security Hub 删除这些控制发现之前停止接收它们,则可以使用 Security Hub 控制台、API 或将其禁用 Amazon CLI

此外,以下控件将仅从 Amazon 基础安全最佳实践 (FSBP) 标准中删除,但仍将包含在 NIST SP 800-53 r5 标准中:

变更日期 控件 ID 和标题 更改的说明
2024年3月22日 [Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密 将控制标题从应使用 TLS 1.2 加密到 OpenSearch 域的连接更改为应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密。以前,该控件仅检查与 OpenSearch 域的连接是否使用 TLS 1.2。现在,该控件会PASSED发现 OpenSearch 域名是否使用最新的 TLS 安全策略进行加密。控件标题和描述已更新,以反映当前行为。
2024年3月22日 [ES.8] 应使用最新的 TLS 安全策略对与 Elasticsearch 域的连接进行加密 将控制标题从 Elasticsearch 域名的连接更改为应使用 TLS 1.2 加密到 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密。以前,该控件仅检查与 Elasticsearch 域的连接是否使用 TLS 1.2。现在,该控件可以PASSED发现 Elasticsearch 域名是否使用最新的 TLS 安全策略进行加密。控件标题和描述已更新,以反映当前行为。
2024 年 3 月 12 日 [S3.1] S3 通用存储桶应启用阻止公共访问设置 应将标题从 S3 阻止公共访问设置更改为 S3 通用存储桶应启用阻止公共访问设置。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.2] S3 通用存储桶应阻止公共读取权限 已更改 S3 存储桶的标题应禁止对 S3 的公共读取权限通用存储桶应阻止公共读取权限。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.3] S3 通用存储桶应阻止公共写入权限 已更改 S3 存储桶的标题应禁止对 S3 的公共写入权限。通用存储桶应阻止公共写入权限。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.5] S3 通用存储桶应要求请求使用 SSL S3 存储桶更改后的标题应要求请求使用安全套接字层,改为 S3 通用存储桶应要求请求使用 SSL。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户 授予其他 Amazon Web Services 账户 存储桶策略的 S3 权限更改后的标题应仅限于 S3 通用存储桶策略应限制其他存储桶策略的访问权限 Amazon Web Services 账户。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.7] S3 通用存储桶应使用跨区域复制 S3 存储桶更改后的标题应启用跨区域复制,改为 S3 通用存储桶应使用跨区域复制。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.7] S3 通用存储桶应使用跨区域复制 S3 存储桶更改后的标题应启用跨区域复制,改为 S3 通用存储桶应使用跨区域复制。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.8] S3 通用存储桶应阻止公共访问 应在存储桶级别启用 S3 阻止公共访问设置的标题更改为 S3 通用存储桶应阻止公共访问。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.9] S3 通用存储桶应启用服务器访问日志记录 应启用 S3 存储桶服务器访问日志的标题更改为应为 S3 通用存储桶启用服务器访问日志记录。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.10] 启用版本控制的 S3 通用存储桶应具有生命周期配置 启用版本控制的 S3 存储桶的标题应将生命周期策略配置为启用版本控制的 S3 通用存储桶应具有生命周期配置。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.11] S3 通用存储桶应启用事件通知 S3 存储桶更改的标题应启用事件通知,改为 S3 通用存储桶应启用事件通知。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.12] 不应使用 ACL 来管理用户对 S3 通用存储桶的访问权限 S3 访问控制列表 (ACL) 更改后的标题不应用于管理用户对存储桶的访问权限,而不应使用 ACL 来管理用户对 S3 通用存储桶的访问权限。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.13] S3 通用存储桶应具有生命周期配置 S3 存储桶更改后的标题应将生命周期策略配置为 S3 通用存储桶应具有生命周期配置。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.14] S3 通用存储桶应启用版本控制 S3 存储桶更改后的标题应使用版本控制,改为 S3 通用存储桶应启用版本控制。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.15] S3 通用存储桶应启用对象锁定 应将标题从 S3 存储桶配置为使用对象锁定S3 通用存储桶应启用对象锁定。Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 12 日 [S3.17] S3 通用存储桶应使用静态加密 Amazon KMS keys 已更改的标题从 S3 存储桶应使用静态加密 Amazon KMS keysS3 通用存储桶应使用静态加密。 Amazon KMS keys Security Hub 将标题更改为说明新的 S3 存储桶类型。
2024 年 3 月 7 日 [Lambda.2] Lambda 函数应使用受支持的运行时系统 Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持nodejs20.xruby3.3作为参数。
2024年2月22日 [Lambda.2] Lambda 函数应使用受支持的运行时系统 Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 dotnet8 作为参数。
2024年2月5日 [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 Security Hub 更新了 Kubernetes 支持的最早版本,Amazon EKS 集群可以在该版本上运行,以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.25
2024 年 1 月 10 日 [CodeBuild.1] CodeBuild Bitbucket 源存储库网址不应包含敏感凭证 已更改标题CodeBuild GitHub 或 Bitbucket 源存储库网址应使用 OAuthCodeBuild Bitbucket 源存储库网址不应包含敏感凭据。Security Hub 删除了对 OAuth 的提及,因为其他连接方法也可以是安全的。Security Hub 删除了提及, GitHub 因为不再可能在 GitHub 源存储库 URL 中包含个人访问令牌或用户名和密码。
2024 年 1 月 8 日 [Lambda.2] Lambda 函数应使用受支持的运行时系统 Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 不再支持 go1.xjava8 作为参数,因为这些运行时系统都已停用。
2023 年 12 月 29 日 [RDS.8] RDS 数据库实例应启用删除保护 RDS.8 会检查使用某个受支持数据库引擎的 Amazon RDS 数据库实例是否启用了删除保护。Security Hub 现在支持 custom-oracle-eeoracle-ee-cdb、和 oracle-se2-cdb 作为数据库引擎。
2023 年 12 月 22 日 [Lambda.2] Lambda 函数应使用受支持的运行时系统 Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 java21python3.12 作为参数。Security Hub 不再支持 ruby2.7 作为参数。
2023 年 12 月 15 日 [CloudFront.1] CloudFront 发行版应配置默认根对象 CloudFront.1 检查 Amazon CloudFront 分配是否配置了默认根对象。Security Hub 将此控件的严重性从“关键”降低到“高”,因为添加默认根对象是一个建议操作,具体取决于用户应用程序及特定需求。
2023 年 12 月 5 日 [EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 将控件标题从安全组不应允许从 0.0.0.0/0 到端口 22 的入口流量更改为安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量
2023 年 12 月 5 日 [EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 将控件标题从 确保没有安全组允许从 0.0.0.0/0 到端口 3389 的入口流量更改为 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量
2023 年 12 月 5 日 [RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch 应将控制标题从数据库日志记录更改为 RDS 数据库实例应将日志发布到 CloudWatch 日志。Security Hub 发现,此控件仅检查日志是否已发布到 Amazon CloudWatch Logs,而不检查是否已启用 RDS 日志。如果PASSED将 RDS 数据库实例配置为将日志发布到 CloudWatch 日志,则该控件会生成结果。控件标题已更新,以反映当前行为。
2023 年 11 月 17 日 [EC2.19] 安全组不应允许不受限制地访问高风险端口 EC2.19 检查被认为高风险的指定端口是否可以访问安全组的不受限制的传入流量。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果此前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。
2023 年 11 月 16 日 [CloudWatch.15] CloudWatch 警报应配置指定操作 将控制标题从CloudWatch 警报更改为应为警报状态配置动作,而 CloudWatch 警报则应配置指定操作
2023 年 11 月 16 日 [CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留 更改后的控制标题应从CloudWatch 日志组保留至少 1 年而 CloudWatch 日志组应保留指定时间段
2023 年 11 月 16 日 [Lambda.5] VPC Lambda 函数应在多个可用区内运行 将控件标题从 VPC Lambda 函数应在一个以上可用区中运行更改为 VPC Lambda 函数应在多个可用区中运行
2023 年 11 月 16 日 [AppSync.2] Amazon AppSync 应该启用字段级日志记录 将控件标题从 Amazon AppSync 应开启请求级和字段级日志记录更改为 Amazon AppSync 应启用字段级日志记录
2023 年 11 月 16 日 [EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址 控制标题从 Amazon Elastic MapReduce 集群主节点不应具有公有 IP 地址更改为 Amazon EMR 集群主节点不应具有公有 IP 地址。
2023 年 11 月 16 日 [Opensearch.2] OpenSearch 域名不应向公众开放 将控制标题从OpenSearch 域名应在 VPC 中更改为不应公开访问的OpenSearch域
2023 年 11 月 16 日 [ES.2] Elasticsearch 域名不可供公共访问 将控件标题从 Elasticsearch 域名应位于 VPC 中更改为 Elasticsearch 域名不可供公共访问
2023 年 10 月 31 日 [ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志 ES.4 检查 Elasticsearch 域是否配置为向亚马逊日志发送错误日志。 CloudWatch 该控件之前对一个 Elasticsearch 域生成了PASSED调查结果,该域将所有日志配置为发送到 CloudWatch 日志。Security Hub 更新了控件,PASSED使其仅针对配置为向日志发送错误日志的 Elasticsearch 域生成查找结果。 CloudWatch 该控件也进行了更新,将不支持错误日志的 Elasticsearch 版本排除在评估之外。
2023 年 10 月 16 日 [EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 EC2.13 检查安全组是否允许对端口 22 进行不受限制的入口访问。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。
2023 年 10 月 16 日 [EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 EC2.14 检查安全组是否允许对端口 3389 进行不受限制的入口访问。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。
2023 年 10 月 16 日 [EC2.18] 安全组应只允许授权端口不受限制的传入流量 EC2.18 检查正在使用的安全组是否允许不受限制的入口流量。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。
2023 年 10 月 16 日 [Lambda.2] Lambda 函数应使用受支持的运行时系统 Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 python3.11 作为参数。
2023 年 10 月 4 日 [S3.7] S3 通用存储桶应使用跨区域复制 Security Hub 添加了值为 CROSS-REGION 的参数 ReplicationType,以确保 S3 存储桶启用了跨区域复制,而非同区域复制。
2023 年 9 月 27 日 [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 Security Hub 更新了 Kubernetes 支持的最早版本,Amazon EKS 集群可以在该版本上运行,以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.24
2023 年 9 月 20 日 CloudFront.2 — CloudFront 发行版应启用来源访问身份 Security Hub 停用了此控件,并将其从所有标准中删除。请改为参阅[CloudFront.13] CloudFront 发行版应使用源站访问控制。“源访问标识”是当前的安全最佳实践。此控件将在 90 天后从文档中删除。
2023 年 9 月 20 日 [EC2.22] 应删除未使用的 Amazon EC2 安全组 Security Hub 从 Amazon 基础安全最佳实践 (FSBP) 和美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5 中删除了此控件。它仍然是服务管理标准的一部分: Amazon Control Tower. 如果安全组连接到 EC2 实例或弹性网络接口,此 控件会生成一个通过的调查发现。但是,对于某些用例,未附加的安全组不会构成安全风险。您可以使用其他 EC2 控件(例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19)来监控您的安全组。
2023 年 9 月 20 日 EC2.29:EC2 实例应在 VPC 中启动 Security Hub 停用了此控件,并将其从所有标准中删除。Amazon EC2 已将 EC2-Classic 实例迁移到 VPC。此控件将在 90 天后从文档中删除。
2023 年 9 月 20 日 S3.4:S3 存储桶应启用服务器端加密 Security Hub 停用了此控件,并将其从所有标准中删除。Amazon S3 现在使用 S3 托管式密钥 (SS3-S3) 为新的和现有的 S3 存储桶提供默认加密。使用 SS3-S3 或 SS3-KMS 服务器端加密的现有存储桶的加密设置保持不变。此控件将在 90 天后从文档中删除。
2023 年 9 月 14 日 [EC2.2] VPC 默认安全组不应允许入站或出站流量 已将控件标题从 VPC 默认安全组不应允许入站和出站流量更改为 VPC 默认安全组不应允许入站或出站流量
2023 年 9 月 14 日 [IAM.9] 应为根用户启用 MFA 已将控件标题从应为根用户启用虚拟 MFA更改为应为根用户启用 MFA

2023 年 9 月 14 日

[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅 已将控件标题从应为关键集群事件配置 RDS 事件通知订阅更改为应为关键集群事件配置现有 RDS 事件通知订阅
2023 年 9 月 14 日 [RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅 已将控件标题从应为关键数据库实例事件配置 RDS 事件通知订阅更改为应为关键数据库实例事件配置现有 RDS 事件通知订阅
2023 年 9 月 14 日 [WAF.2] Amazon WAF 经典区域规则应至少有一个条件 已将控件标题从WAF Regional 规则应至少有一个条件更改为Amazon WAF Classic Regional 规则应至少有一个条件
2023 年 9 月 14 日 [WAF.3] Amazon WAF 经典区域规则组应至少有一条规则 已将控件标题从 WAF Regional 规则组应至少包含一条规则更改为Amazon WAF Classic Regional 规则组应至少包含一条规则
2023 年 9 月 14 日 [WAF.4] Amazon WAF 经典区域性 Web ACL 应至少有一个规则或规则组 已将控件标题从 WAF Regional web ACL 应至少有一个规则或规则组更改为Amazon WAF Classic Regional Web ACL 应至少有一个规则或规则组
2023 年 9 月 14 日 [WAF.6] Amazon WAF 经典全局规则应至少有一个条件 已将控件标题从全局 WAF 规则应至少有一个条件更改为 Classic 全局Amazon WAF 规则应至少有一个条件
2023 年 9 月 14 日 [WAF.7] Amazon WAF 经典全局规则组应至少有一条规则 已将控件标题从全局 WAF 规则组应至少包含一条规则更改为 Classic 全局Amazon WAF 规则组应至少包含一条规则
2023 年 9 月 14 日 [WAF.8] Amazon WAF 经典全局 Web ACL 应至少有一个规则或规则组 已将控件标题从 WAF 全局 Web ACL 应至少包含一个规则或规则组更改为Amazon WAF Classic 全局 Web ACL 应至少有一个规则或规则组
2023 年 9 月 14 日 [WAF.10] Amazon WAF Web ACL 应至少有一个规则或规则组 已将控件标题从 WAFv2 Web ACL 至少有一个规则或规则组更改为Amazon WAF Web ACL 应至少有一个规则或规则组
2023 年 9 月 14 日 [WAF.11] 应启 Amazon WAF 用 Web ACL 日志记录 已将控件标题从应激活Amazon WAF v2 Web ACL 日志记录更改为应启用Amazon WAF Web ACL 日志记录

2023 年 7 月 20 日

S3.4:S3 存储桶应启用服务器端加密 S3.4 检查一个 Amazon S3 存储桶是否启用了服务器端加密,或者 S3 存储桶策略是否明确拒绝了没有服务器端加密的 PutObject 请求。Security Hub 更新了此控件,以加入具有 KMS 密钥的双层服务器端加密 (DSSE-KMS)。当使用 SSE-S3、SSE-KMS 或 DSSE-KMS 加密 S3 存储桶时,控件会生成已通过的调查发现。
2023 年 7 月 17 日 [S3.17] S3 通用存储桶应使用静态加密 Amazon KMS keys S3.17 检查 Amazon S3 存储桶是否使用了 Amazon KMS key加密。Security Hub 更新了此控件,以加入具有 KMS 密钥的双层服务器端加密 (DSSE-KMS)。当使用 SSE-KMS 或 DSSE-KMS 加密 S3 存储桶时,该控件会生成已通过的调查发现。
2023 年 6 月 9 日 [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 EKS.2 检查 Amazon EKS 集群是否在受支持的 Kubernetes 版本上运行。现在支持的最旧版本是 1.23
2023 年 6 月 9 日 [Lambda.2] Lambda 函数应使用受支持的运行时系统 Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 ruby3.2 作为参数。
2023 年 6 月 5 日 [APIGateway.5] API Gateway REST API 缓存数据应进行静态加密 APIGateway.5. 检查 Amazon API Gateway REST API 阶段中的所有方法是否都处于静态加密状态。Security Hub 更新了控件,使其仅在为特定方法启用缓存时才评估该方法的加密。
2023 年 5 月 18 日 [Lambda.2] Lambda 函数应使用受支持的运行时系统 Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 java17 作为参数。
2023 年 5 月 18 日 [Lambda.2] Lambda 函数应使用受支持的运行时系统 Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 不再支持 nodejs12.x 作为参数。
2023 年 4 月 23 日 [ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行 ECS.10 会检查 Amazon ECS Fargate 服务是否运行最新的 Fargate 平台版本。客户可以直接通过 ECS 部署 Amazon ECS,也可以使用部署 CodeDeploy。Security Hub 更新了此控件,以便在您使用 CodeDeploy 部署 ECS Fargate 服务时生成通过调查结果。
2023 年 4 月 20 日 [S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户 S3.6 检查亚马逊简单存储服务 (Amazon S3) 存储桶策略是否阻止 Amazon Web Services 账户 其他人的委托人对 S3 存储桶中的资源执行被拒绝的操作。考虑存储桶策略中的条件,Security Hub 更新了控件。
2023 年 4 月 18 日 [Lambda.2] Lambda 函数应使用受支持的运行时系统 Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 python3.10 作为参数。
2023 年 4 月 18 日 [Lambda.2] Lambda 函数应使用受支持的运行时系统 Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 不再支持 dotnetcore3.1 作为参数。
2023 年 4 月 17 日 [RDS.11] RDS 实例应启用自动备份 RDS.11 会检查 Amazon RDS 实例是否启用了自动备份,其备份保留期大于或等于七天。Security Hub 更新了此控件,将只读副本排除在评估范围之外,因为并非所有引擎都支持对只读副本进行自动备份。此外,RDS 不提供在创建只读副本时指定备份保留期的选项。默认情况下,只读副本创建时的备份保留期为 0