[EC2.1] Amazon EBS 快照不应公开恢复 [EC2.2] VPC 默认安全组不应允许入站或出站流量 [EC2.3] 挂载的 Amazon EBS 卷应进行静态加密 [EC2.4] 停止的 EC2 实例应在指定时间段后删除 [EC2.6] 应在所有 VPC 中启用 VPC 流日志记录 [EC2.7] 应启用 EBS 默认加密 [EC2.8] EC2 实例应使用实例元数据服务版本 2 (IMDSv2)[EC2.9] Amazon EC2 实例不应拥有公有 IPv4 地址 [EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点 [EC2.12] 应删除未使用的 Amazon EC2 EIP [EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 [EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 [EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址 [EC2.16] 应删除未使用的网络访问控制列表 [EC2.17] Amazon EC2 实例不应使用多个 ENI [EC2.18] 安全组应只允许授权端口不受限制的传入流量 [EC2.19] 安全组不应允许不受限制地访问高风险端口 [EC2.20] 用于点对 Amazon 点 VPN 连接的两个 VPN 隧道都应处于开启状态 [EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389 [EC2.22] 应删除未使用的 Amazon EC2 安全组 [EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求 [EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型 [EC2.25] Amazon EC2 启动模板不应为网络接口分配公有 IP [EC2.28] 备份计划应涵盖 EBS 卷 [EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录

Amazon Elastic Compute Cloud 控件

这些控制与 Amazon EC2 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息，请参阅按地区划分的控件可用性。

[EC2.1] Amazon EBS 快照不应公开恢复

相关要求：PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

类别：保护 > 安全网络配置

严重性：严重

资源类型：AWS::::Account

Amazon Config 规则：ebs-snapshot-public-restorable-check

计划类型：定期

参数：无

此控件检查 Amazon Elastic Block Store 快照是否非公开。如果任何人都可以恢复 Amazon EBS 快照，则控制失败。

EBS 快照用于将 EBS 卷上的数据在特定时间点备份到 Amazon S3。您可以使用快照还原 EBS 卷的先前状态。与公众共享快照几乎是不允许的。通常，公开共享快照的决定要么是决策错误，要么是没有完全理解其含义。此检查有助于确保所有此类共享都是完全经过规划并且是有意进行的。

要将公有 EBS 快照设为私有，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的共享快照。在操作、修改权限中，选择私有。

[EC2.2] VPC 默认安全组不应允许入站或出站流量

相关要求：PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/2.1、CIS 基金会基准 v1.2.0/4.3、CIS Amazon 基金会基准 v1.4.0/5.3、nist.800-53.r5 AC-4、nist.800-53.r5 AC-4 (21)、nist.800-53.r5 SC-7，nist.800-53.r5 SC-7 (11)、nist.800-53.r5 SC Amazon -7 (16)、nist.800-53.r5 SC-7 (21)、nist.800-53.r5 SC-7 (4)、nist.800-53.r5 SC-7 (5)

类别：保护 > 安全网络配置

严重性：高

资源类型：AWS::EC2::SecurityGroup

Amazon Config 规则：vpc-default-security-group-closed

计划类型：已触发变更

参数：无

此控件检查 VPC 的默认安全组是否允许入站或出站流量。如果安全组允许入站或出站流量，则控制失败。

默认安全组的规则允许来自分配给相同安全组的网络接口（及其关联实例）的所有出站和入站流量。我们建议您不要使用默认安全组。由于无法删除默认安全组，因此您应更改默认安全组规则设置以限制入站和出站流量。如果意外为 EC2 实例等资源配置了默认安全组，这可以防止意外的流量。

修复

要修复此问题，请先创建新的最低权限安全组。有关说明，请参阅 Amazon VPC 用户指南中的创建安全组。然后，将新的安全组分配给 EC2 实例。有关说明，请参阅 Amazon EC2 用户指南（适用于 Linux 实例）中的更改实例的安全组。

将新安全组分配给资源后，从默认安全组中删除所有入站和出站规则。有关说明，请参阅 Amazon VPC 用户指南中的删除安全组规则。

[EC2.3] 挂载的 Amazon EBS 卷应进行静态加密

相关要求：NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)。

类别：保护 > 数据保护 > 静态数据加密

严重性：中

资源类型：AWS::EC2::Volume

Amazon Config 规则：encrypted-volumes

计划类型：已触发变更

参数：无

该控制检查处于连接状态的 EBS 卷是否已加密。要通过此检查，EBS 卷必须处于使用中并加密。如果 EBS 卷未挂载，则不需要接受此检查。

为了增加 EBS 卷中敏感数据的安全性，您应该启用静态 EBS 加密。Amazon EBS 加密提供了直接用于 EBS 资源的加密解决方案，无需您构建、维护和保护自己的密钥管理基础设施。它在创建加密卷和快照时使用 KMS 密钥。

要了解有关 Amazon EBS 加密的更多信息，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的 Amazon EBS 加密。

修复

没有直接对现有未加密卷或快照进行加密的方法。您只能在新的卷或快照创建时对其进行加密。

如果您启用了默认加密，Amazon EBS 使用您用于 Amazon EBS 加密的默认密钥对生成的新卷或快照实施加密。即使您未启用默认加密，也可以在创建单个卷或快照时启用加密。在这两种情况下，您都可以覆盖 Amazon EBS 加密的默认密钥并选择对称的客户管理密钥。

有关更多信息，请参阅 Amazon EC2 用户指南（适用于 Linux 实例）中的创建 Amazon EBS 卷和复制 Amazon EBS 快照。

[EC2.4] 停止的 EC2 实例应在指定时间段后删除

相关要求：NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)。

类别：识别 > 清单

严重性：中

资源类型：AWS::EC2::Instance

Amazon Config 规则：ec2-stopped-instance

计划类型：定期

参数：

参数	描述	类型	允许的自定义值	Security Hub 默认值
`AllowedDays`	在生成失败的调查发现之前，允许 EC2 实例处于停止状态的天数。	整数	`1` 到 `365`	`30`

此控件检查 Amazon EC2 实例是否已停止超过允许的天数。如果 EC2 实例的停止时间超过允许的最大时间段，则控制失败。除非您为允许的最大时间段提供自定义参数值，否则 Security Hub 将使用默认值即 30 天。

当 EC2 实例在很长一段时间内没有运行时，会造成安全风险，因为该实例没有得到积极维护（分析、修补、更新）。如果稍后启动，则由于缺乏适当的维护，可能会导致您的 Amazon 环境出现意外问题。要安全地将 EC2 实例长期保持不活动状态，请定期启动已对其进行维护，然后在维护后将其停止。理想情况下，这应是一个自动化的过程。

修复

要终止不活动的 EC2 实例，请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的终止实例。

[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录

相关要求：CIS Amazon 基金会基准 v1.2.0/2.9、PCI DSS v3.2.1/10.3.3、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.6、CIS Amazon 基金会基准 v1.4.0/3.9、nist.800-53.r5 AC-4 (26)、nist.800-53.r5 AU-12、nist.800-53.r5、nist.800-53.r5、nist.800-53.r5、nist.800-53.r5、nist.800-53.r5 800-53.r5 AU-2、nist.800-53.r5 AU-3、nist.800-53.r5 AU-6 (3)、nist.800-53.r5 AU-6 (4)、nist.800-53.r5 CA-7、nist.800-53.r5 SI-7 (8)

类别：识别 > 日志记录

严重性：中

资源类型：AWS::EC2::VPC

Amazon Config 规则：vpc-flow-logs-enabled

计划类型：定期

参数：

trafficType：REJECT（不可自定义）

此控件检查是否找到并为 VPC 启用 Amazon VPC 流日志。流量类型设置为 Reject。

通过 VPC 流日志功能，您可以捕获有关进出 VPC 中网络接口的 IP 地址流量的信息。创建流日志后，可以在 CloudWatch 日志中查看和检索其数据。为了降低成本，您还可以将流日志发送到 Amazon S3。

Security Hub 建议您为 VPC 的数据包拒绝启用流日志记录。流日志提供了对穿过 VPC 的网络流量的可见性，并且可以检测异常流量或在安全工作流程期间提供见解。

默认情况下，记录包括 IP 地址流的不同组件的值，包括源、目标和协议。有关日志字段的更多信息和描述，请参阅 Amazon VPC 用户指南中的 VPC 流日志。

修复

要创建 VPC 流日志，请参阅 Amazon VPC 用户指南中的创建流日志。打开 Amazon VPC 控制台后，选择您的 VPC。对于筛选条件，选择拒绝或全部。

[EC2.7] 应启用 EBS 默认加密

相关要求：CIS Amazon 基金会基准 v1.4.0/2.2.1、nist.800-53.r5 CA-9 (1)、nist.800-53.r5 CM-3 (6)、nist.800-53.r5 SC-13、nist.800-53.r5 SC-28、nist.800-53.r5 SC-28 (1)、nist.800-53.r5 SC-7 (10))，nist.800-53.r5 SI-7 (6)

类别：保护 > 数据保护 > 静态数据加密

严重性：中

资源类型：AWS::::Account

Amazon Config 规则：ec2-ebs-encryption-by-default

计划类型：定期

参数：无

此控件检查在默认情况下，Amazon Elastic Block Store (Amazon EBS) 是否启用账户级加密。如果未启用账户级别加密，则控制失败。

为账户启用加密后，Amazon EBS 卷和快照副本将进行静态加密。这为数据增加了一层额外的保护。有关更多信息，请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的默认加密。

请注意，以下实例类型不支持加密：R1、C1 和 M1。

修复

要配置 Amazon EBS 卷的默认加密，请参阅 Amazon EC2 用户指南（适用于 Linux 实例）中的默认加密。

[EC2.8] EC2 实例应使用实例元数据服务版本 2 (IMDSv2)

相关要求：NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-6。

类别：保护 > 网络安全

严重性：高

资源类型：AWS::EC2::Instance

Amazon Config 规则：ec2-imdsv2-check

计划类型：已触发变更

参数：无

此控件检查 EC2 实例元数据版本是否配置了实例元数据服务版本 2 (IMDSv2)。如果将 HttpTokens 设置为对 imdsv2 是“必需”，则控制通过。如果设置为，HttpTokens则控制失败optional。

您可以使用实例元数据来配置或管理正在运行的实例。IMDS 提供对临时的、经常轮换的凭证的访问权限。这些凭证消除了手动或以编程方式对实例进行硬编码或分发敏感凭证的需要。IMDS 在本地连接到每个 EC2 实例。它在特殊的“链路本地地址”IP 地址 169.254.169.254。该 IP 地址只能由实例上运行的软件访问。

IMDS 版本 2 为以下类型的漏洞添加了新的保护。这些漏洞可用于尝试访问 IMDS。

打开网站应用程序防火墙
打开反向代理
服务器端请求伪造 (SSRF) 漏洞
打开第 3 层防火墙和网络地址转换（NAT）

Security Hub 建议您使用 IMDSv2 配置 EC2 实例。

修复

要使用 IMDSv2 配置 EC2，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的要求 IMDSv2 的推荐路径。

[EC2.9] Amazon EC2 实例不应拥有公有 IPv4 地址

相关要求：NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(9)。

类别：保护 > 安全网络配置 > 公共 IP 地址

严重性：高

资源类型：AWS::EC2::Instance

Amazon Config 规则：ec2-instance-no-public-ip

计划类型：已触发变更

参数：无

此控件检查 EC2 实例是否具有公有 IP 地址。如果EC2实例配置项中存在 publicIp 字段，则控制失败。此控件仅适用于 IPv4 地址。

公共 IPv4 地址是可从 Internet 访问的 IP 地址。如果您使用公共 IP 地址启动实例，则可以通过 Internet 访问 EC2 实例。私有 IPv4 地址是无法从 Internet 访问的 IP 地址。您可以使用私有 IPv4 地址在同一 VPC 或连接的私有网络中的 EC2 实例之间进行通信。

IPv6 地址是全球唯一的，因此可以通过 Internet 访问。但是，默认情况下，所有子网的 IPv6 寻址属性都设置为 false。有关 IPv6 的更多信息，请参阅 Amazon VPC 用户指南中的 VPC 中的 IP 地址。

如果您有合法的用例来维护带有公有 IP 地址的 EC2 实例，则可以隐藏此控件的调查发现。有关前端架构选项的更多信息，请参阅 Amazon 架构博客或这就是我的架构系列。

修复

使用非默认 VPC，以便实例默认情况下不会分配公有 IP 地址。

当您在默认 VPC 中启动 EC2 实例时，系统会为其分配一个公共 IP 地址。当您在非默认 VPC 中启动 EC2 实例时，子网配置决定其是否接收公有 IP 地址。子网具有一个属性，用于确定子网中的新 EC2 实例是否从公共 IPv4 地址池接收公共 IP 地址。

您无法手动将自动分配的公共 IP 地址与 EC2 实例关联或取消关联。要控制 EC2 实例是否接收公共 IP 地址，请执行以下操作之一：

修改子网的公共 IP 寻址属性。有关更多信息，请参阅 Amazon VPC 用户指南 中的修改子网的公有 IPv4 寻址属性。
在启动时启用或禁用公有 IP 地址分配功能。这将覆盖子网的公有 IP 寻址属性。有关更多信息，请参阅 Amazon EC2 用户指南（适用于 Linux 实例）中的在实例启动期间分配公有 IPv4 地址。

有关更多信息，请参阅适用于 Linux 实例的 Amazon EC2 用户指南 中的公有 IPv4 地址和外部 DNS 主机名。

如果 EC2 实例与弹性 IP 地址关联，则可以通过 Internet 访问 EC2 实例。您可以随时取消弹性 IP 地址与实例或网络接口的关联。要取消关联弹性 IP 地址，请参阅 Amazon EC2 用户指南（适用于 Linux 实例）中的取消弹性 IP 地址关联。

[EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点

类别：保护 > 安全网络配置 > API 私有访问

严重性：中

资源类型：AWS::EC2::VPC

Amazon Config 规则：service-vpc-endpoint-enabled

计划类型：定期

参数：

serviceName：ec2（不可自定义）

此控件检查是否为每个 VPC 创建了 Amazon EC2 的服务端点。如果 VPC 没有为 Amazon EC2 服务创建 VPC 端点，则控制失败。

此控件评估单个账户中的资源。它不能描述账户之外的资源。由于而 Amazon Config 且 Security Hub 不进行跨账户检查，因此您将看到跨账户共享的 VPC 的FAILED调查结果。Security Hub 建议您隐瞒这些 FAILED 结果。

要改善 VPC 的安全状况，您可以将 Amazon EC2 配置为使用接口 VPC 端点。接口终端节点由一项技术提供支持 Amazon PrivateLink，该技术使您能够私下访问 Amazon EC2 API 操作。它将 VPC 和 Amazon EC2 之间的所有网络流量限制为 Amazon 网络。由于端点仅在同一区域内受支持，因此您无法在 VPC 和不同区域中的服务之间创建端点。这样可以防止对其他区域进行意外的 Amazon EC2 API 调用。

要了解有关为 Amazon EC2 创建 VPC 端点的更多信息，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的 Amazon EC2 和接口 VPC 端点。

修复

要从 Amazon VPC 控制台创建到 Amazon EC2 的接口端点，请参阅 Amazon PrivateLink 指南中的创建 VPC 端点。对于服务名称，选择 com.amazonaws.region.ec2。

您还可以创建端点策略并将其附加到 VPC 端点以控制对 Amazon EC2 API 的访问。有关创建 VPC 端点策略的说明，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的创建端点策略。

[EC2.12] 应删除未使用的 Amazon EC2 EIP

相关要求：PCI DSS v3.2.1/2.4、NIST.800-53.r5 CM-8(1)。

类别：保护 > 安全网络配置

严重性：低

资源类型：AWS::EC2::EIP

Amazon Config 规则：eip-attached

计划类型：已触发变更

参数：无

此控件检查分配给 VPC 的弹性 IP (EIP) 地址是否附加到 EC2 实例或正在使用的弹性网络接口 (ENI)。

失败的调查发现表示，您可能具有未使用的 EC2 EIP。

这将帮助您在持卡人数据环境 (CDE) 中维护准确的 EIP 资产清单。

要释放未使用的 EIP，请参阅 Amazon EC2 用户指南（适用于 Linux 实例）中的释放弹性 IP 地址。

[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量

相关要求：CIS Amazon 基金会基准 v1.2.0/4.1、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/2.2、nist.800-53.r5 AC-4、nist.800-53.r5 AC-4 (21)、nist.800-53.r5 CM-7、nist.800-53.r5 CM-7、nist.800-53.r5 AC-4 (21)、nist.800-53.r5 CM-7、nist.800-53.r5 5 SC-7、nist.800-53.r5 SC-7 (11)、nist.800-53.r5 SC-7 (16)、nist.800-53.r5 SC-7 (21)、nist.800-53.r5 SC-7 (4)、nist.800-53.r5 SC-7 (5)

类别：保护 > 安全网络配置

严重性：高

资源类型：AWS::EC2::SecurityGroup

Amazon Config 规则：restricted-ssh

计划类型：已触发变更

参数：无

该控件检查 Amazon EC2 安全组是否允许从 0.0.0.0/0 或 ::/0 进入端口 22。如果安全组允许从 0.0.0.0/0 或 ::/0 进入端口 22，则控制失败。

安全组为 Amazon 资源提供传入和传出网络流量的有状态筛选。我们建议不要让任何安全组允许对端口 22 进行不受限制的传入访问。删除与 SSH 等远程控制台服务的自由连接可减少服务器暴露的风险。

修复

要禁止进入端口 22，请移除允许与 VPC 关联的每个安全组进行此类访问的规则。有关说明，请参阅 Amazon VPC 用户指南中的更新安全组规则。在 Amazon VPC 控制台中选择安全组后，选择操作、编辑入站规则。删除允许访问端口 22 的规则。

[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量

相关要求：独联体 Amazon 基金会基准 v1.2.0/4.2

类别：保护 > 安全网络配置

严重性：高

资源类型：AWS::EC2::SecurityGroup

Amazon Config 规则:restricted-common-ports（创建的规则是restricted-rdp）

计划类型：已触发变更

参数：无

该控件检查 Amazon EC2 安全组是否允许从 0.0.0.0/0 或 ::/0 进入端口 3389。如果安全组允许从 0.0.0.0/0 或 ::/0 进入端口 3389，则控制失败。

安全组为 Amazon 资源提供传入和传出网络流量的有状态筛选。我们建议不要让任何安全组允许对端口 3389 进行不受限制的传入访问。删除与 RDP 等远程控制台服务的自由连接可减少服务器暴露的风险。

修复

要禁止进入端口 3389，请移除允许与 VPC 关联的每个安全组进行此类访问的规则。有关说明，请参阅 Amazon VPC 用户指南中的更新安全组规则。在 Amazon VPC 控制台中选择安全组后，选择操作、编辑入站规则。删除允许访问端口 3389 的规则。

[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址

类别：保护 > 网络安全

严重性：中

资源类型：AWS::EC2::Subnet

Amazon Config 规则：subnet-auto-assign-public-ip-disabled

计划类型：已触发变更

参数：无

此控件检查 Amazon Virtual Private Cloud (Amazon VPC) 子网中的公有 IP 分配是否已设置 MapPublicIpOnLaunch 为 FALSE。如果将该标志设置为 FALSE，则控制通过。

所有子网都有一个属性，用于确定在子网中创建的网络接口是否自动接收公共 IPv4 地址。启动到启用了此属性的子网中的实例会为其主网络接口分配一个公共 IP 地址。

修复

要将子网配置为不分配公有 IP 地址，请参阅 Amazon VPC 用户指南中的修改子网的公有 IPv4 寻址属性。清除启用自动分配公有 IPv4 地址复选框。

[EC2.16] 应删除未使用的网络访问控制列表

相关要求：NIST.800-53.r5 CM-8(1)。

类别：防止 > 网络安全

严重性：低

资源类型：AWS::EC2::NetworkAcl

Amazon Config 规则：vpc-network-acl-unused-check

计划类型：已触发变更

参数：无

此控件检查是否存在任何未使用的网络访问控制列表 (ACL)。

此控件检查资源 AWS::EC2::NetworkAcl 的项目配置并确定网络 ACL 的关系。

如果唯一的关系是网络 ACL 的 VPC，则控制失败。

如果列出了其他关系，则控件通过。

修复

有关删除未使用的网络 ACL 的说明，请参阅 Amazon VPC 用户指南中的删除网络 ACL。您无法删除默认网络 ACL 或与子网相关联的 ACL。

[EC2.17] Amazon EC2 实例不应使用多个 ENI

相关要求：NIST.800-53.r5 AC-4(21)

类别：网络安全

严重性：低

资源类型：AWS::EC2::Instance

Amazon Config 规则：ec2-instance-multiple-eni-check

计划类型：已触发变更

参数：

Adapterids - 附加到 EC2 实例的网络接口 ID 列表（不可定制）

此控件检查 EC2 实例是否使用多个弹性网络接口 (ENI) 或 Elastic Fabric Adapters (EFAs)。如果使用单个网络适配器，则此控制通过。该控件包括一个可选参数列表，用于标识允许的 ENI。如果属于 Amazon EKS 集群的 EC2 实例使用多个 ENI，则此控制也会失败。如果 EC2 实例需要将多个 ENI 作为 Amazon EKS 集群的一部分，则可以隐藏这些控件调查发现。

多个 ENI 可能导致双主机实例，即具有多个子网的实例。这会增加网络安全的复杂性并引入意外的网络路径和访问。

修复

要将网络接口与 EC2 实例分离，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的将网络接口与实例分离。

[EC2.18] 安全组应只允许授权端口不受限制的传入流量

相关要求：NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)。

类别：保护 > 安全网络配置 > 安全组配置

严重性：高

资源类型：AWS::EC2::SecurityGroup

Amazon Config 规则：vpc-sg-open-only-to-authorized-ports

计划类型：已触发变更

参数：

参数	描述	类型	允许的自定义值	Security Hub 默认值
`authorizedTcpPorts`	授权的 TCP 端口列表	IntegerList （最多 32 个项目）	`1` 到 `65535`	`[80,443]`
`authorizedUdpPorts`	授权的 UDP 端口列表	IntegerList （最多 32 个项目）	`1` 到 `65535`	无默认值

此控件检查 Amazon EC2 安全组是否允许从未经授权的端口传入不受限制的流量。控制状态如下所示确定：

如果您使用 authorizedTcpPorts 的默认值，则当安全组允许从端口 80 和 443 以外的任何端口传入无限制流量时，则控制失败。
如果您为 authorizedTcpPorts 或 authorizedUdpPorts 提供自定义值，则当安全组允许从任何未列出的端口传入无限制流量时，则控制失败。
如果不使用任何参数，则对于任何具有不受限制入站流量规则的安全组，则控制失败。

安全组提供对 Amazon的传入和传出网络流量的状态筛选。安全组规则应遵循最低权限访问的原则。不受限制的访问（带有 /0 后缀的 IP 地址）增加了黑客 denial-of-service 攻击、攻击和数据丢失等恶意活动的机会。除非明确允许某个端口，否则该端口应拒绝不受限制的访问。

修复

要修改安全组，请参阅《Amazon VPC 用户指南》中的使用安全组。

[EC2.19] 安全组不应允许不受限制地访问高风险端口

相关要求：NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-7、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-7(5)。

类别：保护 > 受限网络访问

严重性：严重

资源类型：AWS::EC2::SecurityGroup

Amazon Config 规则:restricted-common-ports（创建的规则是vpc-sg-restricted-common-ports）

计划类型：已触发变更

参数："blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"（不可自定义）

此控件检查高风险的指定端口是否可以访问 Amazon EC2 安全组的不受限制的传入流量。如果安全组中的任何规则允许从“0.0.0.0/0”或“::/0”传入这些端口的流量，则控制失败。

安全组为 Amazon 资源提供传入和传出网络流量的有状态筛选。不受限制的访问 (0.0.0.0/0) 增加了恶意活动的机会，例如黑客 denial-of-service 攻击、攻击和数据丢失。任何安全组都不应允许对以下端口进行不受限制的入口访问：

20、21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
110 (POP3)
135 (RPC)
143 (IMAP)
445 (CIFS)
1433, 1434 (MSSQL)
3000（Go、Node.js 和 Ruby Web 开发框架）
3306 (MySQL)
3389 (RDP)
4333 (ahsp)
5000（Python 网络开发框架）
5432 (postgresql)
5500 (fcp-addr-srvr1)
5601（仪表板）OpenSearch
8080（代理）
8088（传统的 HTTP 端口）
8888（备用 HTTP 端口）
9200 或 9300 () OpenSearch

以往，半虚拟化来宾在许多情况下的性能优于 HVM 来宾，但是由于硬件虚拟机虚拟化的功能增强以及 HVM AMI 可使用半虚拟化驱动程序，情况发生了改变。有关更多信息，请参阅 Amazon EC2 用户指南中的 Linux AMI 虚拟化类型（适用于 Linux 实例）。

修复

要将 EC2 实例更新为新的实例类型，请参阅 Amazon EC2 Linux 实例用户指南中的变更实例类型。

[EC2.25] Amazon EC2 启动模板不应为网络接口分配公有 IP

类别：保护 > 安全网络配置 > 不公开访问的资源

严重性：高

资源类型：AWS::EC2::LaunchTemplate

Amazon Config 规则：ec2-launch-template-public-ip-disabled

计划类型：已触发变更

参数：无

此控件检查 Amazon EC2 启动模板是否配置为在启动时将公共 IP 地址分配给网络接口。如果 EC2 启动模板配置为向网络接口分配公共 IP 地址，或者至少有一个网络接口具有公共 IP 地址，则则控制失败。

公共 IP 地址是可通过 Internet 访问的地址。如果您使用公共 IP 地址配置网络接口，则可以通过 Internet 访问与这些网络接口关联的资源。EC2 资源不应公开访问，因为这可能会导致对工作负载的意外访问。

修复

要更新 EC2 启动模板，请参阅 Amazon EC2 Auto Scaling 用户指南中的变更默认网络接口设置。

[EC2.28] 备份计划应涵盖 EBS 卷

类别：恢复 > 弹性 > 启用备份

相关要求：NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6、NIST.800-53.r5 CP-6(1)、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 CP-9、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-12、NIST.800-53.r5 SI-13(5)。

严重性：低

资源类型：AWS::EC2::Volume

Amazon Config 规则：ebs-resources-protected-by-backup-plan

计划类型：定期

参数：

参数	描述	类型	允许的自定义值	Security Hub 默认值
`backupVaultLockCheck`	如果将参数设置为，`true`并且资源使用 Amazon Backup 文件库锁定，则控件会生成`PASSED`结果。	布尔值	`true` 或者 `false`	无默认值

此控件评估备份计划是否涵盖处于 in-use 状态的 Amazon EBS 卷。如果备份计划不涵盖某个 EBS 卷，则控制失败。如果将backupVaultLockCheck参数设置为true，则仅当 EBS 卷备份到 Amazon Backup 锁定的存储库中时，控制才会通过。

备份可帮助您更快地从安全事件中恢复。它们还增强了系统的故障恢复能力。将 Amazon EBS 卷包含在备份计划中可帮助您保护数据免遭意外丢失或删除。

修复

要将 Amazon EBS 卷添加到 Amazon Backup 备份计划中，请参阅Amazon Backup 开发人员指南中的为备份计划分配资源。

[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录

相关要求：NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别：识别 > 日志记录

严重性：低

资源类型：AWS::EC2::ClientVpnEndpoint

Amazon Config 规则：ec2-client-vpn-connection-log-enabled

计划类型：已触发变更

参数：无

此控件检查 Amazon Client VPN 端点是否启用了客户端连接日志记录。如果端点未启用客户端连接日志记录，则控制失败。

客户端 VPN 端点允许远程客户端安全地连接到 Amazon中虚拟私有云（VPC）中的资源。连接日志允许您跟踪 VPN 端点上的用户活动并提供可见性。启用连接日志记录时，可以在日志组中指定日志流的名称。如果未指定日志流，Client VPN 服务会为您创建一个日志流。

修复

要启用连接日志记录，请参阅《Amazon Client VPN 管理员指南》中的为现有 Client VPN 端点启用连接日志记录。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Amazon ECS 控件

Amazon EC2 Auto Scaling 控件