本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub CSPM 控件的更改日志
以下更改日志跟踪现有 Sec Amazon urity Hub CSPM 控件的重大更改,这些更改可能会导致控制的整体状态及其发现的合规性状态发生变化。有关 Security Hub CSPM 如何评估控件状态的信息,请参阅评估合规性状态和控件状态。在将更改输入此日志后,可能需要几天时间才能影响所有Amazon Web Services 区域可用的控件。
此日志跟踪自 2023 年 4 月以来发生的更改。选择一个控件以查看其相关的更多详细信息。标题更改将在控件的详细描述中记录 90 天。
| 变更日期 | 控件 ID 和标题 | 更改的说明 |
|---|---|---|
| 2025年12月15日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | 此控件检查Amazon Lambda函数的运行时设置是否与每种语言支持的运行时的预期值相匹配。Security Hub CSPM 不再支持 |
| 2025年12月12日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件检查 Amazon EKS 集群是否在支持的 Kubernetes 版本上运行。Security Hub CSPM 将此控件的参数值从 |
| 2025 年 11 月 21 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | 此控件检查Amazon Lambda函数的运行时设置是否与每种语言支持的运行时的预期值相匹配。Security Hub CSPM 现在支持 |
| 2025 年 11 月 14 日 | [EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址 | Security Hub CSPM 更新了此控件的描述和基本原理。以前,该控件仅使用该标志检查 Amazon VPC 子网中的 IPv4 公有 IP 自动分配。 |
| 2025 年 11 月 14 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | 此控件检查Amazon Lambda函数的运行时设置是否与每种语言支持的运行时的预期值相匹配。Security Hub CSPM 现在支持将 |
| 2025 年 11 月 13 日 | [SNS.4] SNS 主题访问策略不应允许公共访问 | Security Hub CSPM 将此控件的严重性从 |
| 2025 年 11 月 13 日 | [SQS.3] SQS 队列访问策略不应允许公开访问 | Security Hub CSPM 将此控件的严重性从 |
| 2025 年 11 月 13 日 | [GuardDuty.7] 应启用 GuardDuty EKS 运行时监控 | Security Hub CSPM 将此控件的严重性从 |
| 2025 年 11 月 13 日 | [MQ.3] Amazon MQ 代理应启用次要版本自动升级 | Security Hub CSPM 将此控件的严重性从 |
| 2025 年 11 月 13 日 | [Opensearch.10] OpenSearch 域名应安装最新的软件更新 | Security Hub CSPM 将此控件的严重性从 |
| 2025 年 11 月 13 日 | [RDS.7] RDS 集群应启用删除保护 | Security Hub CSPM 将此控件的严重性从 |
| 2025 年 11 月 13 日 | [CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成 | Security Hub CSPM 将此控件的严重性从 |
| 2025 年 11 月 13 日 | [ServiceCatalog.1] Service Catalog 产品组合只能在Amazon组织内部共享 | Security Hub CSPM 将此控件的严重性从 |
| 2025 年 11 月 13 日 | [CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS | Security Hub CSPM 将此控件的严重性从 |
| 2025 年 11 月 13 日 | [ELB.7] 经典负载均衡器应启用连接耗尽功能 | Security Hub CSPM 将此控件的严重性从 |
| 2025 年 11 月 13 日 | [RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名 | Security Hub CSPM 更新了此控件以删除可选 |
| 2025 年 10 月 23 日 | [ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份 | Security Hub CSPM 于 2025 年 10 月 14 日恢复了对此控件的标题、描述和规则所做的更改。 |
| 2025 年 10 月 22 日 | [CloudFront.1] CloudFront 发行版应配置默认根对象 | Security Hub CSPM 更新了此控件,使其不为使用自定义来源的亚马逊 CloudFront 发行版生成调查结果。 |
| 2025 年 10 月 16 日 | [CloudFront.15] CloudFront 发行版应使用推荐的 TLS 安全策略 | 此控件会检查 Amazon CloudFront 分配是否配置为使用推荐的 TLS 安全策略。Security Hub CSPM 现在支持 |
| 2025 年 10 月 14 日 | [ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份 | Security Hub CSPM 更改了此控件的标题、描述和规则。以前,该控件使用 elasticache-redis-cluster-automatic-backup- check 规则检查 Redis OSS 集群和所有复制组。控件的标题是:ElastiCache (Redis OSS)集群应启用自动备份。 现在,此控件使用启用规则检查 Valkey 集群以及 Redis OSS 集群和所有复制组。elasticache-automatic-backup-check新的标题和描述反映该控件检查两种类型的集群。 |
| 2025 年 10 月 5 日 | [Opensearch.10] OpenSearch 域名应安装最新的软件更新 | 此控件的规则已更新,还会生成一个 |
| 2025 年 9 月 24 日 | [Redshift.9] Redshift 集群不应使用默认的数据库名称 [RedshiftServerless.7] Redshift Serverless 命名空间不应使用默认数据库名称 |
Security Hub CSPM 停用了这些控件,并将其从所有适用的标准中移除。Security Hub CSPM 停用了这些控件,这是因为 Amazon Redshift 固有的限制导致无法有效修复控件的 以前,控件适用于 Amazon 基础安全最佳实践(FSBP)标准和 NIST SP 800-53 Rev. 5 标准。Redshift.9 控件也适用于 Amazon Control Tower 服务托管标准。 |
| 2025 年 9 月 9 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | 此控件检查Amazon Lambda函数的运行时设置是否与每种语言支持的运行时的预期值相匹配。Security Hub CSPM 不再支持将 |
| 2025 年 8 月 13 日 | [SageMaker.5] SageMaker 模型应启用网络隔离 | Security Hub CSPM 更改了此控件的标题和描述。新的标题和描述更准确地反映了控件会检查 Amazon A SageMaker I 托管模型的 |
| 2025 年 8 月 13 日 | [EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联 | Security Hub CSPM 更改了此控件的标题和描述。新的标题和描述更准确地反映了该控件所执行的检查的范围和性质。以前,此控件的标题为:EFS mount targets should not be associated with a public subnet。 |
| 2025 年 7 月 24 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件检查 Amazon EKS 集群是否在支持的 Kubernetes 版本上运行。Security Hub CSPM 将此控件的参数值从 |
| 2025 年 7 月 23 日 | [EC2.173] 带有启动参数的 EC2 Spot 队列请求应为连接的 EBS 卷启用加密 | Security Hub CSPM 更改了此控件的标题。新标题更准确地反映了该控件仅检查指定启动参数的 Amazon EC2 Spot 队列请求。以前,此控件的标题为:EC2 Spot Fleet requests should enable encryption for attached EBS volumes。 |
| 2025 年 6 月 30 日 | [IAM.13] 确保 IAM 密码策略要求包含至少一个符号 | Security Hub CSPM 从 PCI DSS v4.0.1 标准中移除了此控件。PCI DSS v4.0.1 没有明确要求在密码中使用符号。 |
| 2025 年 6 月 30 日 | [IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效 | Security Hub CSPM 从 NIST SP 800-171 修订版 2 标准中移除了此控件。NIST SP 800-171 修订版 2 没有明确要求密码过期时间为 90 天或更短。 |
| 2025 年 6 月 30 日 | [RDS.16] 应将 Aurora 数据库集群配置为将标签复制到数据库快照 | Security Hub CSPM 更改了此控件的标题。新标题更准确地反映了该控件仅检查 Amazon Aurora DB 集群。以前,此控件的标题为:RDS DB clusters should be configured to copy tags to snapshots。 |
| 2025 年 6 月 30 日 | [SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行 | 此控件根据为笔记本实例指定的平台标识符,检查 SageMaker Amazon AI 笔记本实例是否配置为在支持的平台上运行。Security Hub CSPM 不再支持 |
| 2025 年 5 月 30 日 | [IAM.10] IAM 用户的密码策略应具有很强的配置 | Security Hub CSPM 从 PCI DSS v4.0.1 标准中移除了此控件。此控件检查 IAM 用户的账户密码策略是否满足最低要求,包括密码长度至少为 7 个字符。PCI DSS v4.0.1 现在要求密码至少包含 8 个字符。此控件继续适用于 PCI DSS v3.2.1 标准,该标准具有不同的密码要求。 要根据 PCI DSS v4.0.1 要求评估账户密码策略,可以使用 IAM.7 控件。此控件要求密码至少包含 8 个字符。它还对密码长度和其他参数支持自定义值。IAM.7 控件是 Security Hub CSPM 中 PCI DSS v4.0.1 标准的一部分。 |
| 2025 年 5 月 8 日 | [RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中 | Security Hub CSPM 撤销了所有 Amazon Web Services 区域中 RDS.46 控件的发布。以前,此控件支持Amazon基础安全最佳实践 (FSBP) 标准。 |
| 2025 年 4 月 7 日 | [ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略 | 此控件检查应用程序负载均衡器的 HTTPS 侦听器或网络负载均衡器的 TLS 侦听器是否配置为使用推荐的安全策略对传输中数据进行加密。Security Hub CSPM 现在支持此控件的两个附加参数值: |
| 2025 年 3 月 27 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | 此控件检查 Amazon Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值匹配。Security Hub CSPM 现在支持 |
| 2025 年 3 月 26 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件可检查 Amazon Elastic Kubernetes Service(Amazon EKS)集群是否在支持的 Kubernetes 版本上运行。对于 |
| 2025 年 3 月 10 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | 此控件检查 Amazon Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值匹配。Security Hub CSPM 不再支持 |
| 2025 年 3 月 7 日 | [RDS.18] RDS 实例应部署在 VPC 中 | Security Hub CSPM 从Amazon基础安全最佳实践标准中删除了此控件,并自动检查了 NIST SP 800-53 Rev. 5 的要求。由于 Amazon EC2-Classic 网络已停用,因此无法再将亚马逊关系数据库服务 (Amazon RDS) 实例部署在 VPC 之外。该控制仍然是 Amazon Control Tower 服务托管标准的一部分。 |
| 2025 年 1 月 10 日 | [Glue.2] Gl Amazon ue 作业应启用日志记录 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。 |
| 2024 年 12 月 20 日 | EC2.61 到 .169 EC2 | Security Hub CSPM 将 EC2 .61 的发布推迟到了 .169 控件。 EC2 |
| 2024 年 12 月 12 日 | [RDS.23] RDS 实例不应使用数据库引擎的默认端口 | RDS.23 检查 Amazon Relational Database Service(Amazon RDS)集群或实例是否使用数据库引擎的默认端口以外的端口。我们更新了控件,以便底层Amazon Config规则返回属于集群NOT_APPLICABLE的 RDS 实例的结果。 |
| 2024 年 12 月 2 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 nodejs22.x 作为参数。 |
| 2024 年 11 月 26 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件可检查 Amazon Elastic Kubernetes Service(Amazon EKS)集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.29。 |
| 2024 年 11 月 20 日 | Amazon Config应启用 [Config.1] 并使用服务相关角色进行资源记录 | Config.1 检查Amazon Config是否已启用,使用服务相关角色,并记录已启用控件的资源。Security Hub CSPM 将此控件的严重性从 要接收 Config.1 的 |
| 2024 年 11 月 12 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 python3.13 作为参数。 |
| 2024 年 10 月 11 日 | ElastiCache 控件 | 更改了. ElastiCache 3、 ElastiCache .4、. ElastiCache 5 和 ElastiCache .7 的控件标题。游戏不再提及 Redis OSS,因为这些控件也适用 ElastiCache 于 Valkey。 |
| 2024 年 9 月 27 日 | [ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头 | 将控件标题从应将应用程序负载均衡器配置为删除 http 标头更改为应将应用程序负载均衡器配置为删除无效的 http 标头。 |
| 2024 年 8 月 19 日 | 标题更改为 DMS.12 和控件 ElastiCache | 已将 DMS.12 和 .1 的控件标题更改为 ElastiCache .7。 ElastiCache我们更改了这些标题,以反映亚马逊 ElastiCache (Redis OSS)服务中的名称更改。 |
| 2024 年 8 月 15 日 | Amazon Config应启用 [Config.1] 并使用服务相关角色进行资源记录 | Config.1 检查Amazon Config是否已启用,使用服务相关角色,并记录已启用控件的资源。Security Hub CSPM 添加了一个名为 includeConfigServiceLinkedRoleCheck 的自定义控件参数。通过将此参数设置为 false,您可以选择不检查 Amazon Config 是否使用服务相关角色。 |
| 2024 年 7 月 31 日 | [IoT.1] 应Amazon IoT Device Defender标记安全配置文件 | 将控件标题从应该标记 Amazon IoT Core 安全配置文件更改为应该标记 Amazon IoT Device Defender 安全配置文件。 |
| 2024 年 7 月 29 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 不再支持 nodejs16.x 作为参数。 |
| 2024 年 7 月 29 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件可检查 Amazon Elastic Kubernetes Service(Amazon EKS)集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.28。 |
| 2024 年 6 月 25 日 | Amazon Config应启用 [Config.1] 并使用服务相关角色进行资源记录 | 此控件检查Amazon Config是否已启用,使用服务相关角色并记录已启用控件的资源。Security Hub CSPM 更新了控件标题以反映控件评估的内容。 |
| 2024 年 6 月 14 日 | [RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch | 此控件检查是否将 Amazon Aurora MySQL 数据库集群配置为向亚马逊日志发布审核 CloudWatch 日志。Security Hub CSPM 更新了控件,使其不会为 Aurora Serverless v1 数据库集群生成调查发现。 |
| 2024 年 6 月 11 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件可检查 Amazon Elastic Kubernetes Service(Amazon EKS)集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.27。 |
| 2024 年 6 月 10 日 | Amazon Config应启用 [Config.1] 并使用服务相关角色进行资源记录 | 此控件检查资源记录Amazon Config是否已启用,Amazon Config资源记录是否已开启。以前,只有在为所有资源配置了记录时,控件才会生成 PASSED 调查发现。Security Hub CSPM 更新了控件,以便在为已启用控件所需的资源开启记录时生成 PASSED 调查发现。控件也已更新,以检查是否使用了Amazon Config服务相关角色,该角色提供了记录必要资源的权限。 |
| 2024 年 5 月 8 日 | [S3.20] S3 通用存储桶应启用 MFA 删除 | 该控件检查受版本控制的 Amazon S3 通用存储桶是否启用了多重身份验证(MFA)删除。以前,该控件会为具有生命周期配置的存储桶生成 FAILED 调查发现。但是,无法在具有生命周期配置的存储桶上启用已启用版本控制的 MFA 删除。Security Hub CSPM 更新了控件,不会为具有生命周期配置的存储桶生成任何调查发现。控件描述已更新,以反映当前行为。 |
| 2024 年 5 月 2 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub CSPM 更新了 Kubernetes 支持的最早版本,Amazon EKS 集群可以在该版本上运行,以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.26。 |
| 2024 年 4 月 30 日 | [CloudTrail.3] 应至少启用一条 CloudTrail 跟踪 | 将控件标题从 “CloudTrail 应启用” 更改为 “至少应启用一条 CloudTrail 跟踪”。如果启用Amazon Web Services 账户了至少一条 CloudTrail跟踪,则此控件当前会生成PASSED查找结果。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 4 月 29 日 | [AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查 | 将控件标题从与经典负载均衡器关联的自动扩缩组应使用负载均衡器运行状况检查更改为与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查。此控件目前评估应用程序、网关、网络和经典负载均衡器。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 4 月 19 日 | [CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 | 该控件检查Amazon CloudTrail是否启用并配置了至少一个包含读写管理事件的多区域跟踪。以前,当账户 CloudTrail 启用并配置了至少一个多区域跟踪时,即使没有跟踪捕获读写管理事件,控件也会错误地生成PASSED调查结果。现在,只有在启用并配置了至少一个捕获读写管理事件的多区域跟踪时 CloudTrail ,该控件才会生成PASSED查找结果。 |
| 2024 年 4 月 10 日 | [Athena.1] Athena 工作组应进行静态加密 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。Athena 工作组将日志发送到 Amazon Simple Storage Service(Amazon S3)存储桶中。Amazon S3 现在在新存储桶和现有 S3 存储桶上使用 SS3 S3 托管密钥 (-S3) 提供默认加密。 |
| 2024 年 4 月 10 日 | [AutoScaling.4] Auto Scaling 组启动配置的元数据响应跳跃限制不应大于 1 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。亚马逊弹性计算云 (Amazon EC2) 实例的元数据响应跳跃限制取决于工作负载。 |
| 2024 年 4 月 10 日 | [CloudFormation.1] CloudFormation 堆栈应与简单通知服务 (SNS) 集成 Simple Notification Service | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。将 Amazon CloudFormation 堆栈与 Amazon SNS 主题集成不再是一种安全最佳实践。尽管将重要的 CloudFormation 堆栈与 SNS 主题集成可能很有用,但并非所有堆栈都需要这样做。 |
| 2024 年 4 月 10 日 | [CodeBuild.5] CodeBuild 项目环境不应启用特权模式 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。在 CodeBuild 项目中启用特权模式不会给客户环境带来额外的风险。 |
| 2024 年 4 月 10 日 | [IAM.20] 避免使用根用户 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。此控件的目的由另一个控件 [CloudWatch.1] “root” 用户应有日志指标筛选器和警报 覆盖。 |
| 2024 年 4 月 10 日 | [SNS.2] 应为发送到主题的通知消息启用传输状态记录 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。记录 SNS 主题的传输状态不再是安全最佳实践。尽管记录重要 SNS 主题的传输状态可能很有用,但并非所有主题都必须这样做。 |
| 2024 年 4 月 10 日 | [S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置 | Security Hub CSPM 从《Amazon基础安全最佳实践》和《服务管理标准》中删除了此控件:。Amazon Control Tower此控件的目的由另两个控件覆盖:[S3.13] S3 通用存储桶应具有生命周期配置 和 [S3.14] S3 通用存储桶应启用版本控制。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 10 日 | [S3.11] S3 通用存储桶应启用事件通知 | Security Hub CSPM 从《Amazon基础安全最佳实践》和《服务管理标准》中删除了此控件:。Amazon Control Tower尽管在某些情况下,S3 存储桶的事件通知很有用,但这不是通用的安全最佳实践。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 10 日 | [SNS.1] SNS 主题应使用以下方法进行静态加密 Amazon KMS | Security Hub CSPM 从《Amazon基础安全最佳实践》和《服务管理标准》中删除了此控件:。Amazon Control Tower默认情况下,SNS 使用磁盘加密对静态主题进行加密。有关更多信息,请参阅数据加密。不再建议Amazon KMS使用加密主题作为安全最佳实践。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 8 日 | [ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护 | 将控件标题从应启用应用程序负载均衡器删除保护更改为应用程序、网关和网络负载均衡器应启用删除保护。此控件目前评估应用程序、网关和网络负载均衡器。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 3 月 22 日 | [Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密 | 将控制标题从应使用 TLS 1.2 加密到 OpenSearch 域的连接更改为应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密。以前,该控件仅检查与 OpenSearch 域的连接是否使用 TLS 1.2。现在,该控件会PASSED发现 OpenSearch 域名是否使用最新的 TLS 安全策略进行加密。控件标题和描述已更新,以反映当前行为。 |
| 2024 年 3 月 22 日 | [ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密 | 将控件标题从连接到 Elasticsearch 域时应使用 TLS 1.2 进行加密更改为连接到 Elasticsearch 域时应使用最新 TLS 安全策略进行加密。之前,该控件仅检查连接到 Elasticsearch 域时是否使用 TLS 1.2。现在,如果使用最新的 TLS 安全策略对 Elasticsearch 域进行加密,该控件会生成 PASSED 调查发现。控件标题和描述已更新,以反映当前行为。 |
| 2024 年 3 月 12 日 | [S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置 | 将标题从应启用 S3 阻止公共访问权限设置更改为 S3 通用存储桶应启用屏蔽公共访问权限设置。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.2] S3 通用存储桶应阻止公共读取访问权限 | 将标题从 S3 存储桶应禁止公共读取访问权限更改为 S3 通用存储桶应屏蔽公共读取访问权限。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.3] S3 通用存储桶应阻止公共写入访问权限 | 将标题从 S3 存储桶应禁止公共写入访问权限更改为 S3 通用存储桶应阻止公共写入访问权限。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.5] S3 通用存储桶应需要请求才能使用 SSL | 将标题从 S3 存储桶应需要请求才能使用安全套接字层更改为 S3 通用存储桶应需要请求才能使用 SSL。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户 | 将标题从应限制授予存储桶策略中其他 Amazon Web Services 账户 的 S3 权限更改为S3 通用存储桶策略应限制对其他 Amazon Web Services 账户 的访问。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | 将标题从 S3 存储桶应启用跨区域复制更改为 S3 通用存储桶应使用跨区域复制。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | 将标题从 S3 存储桶应启用跨区域复制更改为 S3 通用存储桶应使用跨区域复制。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.8] S3 通用存储桶应屏蔽公共访问权限 | 将标题从应在存储桶级启用 S3 阻止公共访问权限设置更改为 S3 通用存储桶应阻止公共访问权限。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.9] S3 通用存储桶应启用服务器访问日志记录 | 将标题从应启用 S3 存储桶服务器访问日志记录更改为应为S3 通用存储桶启用服务器访问日志记录。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置 | 将标题从启用版本控制的 S3 存储桶应配置生命周期策略更改为启用版本控制的 S3 通用存储桶应具有生命周期配置。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.11] S3 通用存储桶应启用事件通知 | 将标题从 S3 存储桶应启用事件通知更改为 S3 通用存储桶应启用事件通知。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限 | 从 S3 访问控制列表 (ACLs) 中更改的标题不应用于管理用户对存储桶的访问权限,ACLs 不应使用此名称来管理用户对 S3 通用存储桶的访问权限。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.13] S3 通用存储桶应具有生命周期配置 | 将标题从 S3 存储桶应配置生命周期策略更改为 S3 通用存储桶应具有生命周期配置。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.14] S3 通用存储桶应启用版本控制 | 将标题从 S3 存储桶应使用版本控制更改为 S3 通用存储桶应启用版本控制。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.15] S3 通用存储桶应启用对象锁定 | 将标题从应将 S3 存储桶配置为使用对象锁定更改为 S3 通用存储桶应启用对象锁定。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.17] S3 通用存储桶应使用静态加密 Amazon KMS keys | 将标题从应使用 Amazon KMS keys 对 S3 存储桶进行静态加密更改为应使用 Amazon KMS keys 对 S3 通用存储桶进行静态加密。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 7 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 nodejs20.x 和 ruby3.3 作为参数。 |
| 2024 年 2 月 22 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 dotnet8 作为参数。 |
| 2024 年 2 月 5 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub CSPM 更新了 Kubernetes 支持的最早版本,Amazon EKS 集群可以在该版本上运行,以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.25。 |
| 2024 年 1 月 10 日 | [CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证 | 已将标题从 CodeBuild GitHub Bitbucket 源存储库 URLs 更改为 CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭据。 OAuthSecurity Hub CSPM 删除了提及, OAuth 因为其他连接方法也可以是安全的。Security Hub CSPM 删除了提及, GitHub因为 GitHub 源存储库中不再可能有个人访问令牌或用户名和密码。 URLs |
| 2024 年 1 月 8 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 不再支持 go1.x 和 java8 作为参数,因为这些运行时都已停用。 |
| 2023 年 12 月 29 日 | [RDS.8] RDS 数据库实例应启用删除保护 | RDS.8 会检查使用某个受支持数据库引擎的 Amazon RDS 数据库实例是否启用了删除保护。Security Hub CSPM 现在支持 custom-oracle-ee、oracle-ee-cdb、和 oracle-se2-cdb 作为数据库引擎。 |
| 2023 年 12 月 22 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 java21 和 python3.12 作为参数。Security Hub CSPM 不再支持 ruby2.7 作为参数。 |
| 2023 年 12 月 15 日 | [CloudFront.1] CloudFront 发行版应配置默认根对象 | CloudFront.1 检查 Amazon CloudFront 分配是否配置了默认根对象。Security Hub CSPM 将此控件的严重性从“关键”降低到“高”,因为添加默认根对象是一个建议操作,具体取决于用户应用程序及特定需求。 |
| 2023 年 12 月 5 日 | [EC2.13] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22 | 将控件标题从安全组不应允许从 0.0.0.0/0 到端口 22 的入口流量更改为安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量。 |
| 2023 年 12 月 5 日 | [EC2.14] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 3389 | 将控件标题从 确保没有安全组允许从 0.0.0.0/0 到端口 3389 的入口流量更改为 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量。 |
| 2023 年 12 月 5 日 | [RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch | 应将控制标题从数据库日志记录更改为 RDS 数据库实例应将日志发布到 CloudWatch 日志。Security Hub CSPM 发现,此控件仅检查日志是否已发布到 Amazon CloudWatch Logs,而不检查是否已启用 RDS 日志。如果PASSED将 RDS 数据库实例配置为将日志发布到 CloudWatch 日志,则该控件会生成结果。控件标题已更新,以反映当前行为。 |
| 2023 年 12 月 5 日 | [EKS.8] EKS 集群应启用审核日志记录 | 此控件检查 Amazon EKS 集群是否启用了审计日志记录。Security Hub CSPM 用来评估此控件的Amazon Config规则从eks-cluster-logging-enabled更改为。eks-cluster-log-enabled |
| 2023 年 11 月 17 日 | [EC2.19] 安全组不应允许不受限制地访问高风险端口 | EC2.19 检查被视为高风险的指定端口是否可以访问安全组不受限制的传入流量。Security Hub CSPM 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果此前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 11 月 16 日 | [CloudWatch.15] CloudWatch 警报应配置指定操作 | 将控制标题从CloudWatch 警报更改为应配置警报状态的操作到应配置指定操作的 CloudWatch 警报。 |
| 2023 年 11 月 16 日 | [CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留 | 更改后的控制标题应从CloudWatch 日志组保留至少 1 年,而 CloudWatch 日志组应保留指定时间段。 |
| 2023 年 11 月 16 日 | [Lambda.5] VPC Lambda 函数应在多个可用区内运行 | 将控件标题从 VPC Lambda 函数应在一个以上可用区中运行更改为 VPC Lambda 函数应在多个可用区中运行。 |
| 2023 年 11 月 16 日 | [AppSync.2] Amazon AppSync 应该启用字段级日志记录 | 将控件标题从 Amazon AppSync 应开启请求级和字段级日志记录更改为 Amazon AppSync 应启用字段级日志记录。 |
| 2023 年 11 月 16 日 | [EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址 | 控制标题从 Amazon Elastic MapReduce 集群主节点不应具有公有 IP 地址更改为 Amazon EMR 集群主节点不应具有公有 IP 地址。 |
| 2023 年 11 月 16 日 | [Opensearch.2] OpenSearch 域名不应向公众开放 | 将控制标题从OpenSearch 域名应在 VPC 中更改为不应公开访问的OpenSearch域。 |
| 2023 年 11 月 16 日 | [ES.2] Elasticsearch 域名不可供公共访问 | 将控件标题从 Elasticsearch 域名应位于 VPC 中更改为 Elasticsearch 域名不可供公共访问。 |
| 2023 年 10 月 31 日 | [ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志 | ES.4 检查 Elasticsearch 域是否配置为向亚马逊日志发送错误日志。 CloudWatch 该控件之前对一个 Elasticsearch 域生成了PASSED调查结果,该域将所有日志配置为发送到 CloudWatch 日志。Security Hub CSPM 更新了控件,使其仅针对配置为向日志发送错误日志的 Elasticsearch 域生成PASSED调查结果。 CloudWatch 该控件也进行了更新,将不支持错误日志的 Elasticsearch 版本排除在评估之外。 |
| 2023 年 10 月 16 日 | [EC2.13] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22 | EC2.13 检查安全组是否允许对端口 22 进行不受限制的入口访问。Security Hub CSPM 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [EC2.14] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 3389 | EC2.14 检查安全组是否允许对端口 3389 进行不受限制的入口访问。Security Hub CSPM 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [EC2.18] 安全组应只允许授权端口不受限制的传入流量 | EC2.18 检查正在使用的安全组是否允许不受限制的传入流量。Security Hub CSPM 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 python3.11 作为参数。 |
| 2023 年 10 月 4 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | Security Hub CSPM 添加了值为 CROSS-REGION 的参数 ReplicationType,以确保 S3 存储桶启用了跨区域复制,而非同区域复制。 |
| 2023 年 9 月 27 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub CSPM 更新了 Kubernetes 支持的最早版本,Amazon EKS 集群可以在该版本上运行,以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.24。 |
| 2023 年 9 月 20 日 | [CloudFront.2] CloudFront 发行版应启用来源访问身份 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。请改为参阅[CloudFront.13] CloudFront 发行版应使用源站访问控制。“源访问标识”是当前的安全最佳实践。此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 20 日 | [EC2.22] 应移除未使用的亚马逊 EC2 安全组 | Security Hub CSPM 从Amazon基础安全最佳实践 (FSBP) 和美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5 中删除了此控件。它仍然是服务管理标准的一部分:Amazon Control Tower. 如果安全组已连接到 EC2实例或 elastic network interface,则此控件会生成通过检索结果。但是,对于某些用例,未附加的安全组不会构成安全风险。您可以使用其他 EC2 控件(例如 EC2 .2、. EC2 13、. EC2 14、. EC2 18 和 EC2 .19)来监控您的安全组。 |
| 2023 年 9 月 20 日 | [EC2.29] EC2 实例应在 VPC 中启动 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。Amazon EC2 已将 EC2经典实例迁移到 VPC。此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 20 日 | [S3.4] S3 存储桶应启用服务器端加密 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。Amazon S3 现在在新存储桶和现有 S3 存储桶上使用 SS3 S3 托管密钥 (-S3) 提供默认加密。使用 SS3-S3 或 SS3-KMS 服务器端加密的现有存储桶的加密设置保持不变。此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 14 日 | [EC2.2] VPC 默认安全组不应允许入站或出站流量 | 已将控件标题从 VPC 默认安全组不应允许入站和出站流量更改为 VPC 默认安全组不应允许入站或出站流量。 |
| 2023 年 9 月 14 日 | [IAM.9] 应为根用户启用 MFA | 已将控件标题从应为根用户启用虚拟 MFA更改为应为根用户启用 MFA。 |
|
2023 年 9 月 14 日 |
[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅 | 已将控件标题从应为关键集群事件配置 RDS 事件通知订阅更改为应为关键集群事件配置现有 RDS 事件通知订阅。 |
| 2023 年 9 月 14 日 | [RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅 | 已将控件标题从应为关键数据库实例事件配置 RDS 事件通知订阅更改为应为关键数据库实例事件配置现有 RDS 事件通知订阅。 |
| 2023 年 9 月 14 日 | [WAF.2] Amazon WAF 经典区域规则应至少有一个条件 | 已将控件标题从WAF Regional 规则应至少有一个条件更改为 Amazon WAF Classic Regional 规则应至少有一个条件。 |
| 2023 年 9 月 14 日 | [WAF.3] Amazon WAF 经典区域规则组应至少有一条规则 | 已将控件标题从 WAF Regional 规则组应至少包含一条规则更改为 Amazon WAF Classic Regional 规则组应至少包含一条规则。 |
| 2023 年 9 月 14 日 | [WAF.4] Amazon WAF 经典区域网站 ACLs 应至少有一个规则或规则组 | 将控制标题从 WAF 区域性 Web ACL 应至少包含一个规则或规则组更改为Amazon WAF经典区域 Web ACLs 应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.6] Amazon WAF 经典全局规则应至少有一个条件 | 已将控件标题从全局 WAF 规则应至少有一个条件更改为 Classic 全局 Amazon WAF 规则应至少有一个条件。 |
| 2023 年 9 月 14 日 | [WAF.7] Amazon WAF 经典全局规则组应至少有一条规则 | 已将控件标题从全局 WAF 规则组应至少包含一条规则更改为 Classic 全局 Amazon WAF 规则组应至少包含一条规则。 |
| 2023 年 9 月 14 日 | [WAF.8] Amazon WAF 经典全球网站 ACLs 应至少有一个规则或规则组 | 将控制标题从 WAF 全局 Web ACL 应至少包含一个规则或规则组更改为Amazon WAF经典全局 Web ACLs 应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.10] Amazon WAF Web ACLs 应至少有一个规则或规则组 | 将控制标题从 WAFv2 Web ACL 应至少包含一个规则或规则组更改为 Amazon WAFWeb ACLs 应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.11] 应启Amazon WAF用 Web ACL 日志记录 | 已将控件标题从应激活 Amazon WAFv2 Web ACL 日志记录更改为应启用 Amazon WAF Web ACL 日志记录。 |
|
2023 年 7 月 20 日 |
[S3.4] S3 存储桶应启用服务器端加密 | S3.4 检查一个 Amazon S3 存储桶是否启用了服务器端加密,或者 S3 存储桶策略是否明确拒绝了没有服务器端加密的 PutObject 请求。Security Hub CSPM 更新了此控件,以加入具有 KMS 密钥的双层服务器端加密(DSSE-KMS)。当使用 SSE-S3、SSE-KMS 或 DSSE-KMS 加密 S3 存储桶时,控件会生成已通过的调查发现。 |
| 2023 年 7 月 17 日 | [S3.17] S3 通用存储桶应使用静态加密 Amazon KMS keys | S3.17 检查 Amazon S3 存储桶是否使用了 Amazon KMS key 加密。Security Hub CSPM 更新了此控件,以加入具有 KMS 密钥的双层服务器端加密(DSSE-KMS)。当使用 SSE-KMS 或 DSSE-KMS 加密 S3 存储桶时,该控件会生成已通过的调查发现。 |
| 2023 年 6 月 9 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | EKS.2 检查 Amazon EKS 集群是否在受支持的 Kubernetes 版本上运行。现在支持的最旧版本是 1.23。 |
| 2023 年 6 月 9 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 ruby3.2 作为参数。 |
| 2023 年 6 月 5 日 | [APIGateway.5] API Gateway REST API 缓存数据应进行静态加密 | APIGateway.5. 检查 Amazon API Gateway REST API 阶段中的所有方法是否都处于静态加密状态。Security Hub CSPM 更新了该控件,使其仅在为特定方法启用缓存时才评估该方法的加密。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 java17 作为参数。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 不再支持 nodejs12.x 作为参数。 |
| 2023 年 4 月 23 日 | [ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行 | ECS.10 会检查 Amazon ECS Fargate 服务是否运行最新的 Fargate 平台版本。客户可以直接通过 ECS 部署 Amazon ECS,也可以使用部署 CodeDeploy。Security Hub CSPM 更新了此控件,以便在使用部署 ECS Fargate CodeDeploy 服务时生成通过调查结果。 |
| 2023 年 4 月 20 日 | [S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户 | S3.6 检查亚马逊简单存储服务 (Amazon S3) 存储桶策略是否阻止Amazon Web Services 账户其他人的委托人对 S3 存储桶中的资源执行被拒绝的操作。考虑存储桶策略中的条件,Security Hub CSPM 更新了该控件。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 现在支持 python3.10 作为参数。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的Amazon Lambda函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub CSPM 不再支持 dotnetcore3.1 作为参数。 |
| 2023 年 4 月 17 日 | [RDS.11] RDS 实例应启用自动备份 | RDS.11 会检查 Amazon RDS 实例是否启用了自动备份,其备份保留期大于或等于七天。Security Hub CSPM 更新了此控件,将只读副本排除在评估范围之外,因为并非所有引擎都支持对只读副本进行自动备份。此外,RDS 不提供在创建只读副本时指定备份保留期的选项。默认情况下,只读副本创建时的备份保留期为 0。 |