本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 控件的更改日志
以下变更日志跟踪对现有 Amazon Security Hub 安全控制措施的重大更改,这些更改可能会导致控制的整体状态及其发现的合规性状态发生变化。有关 Security Hub 如何评估控件状态的信息,请参阅合规状态和控制状态。更改在输入此日志后可能需要几天时间才能影响所有 Amazon Web Services 区域 可用的控件。
此日志跟踪自 2023 年 4 月以来发生的更改。
选择控件可查看有关该控件的更多详细信息。标题变更会在每个控件的详细描述中注明 90 天。
| 变更日期 | 控件 ID 和标题 | 更改的说明 |
|---|---|---|
| 2024年6月25日 | Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录 | 此控件检查 Amazon Config 是否已启用,使用服务相关角色并记录已启用控件的资源。Security Hub 更新了控件标题以反映控件评估的内容。 |
| 2024年6月14日 | [RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch | 此控件检查是否将 Amazon Aurora MySQL 数据库集群配置为向亚马逊日志发布审核 CloudWatch 日志。Security Hub 更新了控件,使其不会为 Aurora Serverless v1 数据库集群生成调查结果。 |
| 2024 年 6 月 10 日 | Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录 | 此控件检查资源记录 Amazon Config 是否已启用, Amazon Config 资源记录是否已开启。以前,只有在为所有资源配置了录制时,控件才会生成PASSED调查结果。Security Hub 更新了控件,以便在为启用控件所需的资源开启录制时生成PASSED结果。控件也已更新,以检查是否使用了 Amazon Config 服务相关角色,该角色提供了记录必要资源的权限。 |
| 2024 年 5 月 8 日 | [S3.20] S3 通用存储桶应启用 MFA 删除 | 此控件检查 Amazon S3 通用版本存储桶是否启用了多重身份验证 (MFA) 删除。以前,该控件会为具有生命周期配置的存储分区生成FAILED结果。但是,无法在具有生命周期配置的存储桶上启用带版本控制的 MFA 删除。Security Hub 更新了控件,使其不对具有生命周期配置的存储桶生成任何结果。控件描述已更新,以反映当前行为。 |
| 2024年5月2日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub 更新了 Kubernetes 支持的最早版本,Amazon EKS 集群可以在该版本上运行,以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.26。 |
| 2024 年 4 月 30 日 | [CloudTrail.3] 应至少启用一条 CloudTrail 跟踪 | 将控件标题从 “CloudTrail 应启用” 更改为 “至少应启用一条 CloudTrail 跟踪”。如果启用 Amazon Web Services 账户 了至少一条 CloudTrail 跟踪,则此控件当前会生成PASSED查找结果。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 4 月 29 日 | [AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查 | 已更改的控制标题从与 Classic Load Balancer 关联的 Auto Scaling 组应使用负载均衡器运行状况检查更改为与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查。此控件当前评估应用程序、网关、网络和经典负载均衡器。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 4 月 19 日 | [CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 | 该控件检查 Amazon CloudTrail 是否启用并配置了至少一个包含读写管理事件的多区域跟踪。以前,当账户 CloudTrail 启用并配置了至少一个多区域跟踪时,即使没有跟踪捕获读写管理事件,控件也会错误地生成PASSED调查结果。现在,只有在启用并配置了至少一个捕获读写管理事件的多区域跟踪时 CloudTrail ,该控件才会生成PASSED查找结果。 |
| 2024 年 4 月 10 日 | [Athena.1] Athena 工作组应进行静态加密 | Security Hub 停用了此控件,并将其从所有标准中删除。Athena 工作组将日志发送到亚马逊简单存储服务 (Amazon S3) Service 存储桶。Amazon S3 现在使用 S3 托管式密钥 (SS3-S3) 为新的和现有的 S3 存储桶提供默认加密。 |
| 2024 年 4 月 10 日 | [AutoScaling.4] Auto Scaling 组启动配置的元数据响应跳跃限制不应大于 1 | Security Hub 停用了此控件,并将其从所有标准中删除。Amazon Elastic Compute Cloud (Amazon EC2) 实例的元数据响应跳跃限制取决于工作负载。 |
| 2024 年 4 月 10 日 | [CloudFormation.1] CloudFormation 堆栈应与简单通知服务 (SNS) 集成 Simple Notification Service | Security Hub 停用了此控件,并将其从所有标准中删除。将 Amazon CloudFormation 堆栈与 Amazon SNS 主题集成不再是一种最佳安全实践。尽管将重要的 CloudFormation 堆栈与 SNS 主题集成可能很有用,但并非所有堆栈都需要这样做。 |
| 2024 年 4 月 10 日 | [CodeBuild.5] CodeBuild 项目环境不应启用特权模式 | Security Hub 停用了此控件,并将其从所有标准中删除。在 CodeBuild 项目中启用特权模式不会给客户环境带来额外的风险。 |
| 2024 年 4 月 10 日 | [IAM.20] 避免使用 root 用户 | Security Hub 停用了此控件,并将其从所有标准中删除。此控件的目的由另一个控件覆盖[CloudWatch.1] “root” 用户应有日志指标筛选器和警报。 |
| 2024 年 4 月 10 日 | [SNS.2] 应为发送到主题的通知消息启用传送状态记录 | Security Hub 停用了此控件,并将其从所有标准中删除。记录 SNS 主题的传送状态不再是最佳安全实践。尽管记录重要 SNS 主题的传送状态可能很有用,但并非所有主题都必须这样做。 |
| 2024 年 4 月 10 日 | [S3.10] 启用版本控制的 S3 通用存储桶应具有生命周期配置 | Security Hub 从《 Amazon 基础安全最佳实践》和《服务管理标准》中删除了此控件:。 Amazon Control Tower此控件的目的由另外两个控件覆盖:[S3.13] S3 通用存储桶应具有生命周期配置和[S3.14] S3 通用存储桶应启用版本控制。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 10 日 | [S3.11] S3 通用存储桶应启用事件通知 | Security Hub 从《 Amazon 基础安全最佳实践》和《服务管理标准》中删除了此控件:。 Amazon Control Tower尽管在某些情况下,S3 存储桶的事件通知很有用,但这不是通用的安全最佳实践。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 10 日 | [SNS.1] SNS 主题应使用以下方法进行静态加密 Amazon KMS | Security Hub 从《 Amazon 基础安全最佳实践》和《服务管理标准》中删除了此控件:。 Amazon Control Tower由于 SNS 已在默认情况下对主题 Amazon KMS 进行加密,因此不再建议使用加密主题作为安全最佳实践。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 8 日 | [ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护 | 应将控制标题从 Application Load Balancer 删除保护更改为应用程序、网关和网络负载均衡器应启用删除保护。此控件当前评估应用程序、网关和网络负载均衡器。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 3 月 22 日 | [Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密 | 将控制标题从应使用 TLS 1.2 加密到 OpenSearch 域的连接更改为应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密。以前,该控件仅检查与 OpenSearch 域的连接是否使用 TLS 1.2。现在,该控件会PASSED发现 OpenSearch 域名是否使用最新的 TLS 安全策略进行加密。控件标题和描述已更新,以反映当前行为。 |
| 2024 年 3 月 22 日 | [ES.8] 应使用最新的 TLS 安全策略对与 Elasticsearch 域的连接进行加密 | 将控制标题从 Elasticsearch 域名的连接更改为应使用 TLS 1.2 加密到 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密。以前,该控件仅检查与 Elasticsearch 域的连接是否使用 TLS 1.2。现在,该控件可以PASSED发现 Elasticsearch 域名是否使用最新的 TLS 安全策略进行加密。控件标题和描述已更新,以反映当前行为。 |
| 2024 年 3 月 12 日 | [S3.1] S3 通用存储桶应启用阻止公共访问设置 | 应将标题从 S3 阻止公共访问设置更改为 S3 通用存储桶应启用阻止公共访问设置。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.2] S3 通用存储桶应阻止公共读取权限 | 已更改 S3 存储桶的标题应禁止对 S3 的公共读取权限通用存储桶应阻止公共读取权限。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.3] S3 通用存储桶应阻止公共写入权限 | 已更改 S3 存储桶的标题应禁止对 S3 的公共写入权限。通用存储桶应阻止公共写入权限。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.5] S3 通用存储桶应要求请求使用 SSL | 从 S3 存储桶更改后的标题应要求请求使用安全套接字层,改为 S3 通用存储桶应要求请求使用 SSL。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户 | 从授予其他 Amazon Web Services 账户 存储桶策略的 S3 权限更改后的标题应仅限于 S3 通用存储桶策略应限制其他存储桶策略的访问权限 Amazon Web Services 账户。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | 从 S3 存储桶更改后的标题应启用跨区域复制,改为 S3 通用存储桶应使用跨区域复制。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | 从 S3 存储桶更改后的标题应启用跨区域复制,改为 S3 通用存储桶应使用跨区域复制。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.8] S3 通用存储桶应阻止公共访问 | 应在存储桶级别启用 S3 阻止公共访问设置的标题更改为 S3 通用存储桶应阻止公共访问。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.9] S3 通用存储桶应启用服务器访问日志记录 | 应启用 S3 存储桶服务器访问日志的标题更改为应为 S3 通用存储桶启用服务器访问日志记录。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.10] 启用版本控制的 S3 通用存储桶应具有生命周期配置 | 已启用版本控制的 S3 存储桶的标题应将生命周期策略配置为启用版本控制的 S3 通用存储桶应具有生命周期配置。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.11] S3 通用存储桶应启用事件通知 | 从 S3 存储桶更改的标题应启用事件通知,改为 S3 通用存储桶应启用事件通知。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.12] 不应使用 ACL 来管理用户对 S3 通用存储桶的访问权限 | 从 S3 访问控制列表 (ACL) 更改后的标题不应用于管理用户对存储桶的访问权限,而不应使用 ACL 来管理用户对 S3 通用存储桶的访问权限。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.13] S3 通用存储桶应具有生命周期配置 | 从 S3 存储桶更改后的标题应将生命周期策略配置为 S3 通用存储桶应具有生命周期配置。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.14] S3 通用存储桶应启用版本控制 | 从 S3 存储桶更改后的标题应使用版本控制,改为 S3 通用存储桶应启用版本控制。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.15] S3 通用存储桶应启用对象锁定 | 应将标题从 S3 存储桶配置为使用对象锁定,S3 通用存储桶应启用对象锁定。Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.17] S3 通用存储桶应使用静态加密 Amazon KMS keys | 已更改的标题从 S3 存储桶应使用静态加密 Amazon KMS keys到 S3 通用存储桶应使用静态加密。 Amazon KMS keys Security Hub 将标题更改为说明新的 S3 存储桶类型。 |
| 2024 年 3 月 7 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持nodejs20.x和ruby3.3作为参数。 |
| 2024年2月22日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 dotnet8 作为参数。 |
| 2024年2月5日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub 更新了 Kubernetes 支持的最早版本,Amazon EKS 集群可以在该版本上运行,以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.25。 |
| 2024 年 1 月 10 日 | [CodeBuild.1] CodeBuild Bitbucket 源存储库网址不应包含敏感凭证 | 已更改标题CodeBuild GitHub 或 Bitbucket 源存储库网址应使用 OAuth 到 CodeBuild Bitbucket 源存储库网址不应包含敏感凭据。Security Hub 删除了对 OAuth 的提及,因为其他连接方法也可以是安全的。Security Hub 删除了提及, GitHub 因为不再可能在 GitHub 源存储库 URL 中包含个人访问令牌或用户名和密码。 |
| 2024 年 1 月 8 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 不再支持 go1.x 和 java8 作为参数,因为这些运行时系统都已停用。 |
| 2023 年 12 月 29 日 | [RDS.8] RDS 数据库实例应启用删除保护 | RDS.8 会检查使用某个受支持数据库引擎的 Amazon RDS 数据库实例是否启用了删除保护。Security Hub 现在支持 custom-oracle-ee、oracle-ee-cdb、和 oracle-se2-cdb 作为数据库引擎。 |
| 2023 年 12 月 22 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 java21 和 python3.12 作为参数。Security Hub 不再支持 ruby2.7 作为参数。 |
| 2023 年 12 月 15 日 | [CloudFront.1] CloudFront 发行版应配置默认根对象 | CloudFront.1 检查 Amazon CloudFront 分配是否配置了默认根对象。Security Hub 将此控件的严重性从“关键”降低到“高”,因为添加默认根对象是一个建议操作,具体取决于用户应用程序及特定需求。 |
| 2023 年 12 月 5 日 | [EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 | 将控件标题从安全组不应允许从 0.0.0.0/0 到端口 22 的入口流量更改为安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量。 |
| 2023 年 12 月 5 日 | [EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 | 将控件标题从 确保没有安全组允许从 0.0.0.0/0 到端口 3389 的入口流量更改为 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量。 |
| 2023 年 12 月 5 日 | [RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch | 应将控制标题从数据库日志记录更改为 RDS 数据库实例应将日志发布到 CloudWatch 日志。Security Hub 发现,此控件仅检查日志是否已发布到 Amazon CloudWatch Logs,而不检查是否已启用 RDS 日志。如果PASSED将 RDS 数据库实例配置为将日志发布到 CloudWatch 日志,则该控件会生成一个结果。控件标题已更新,以反映当前行为。 |
| 2023 年 11 月 17 日 | [EC2.19] 安全组不应允许不受限制地访问高风险端口 | EC2.19 检查被认为高风险的指定端口是否可以访问安全组的不受限制的传入流量。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果此前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 11 月 16 日 | [CloudWatch.15] CloudWatch 警报应配置指定操作 | 将控制标题从CloudWatch 警报更改为应为警报状态配置动作,而 CloudWatch 警报则应配置指定操作。 |
| 2023 年 11 月 16 日 | [CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留 | 更改后的控制标题应从CloudWatch 日志组保留至少 1 年,而 CloudWatch 日志组应在指定的时间段内保留。 |
| 2023 年 11 月 16 日 | [Lambda.5] VPC Lambda 函数应在多个可用区内运行 | 将控件标题从 VPC Lambda 函数应在一个以上可用区中运行更改为 VPC Lambda 函数应在多个可用区中运行。 |
| 2023 年 11 月 16 日 | [AppSync.2] Amazon AppSync 应该启用字段级日志记录 | 将控件标题从 Amazon AppSync 应开启请求级和字段级日志记录更改为 Amazon AppSync 应启用字段级日志记录。 |
| 2023 年 11 月 16 日 | [EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址 | 控制标题从 Amazon Elastic MapReduce 集群主节点不应具有公有 IP 地址更改为 Amazon EMR 集群主节点不应具有公有 IP 地址。 |
| 2023 年 11 月 16 日 | [Opensearch.2] OpenSearch 域名不应向公众开放 | 将控制标题从OpenSearch 域名应在 VPC 中更改为不应公开访问的OpenSearch域。 |
| 2023 年 11 月 16 日 | [ES.2] Elasticsearch 域名不可供公共访问 | 将控件标题从 Elasticsearch 域名应位于 VPC 中更改为 Elasticsearch 域名不可供公共访问。 |
| 2023 年 10 月 31 日 | [ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志 | ES.4 检查 Elasticsearch 域是否配置为向亚马逊日志发送错误日志。 CloudWatch 该控件之前对一个 Elasticsearch 域生成了PASSED调查结果,该域将所有日志配置为发送到 CloudWatch 日志。Security Hub 更新了控件,PASSED使其仅针对配置为向日志发送错误日志的 Elasticsearch 域生成查找结果。 CloudWatch 该控件也进行了更新,将不支持错误日志的 Elasticsearch 版本排除在评估之外。 |
| 2023 年 10 月 16 日 | [EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 | EC2.13 检查安全组是否允许对端口 22 进行不受限制的入口访问。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 | EC2.14 检查安全组是否允许对端口 3389 进行不受限制的入口访问。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [EC2.18] 安全组应只允许授权端口不受限制的传入流量 | EC2.18 检查正在使用的安全组是否允许不受限制的入口流量。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 python3.11 作为参数。 |
| 2023 年 10 月 4 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | Security Hub 添加了值为 CROSS-REGION 的参数 ReplicationType,以确保 S3 存储桶启用了跨区域复制,而非同区域复制。 |
| 2023 年 9 月 27 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub 更新了 Kubernetes 支持的最早版本,Amazon EKS 集群可以在该版本上运行,以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.24。 |
| 2023 年 9 月 20 日 | CloudFront.2 — CloudFront 发行版应启用来源访问身份 | Security Hub 停用了此控件,并将其从所有标准中删除。请改为参阅[CloudFront.13] CloudFront 发行版应使用源站访问控制。“源访问标识”是当前的安全最佳实践。此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 20 日 | [EC2.22] 应删除未使用的 Amazon EC2 安全组 | Security Hub 从 Amazon 基础安全最佳实践 (FSBP) 和美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5 中删除了此控件。它仍然是服务管理标准的一部分: Amazon Control Tower. 如果安全组连接到 EC2 实例或弹性网络接口,此 控件会生成一个通过的调查发现。但是,对于某些用例,未附加的安全组不会构成安全风险。您可以使用其他 EC2 控件(例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19)来监控您的安全组。 |
| 2023 年 9 月 20 日 | EC2.29:EC2 实例应在 VPC 中启动 | Security Hub 停用了此控件,并将其从所有标准中删除。Amazon EC2 已将 EC2-Classic 实例迁移到 VPC。此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 20 日 | S3.4:S3 存储桶应启用服务器端加密 | Security Hub 停用了此控件,并将其从所有标准中删除。Amazon S3 现在使用 S3 托管式密钥 (SS3-S3) 为新的和现有的 S3 存储桶提供默认加密。使用 SS3-S3 或 SS3-KMS 服务器端加密的现有存储桶的加密设置保持不变。此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 14 日 | [EC2.2] VPC 默认安全组不应允许入站或出站流量 | 已将控件标题从 VPC 默认安全组不应允许入站和出站流量更改为 VPC 默认安全组不应允许入站或出站流量。 |
| 2023 年 9 月 14 日 | [IAM.9] 应为根用户启用 MFA | 已将控件标题从应为根用户启用虚拟 MFA更改为应为根用户启用 MFA。 |
|
2023 年 9 月 14 日 |
[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅 | 已将控件标题从应为关键集群事件配置 RDS 事件通知订阅更改为应为关键集群事件配置现有 RDS 事件通知订阅。 |
| 2023 年 9 月 14 日 | [RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅 | 已将控件标题从应为关键数据库实例事件配置 RDS 事件通知订阅更改为应为关键数据库实例事件配置现有 RDS 事件通知订阅。 |
| 2023 年 9 月 14 日 | [WAF.2] Amazon WAF 经典区域规则应至少有一个条件 | 已将控件标题从WAF Regional 规则应至少有一个条件更改为Amazon WAF Classic Regional 规则应至少有一个条件。 |
| 2023 年 9 月 14 日 | [WAF.3] Amazon WAF 经典区域规则组应至少有一条规则 | 已将控件标题从 WAF Regional 规则组应至少包含一条规则更改为Amazon WAF Classic Regional 规则组应至少包含一条规则。 |
| 2023 年 9 月 14 日 | [WAF.4] Amazon WAF 经典区域性 Web ACL 应至少有一个规则或规则组 | 已将控件标题从 WAF Regional web ACL 应至少有一个规则或规则组更改为Amazon WAF Classic Regional Web ACL 应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.6] Amazon WAF 经典全局规则应至少有一个条件 | 已将控件标题从全局 WAF 规则应至少有一个条件更改为 Classic 全局Amazon WAF 规则应至少有一个条件。 |
| 2023 年 9 月 14 日 | [WAF.7] Amazon WAF 经典全局规则组应至少有一条规则 | 已将控件标题从全局 WAF 规则组应至少包含一条规则更改为 Classic 全局Amazon WAF 规则组应至少包含一条规则。 |
| 2023 年 9 月 14 日 | [WAF.8] Amazon WAF 经典全局 Web ACL 应至少有一个规则或规则组 | 已将控件标题从 WAF 全局 Web ACL 应至少包含一个规则或规则组更改为Amazon WAF Classic 全局 Web ACL 应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.10] Amazon WAF Web ACL 应至少有一个规则或规则组 | 已将控件标题从 WAFv2 Web ACL 至少有一个规则或规则组更改为Amazon WAF Web ACL 应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.11] 应启 Amazon WAF 用 Web ACL 日志记录 | 已将控件标题从应激活Amazon WAF v2 Web ACL 日志记录更改为应启用Amazon WAF Web ACL 日志记录。 |
|
2023 年 7 月 20 日 |
S3.4:S3 存储桶应启用服务器端加密 | S3.4 检查一个 Amazon S3 存储桶是否启用了服务器端加密,或者 S3 存储桶策略是否明确拒绝了没有服务器端加密的 PutObject 请求。Security Hub 更新了此控件,以加入具有 KMS 密钥的双层服务器端加密 (DSSE-KMS)。当使用 SSE-S3、SSE-KMS 或 DSSE-KMS 加密 S3 存储桶时,控件会生成已通过的调查发现。 |
| 2023 年 7 月 17 日 | [S3.17] S3 通用存储桶应使用静态加密 Amazon KMS keys | S3.17 检查 Amazon S3 存储桶是否使用了 Amazon KMS key加密。Security Hub 更新了此控件,以加入具有 KMS 密钥的双层服务器端加密 (DSSE-KMS)。当使用 SSE-KMS 或 DSSE-KMS 加密 S3 存储桶时,该控件会生成已通过的调查发现。 |
| 2023 年 6 月 9 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | EKS.2 检查 Amazon EKS 集群是否在受支持的 Kubernetes 版本上运行。现在支持的最旧版本是 1.23。 |
| 2023 年 6 月 9 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 ruby3.2 作为参数。 |
| 2023 年 6 月 5 日 | [APIGateway.5] API Gateway REST API 缓存数据应进行静态加密 | APIGateway.5. 检查 Amazon API Gateway REST API 阶段中的所有方法是否都处于静态加密状态。Security Hub 更新了控件,使其仅在为特定方法启用缓存时才评估该方法的加密。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 java17 作为参数。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 不再支持 nodejs12.x 作为参数。 |
| 2023 年 4 月 23 日 | [ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行 | ECS.10 会检查 Amazon ECS Fargate 服务是否运行最新的 Fargate 平台版本。客户可以直接通过 ECS 部署 Amazon ECS,也可以使用部署 CodeDeploy。Security Hub 更新了此控件,以便在您使用 CodeDeploy 部署 ECS Fargate 服务时生成通过调查结果。 |
| 2023 年 4 月 20 日 | [S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户 | S3.6 检查亚马逊简单存储服务 (Amazon S3) 存储桶策略是否阻止 Amazon Web Services 账户 其他人的委托人对 S3 存储桶中的资源执行被拒绝的操作。考虑存储桶策略中的条件,Security Hub 更新了控件。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 python3.10 作为参数。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 Amazon Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 不再支持 dotnetcore3.1 作为参数。 |
| 2023 年 4 月 17 日 | [RDS.11] RDS 实例应启用自动备份 | RDS.11 会检查 Amazon RDS 实例是否启用了自动备份,其备份保留期大于或等于七天。Security Hub 更新了此控件,将只读副本排除在评估范围之外,因为并非所有引擎都支持对只读副本进行自动备份。此外,RDS 不提供在创建只读副本时指定备份保留期的选项。默认情况下,只读副本创建时的备份保留期为 0。 |