Security Hub CSPM 中的 Amazon 基础安全最佳实践标准
Amazon 基础安全最佳实践 (FSBP) 标准由 Amazon 和行业专业人士制定,汇编了适用于任何组织行业或规模的组织的安全最佳实践。它提供了一组控件,用于检测您的 Amazon Web Services 账户和资源何时偏离安全最佳实践。它还提供了有关如何改进和维护组织的安全状况的规范性指导。
在 Amazon Security Hub CSPM 中,Amazon 基础安全最佳实践标准包括持续评估您的 Amazon Web Services 账户和工作负载的控件,并帮助您识别偏离安全最佳实践的领域。这些控件包括多个 Amazon Web Services 服务 资源的安全最佳实践。为每个控件分配一个类别以反映控件应用于的安全功能。有关类别列表和其他详细信息,请参阅控件类别。
适用于标准的控件
以下列表指定了哪些 Amazon Security Hub CSPM 控件适用于 Amazon 基础安全最佳实践标准 (v1.0.0)。要查看控件的详细信息,请选择该控件。
[Account.1] 应为 Amazon Web Services 账户 提供安全联系人信息。
[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订
[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度
[APIGateway.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录
[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证
[APIGateway.3] API Gateway REST API 阶段应启用 Amazon X-Ray 追踪功能
[APIGateway.4] API Gateway 应与 WAF Web ACL 关联
[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密
[APIGateway.8] API Gateway 路由应指定授权类型
[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志
[AppSync.1] 应静态加密 Amazon AppSync API 缓存
[AppSync.2] Amazon AppSync 应该启用字段级日志记录
[AppSync.5] Amazon AppSync 不应使用 API 密钥对 GraphQL API 进行身份验证
[AppSync.6] 应在传输过程中加密 Amazon AppSync API 缓存
[AutoScaling.1] 与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查
[AutoScaling.2] Amazon EC2 Auto Scaling 组应覆盖多个可用区
[AutoScaling.3] 自动扩缩组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)
[Autoscaling.5] 使用自动扩缩组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址
[AutoScaling.6] 自动扩缩组应在多个可用区域中使用多种实例类型
[AutoScaling.9] Amazon EC2 Auto Scaling 组应使用 Amazon EC2 启动模板
[Backup.1] 应对 Amazon Backup 恢复点进行静态加密
[CloudFront.1] CloudFront 分配应配置默认根对象。
[CloudFront.3] CloudFront 分配在传输过程中应要求加密
[CloudFront.4] CloudFront 分配应配置来源失效转移
[CloudFront.5] CloudFront 分配应启用日志记录
[CloudFront.6] CloudFront 分配应启用 WAF
[CloudFront.7] CloudFront 分配应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 分配应使用 SNI 处理 HTTPS 请求
[CloudFront.9] CloudFront 分配应加密流向自定义来源的流量
[CloudFront.10] CloudFront 分配不应在边缘站点和自定义源之间使用已弃用的 SSL 协议
[CloudFront.12] CloudFront 分配不应指向不存在的 S3 来源
[CloudFront.13] CloudFront 分配应使用源站访问控制
[CloudFront.15] CloudFront 分配应使用推荐的 TLS 安全策略
[CloudFront.16] CloudFront 分配应对 Lambda 函数 URL 源使用源访问控件。
[CloudTrail.1] 应启用 CloudTrail 并配置至少一个包含读取和写入管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] CloudTrail 轨迹应与 Amazon CloudWatch Logs 集成
[CodeBuild.1] CodeBuild Bitbucket 源存储库 URL 不应包含敏感凭证
[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证
[CodeBuild.3] CodeBuild S3 日志应加密
[CodeBuild.4] CodeBuild 项目环境应该有日志 Amazon Config 配置
[CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密
[Cognito.2] Cognito 身份池不应允许未经身份验证的身份
[Cognito.3] Cognito 用户池的密码策略应具有可靠的配置
[Config.1] 应启用 Amazon Config 并使用服务相关角色进行资源记录
[Connect.2] Amazon Connect 实例应启用 CloudWatch 日志记录
[DataFirehose.1] 应对 Firehose 传输流进行静态加密
[DataSync.1] DataSync 任务应启用日志记录
[DMS.1] Database Migration Service 复制实例不应公开
[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录
[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权
[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制
[DMS.12] Redis OSS 的 DMS 端点应启用 TLS
[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密
[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期
[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开
[DocumentDB.4] Amazon DocumentDB 集群应将审核日志发布到 CloudWatch Logs
[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护
[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密
[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量
[DynamoDB.2] DynamoDB 表应启用时间点故障恢复
[DynamoDB.3] DynamoDB Accelerator (DAX) 集群应在静态状态下进行加密
[DynamodB.6] DynamoDB 表应启用删除保护
[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密
[EC2.3] 挂载的 Amazon EBS 卷应进行静态加密
[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录
[EC2.8] EC2 实例应使用实例元数据服务版本 2 (IMDSv2)
[EC2.9] Amazon EC2 实例不应拥有公有 IPv4 地址
[EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点
[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址
[EC2.17] Amazon EC2 实例不应使用多个 ENI
[EC2.20] Amazon 站点到站点 VPN 连接的两个 VPN 隧道都应启用
[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求
[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型
[EC2.25] Amazon EC2 启动模板不应为网络接口分配公有 IP
[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录
[EC2.55] 应为 VPC 配置用于 ECR API 的接口端点
[EC2.56] 应为 VPC 配置用于 Docker Registry 的接口端点
[EC2.57] 应为 VPC 配置用于 Systems Manager 的接口端点
[EC2.58] 应为 VPC 配置用于 Systems Manager Incident Manager 联系人的接口端点
[EC2.60] 应为 VPC 配置用于 Systems Manager Incident Manager 的接口端点
[EC2.170] EC2 启动模板应使用实例元数据服务版本 2(IMDSv2)
[EC2.172] EC2 VPC 阻止公开访问设置应阻止互联网网关流量
[EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密
[EC2.181] EC2 启动模板应为附加的 EBS 卷启用加密
[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义
[ECS.5] ECS 容器应限制为仅对根文件系统具有只读访问权限。
[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行
[ECS.16] ECS 任务集不应自动分配公有 IP 地址
[EFS.1] Elastic File System 应配置为使用 Amazon KMS 加密文件静态数据
[EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联
[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行
[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥
[ElastiCache.1] ElastiCache(Redis OSS)集群应启用自动备份
[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级
[ElastiCache.3] ElastiCache 复制组应启用自动失效转移
[ElastiCache.4] 应对 ElastiCache 复制组进行静态加密
[ElastiCache.5] ElastiCache 复制组在传输过程中应进行加密
[ElastiCache.6] 早期版本的 ElastiCache(Redis OSS)复制组应启用 Redis OSS AUTH
[ElastiCache.7] ElastiCache 集群不应使用默认子网组
[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告
[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新
[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch
[ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS
[ELB.2] 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由 Amazon Certificate Manager 提供的证书
[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止
[ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头
[ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护
[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用具有强 Amazon Config配置的预定义安全策略
[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式
[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区
[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式
[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略
[ELB.18] 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密
[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置
[EMR.4] Amazon EMR 安全配置应在传输过程中加密
[ES.2] Elasticsearch 域名不可供公共访问
[ES.3] Elasticsearch 域应加密节点之间发送的数据
[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch Logs 的功能。
[ES.5] Elasticsearch 域名应该启用审核日志
[ES.6] Elasticsearch 域应拥有至少三个数据节点
[ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点
[ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密
[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略
[fsx.1] 应将适用于 OpenZFS 的 FSX 文件系统配置为将标签复制到备份和卷
[FSx.2] 应将适用于 Lustre 的 FSx 文件系统配置为将标签复制到备份
[FSx.3] 应将适用于 OpenZFS 的 FSx 文件系统配置为多可用区部署
[FSx.4] 应将适用于 NetApp ONTAP 的 FSx 文件系统配置为多可用区部署
[FSx.5] 应将适用于 Windows File Server 的 FSx 文件系统配置为多可用区部署
[Glue.3] 应对 Amazon Glue 机器学习转换进行静态加密
[Glue.4] Amazon Glue Spark 作业应在支持的 Amazon Glue 版本上运行
[GuardDuty.5] 应启用 GuardDuty EKS 审计日志监控
[GuardDuty.6] 应启用 GuardDuty Lambda 保护
[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控
[GuardDuty.8] 应启用适用于 EC2 的 GuardDuty 恶意软件防护
[GuardDuty.9] 应启用 GuardDuty RDS 保护
[GuardDuty.10] 应启用 GuardDuty S3 保护
[GuardDuty.11] 应启用 GuardDuty 运行时监控
[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控
[GuardDuty.13] 应启用 GuardDuty EC2 运行时监控
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作
[Inspector.1] 应启用 Amazon Inspector EC2 扫描
[Inspector.2] 应启用 Amazon Inspector ECR 扫描
[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描
[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描
[Kinesis.1] Kinesis 直播应在静态状态下进行加密
[Kinesis.3] Kinesis 流应有足够的数据留存期
[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作
[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略
[KMS.3] Amazon KMS keys 不应在无意中删除
[Lambda.2] Lambda 函数应使用受支持的运行时系统
[Lambda.5] VPC Lambda 函数应在多个可用区内运行
[MQ.2] ActiveMQ 代理应将审计日志流式传输到 CloudWatch
[MQ.3] Amazon MQ 代理应启用次要版本自动升级
[MSK.3] MSK Connect 连接器应在传输过程中进行加密
[Neptune.1] 应对 Neptune 数据库集群进行静态加密
[Neptune.2] Neptune 数据库集群应将审核日志发布到 CloudWatch Logs
[Neptune.3] Neptune 数据库集群快照不应公开
[Neptune.4] Neptune 数据库集群应启用删除保护
[Neptune.5] Neptune 数据库集群应启用自动备份
[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密
[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证
[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照
[NetworkFireWall.2] 应启用 Network Firewall 日志记录
[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组
[NetworkFireWall.4] 网络防火墙策略的默认无状态操作应为丢弃或转发完整数据包
[NetworkFirewall.5] Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包
[NetworkFireWall.6] 无状态网络防火墙规则组不应为空
[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护
[NetworkFirewall.10] Network Firewall 防火墙应启用子网更改保护
[Opensearch.1] OpenSearch 域名应启用静态加密
[Opensearch.2] OpenSearch 域名不可供公共访问
[Opensearch.3] OpenSearch 域应加密节点之间发送的数据
[Opensearch.4] 应启用 OpenSearch 域错误日志记录到 CloudWatch Logs 的功能。
[Opensearch.5] OpenSearch 域名应该启用审核日志
[Opensearch.6] OpenSearch 域应拥有至少三个数据节点
[Opensearch.7] OpenSearch 域应启用对访问权限精细控制
[Opensearch.8] 连接到 OpenSearch 域时应使用最新的 TLS 安全策略进行加密
[Opensearch.10] OpenSearch 域应安装最新的软件更新
[PCA.1] 应禁用 Amazon 私有 CA 根证书颁发机构
[Route53.2] Route 53 公有托管区域应记录 DNS 查询
[RDS.2] RDS 数据库实例应禁止公共访问,这取决于 PubliclyAccessible 配置
[RDS.9] RDS 数据库实例应将日志发布到 CloudWatch Logs
[RDS.14] Amazon Aurora 集群应启用回溯功能
[RDS.16] 应将 Aurora 数据库集群配置为将标签复制到数据库快照
[RDS.17] 应将 RDS 数据库实例配置为将标签复制到快照
[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅
[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅
[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅
[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
[RDS.25] RDS 数据库实例应使用自定义管理员用户名
[RDS.34] Aurora MySQL 数据库集群应将审核日志发布到 CloudWatch Logs
[RDS.36] PostgreSQL 数据库实例的 RDS 应将日志发布到 CloudWatch Logs
[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到 CloudWatch Logs
[RDS.40] RDS for SQL Server 数据库实例应将日志发布到 CloudWatch Logs
[RDS.41] RDS for SQL Server 数据库实例应在传输过程中加密
[RDS.42] RDS for MariaDB 数据库实例应将日志发布到 CloudWatch Logs
[RDS.43] RDS 数据库代理应要求对连接进行 TLS 加密
[RDS.44] RDS for MariaDB 数据库实例应在传输过程中加密
[RDS.45] Aurora MySQL 数据库集群应启用审核日志记录
[RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中
[RDS.47] 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照
[RDS.48] 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照
[Redshift.1] Amazon Redshift 集群应禁止公共访问
[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密
[Redshift.3] Amazon Redshift 集群应启用自动快照
[Redshift.4] Amazon Redshift 集群应启用审核日志记录
[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能
[Redshift.7] Redshift 集群应使用增强型 VPC 路由
[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
[Redshift.10] Redshift 集群应在静态状态下进行加密
[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口
[Redshift.18] Redshift 集群应启用多可用区部署
[RedshiftServerless.1] Amazon Redshift Serverless 工作组应使用增强型 VPC 路由
[RedshiftServerless.2] 连接到 Redshift Serverless 工作组时应需要使用 SSL
[RedshiftServerless.3] Redshift Serverless 工作组应禁止公开访问
[RedshiftServerless.5] 命名空间不应使用默认管理员用户名
[RedshiftServerless.6] Redshift Serveress 命名空间应将日志导出到 CloudWatch Logs
[S3.6] S3 通用存储桶策略应限制对其他 Amazon Web Services 账户 的访问权限
[S3.12] 不应使用 ACL 来管理用户对 S3 通用存储桶的访问权限
[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置
[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问 Internet
[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动
[SageMaker.3] 用户不应拥有对 SageMaker 笔记本实例的根访问权限
[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1
[SageMaker.5] SageMaker 模型应启用网络隔离
[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行
[SecretsManager.1] Secrets Manager 密钥应启用自动轮换
[SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应该可以成功轮换
[SecretsManager.3] 移除未使用 Secrets Manager 密钥
[SecretsManager.4] Secrets Manager 的密钥应在指定的天数内轮换
[ServiceCatalog.1] Service Catalog 产品组合仅应在 Amazon 组织内共享
[SQS.1] 应对 Amazon SQS 队列进行静态加密
[SSM.1] Amazon EC2 实例应由 Amazon Systems Manager 管理
[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT
[SSM.6] SSM Automation 应启用 CloudWatch 日志记录
[StepFunctions.1] Step Functions 状态机应该开启日志功能
[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接
[Transfer.3] Transfer Family 连接器应启用日志记录
[WAF.1] 应启用 Amazon WAF 经典全局 Web ACL 日志记录
[WAF.2] Amazon WAF Classic Regional 规则应至少有一个条件
[WAF.3] Amazon WAF Classic Regional 规则组应至少有一条规则
[WAF.4] Amazon WAF Classic Regional Web ACL 应至少有一个规则或规则组
[WAF.6] Amazon WAF 经典全局规则应至少有一个条件
[WAF.7] Amazon WAF 经典全局规则组应至少有一条规则
[WAF.8] Amazon WAF 经典全局 Web ACL 应至少有一个规则或规则组
[WAF.10] Amazon WAF Web ACL 应至少有一个规则或规则组
[WAF.12] Amazon WAF 规则应启用 CloudWatch 指标
[WorkSpaces.1] 应对 WorkSpaces 用户卷进行静态加密
[WorkSpaces.2] 应对 WorkSpaces 根卷进行静态加密