本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Security Hub 的基础安全最佳实践标准
Amazon 基础安全最佳实践 (FSBP) 标准由 Amazon 行业专业人士开发,汇编了适用于任何组织部门或规模的组织的安全最佳实践。它提供了一组控件,用于检测何时 Amazon Web Services 账户 和资源偏离安全最佳实践。它还提供了有关如何改进和维护组织的安全状况的规范性指导。
在中 Amazon Security Hub, Amazon 基础安全最佳实践标准包括持续评估您的 Amazon Web Services 账户 和工作负载的控件,并帮助您识别与安全最佳实践不一致的领域。这些控件包括多个 Amazon Web Services 服务资源的安全最佳实践。每个控件都分配有一个类别,反映该控件适用的安全功能。有关类别列表和其他详细信息,请参阅控件类别。
适用于标准的控件
以下列表指定适用于 Amazon 基础安全最佳实践标准 (v1.0.0) 标准的 Amazon Security Hub 控件。要查看控件的详细信息,请选择该控件。
[Account.1] 应为以下人员提供安全联系人信息 Amazon Web Services 账户
[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订
[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度
[APIGateway.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录
[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证
[APIGateway.3] API Gateway REST API 阶段应启用 Amazon X-Ray 追踪功能
[APIGateway.4] API Gateway 应与 WAF Web ACL 关联
[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密
[APIGateway.8] API Gateway 路由应指定授权类型
[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志记录
[AppSync.1] 应 Amazon AppSync 对 API 缓存进行静态加密
[AppSync.2] Amazon AppSync 应该启用字段级日志记录
[AppSync.5] 不应使用 API Amazon AppSync 密 APIs 钥对 GraphQL 进行身份验证
[AppSync.6] Amazon AppSync API 缓存应在传输过程中进行加密
[AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查
[AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域
[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)
[Autoscaling.5] 使用 Auto Scaling 组启动配置启动的 EC2 亚马逊实例不应具有公有 IP 地址
[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型
[AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊 EC2 启动模板
[Backup.1] 应在静态状态下对 Amazon Backup 恢复点进行加密
[CloudFront.1] CloudFront 分配应配置默认根对象。
[CloudFront.3 CloudFront ] 传输过程中应要求加密
[CloudFront.4] CloudFront 分配应配置来源失效转移
[CloudFront.5] CloudFront 分配应启用日志记录
[CloudFront.6] CloudFront 分配应启用 WAF
[CloudFront.7] CloudFront 分配应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 分配应使用 SNI 处理 HTTPS 请求
[CloudFront.9] CloudFront 分配应加密流向自定义源的流量
[CloudFront.10] CloudFront 分配不应在边缘站点和自定义源之间使用已弃用的 SSL 协议
[CloudFront.12] CloudFront 分配不应指向不存在的 S3 来源
[CloudFront.13] CloudFront 分配应使用源站访问控制
[CloudTrail.1] CloudTrail 应启用并至少配置一个包含读写管理事件的多区域追踪
[CloudTrail.2] CloudTrail 应启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CodeBuild.1] CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭证
[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证
[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密
[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 Amazon Config
[CodeBuild.7] 应对 CodeBuild 报告组导出进行静态加密
[Config.1] Amazon Config 应启用并使用服务相关角色进行资源记录
[Connect.2] Amazon Connect 实例应启用日志记录 CloudWatch
[DataFirehose.1] Firehose 传输流应在静态状态下进行加密
[DataSync.1] DataSync 任务应启用日志记录
[DMS.1] Database Migration Service 复制实例不应公开
[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录
[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权
[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制
[DMS.12] Redis OSS 的 DMS 端点应启用 TLS
[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密
[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期
[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开
[DocumentDB.4] Amazon DocumentDB 集群应将审核日志发布到 Logs CloudWatch
[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护
[DocumentDB.6] Amazon DocumentDB 集群应在传输过程中加密
[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量
[DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time
[DynamoDB.3] DynamoDB Accelerator (DAX) 集群应在静态状态下进行加密
[DynamodB.6] DynamoDB 表应启用删除保护
[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密
[EC2.3] 挂载的 Amazon EBS 卷应进行静态加密
[EC2.6] 应在所有中启用 VPC 流日志记录 VPCs
[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2
[EC2.9] Amazon EC2 实例不应有公共地址 IPv4
[EC2.10] EC2 应将亚马逊配置为使用为亚马逊 EC2 服务创建的 VPC 终端节点
[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址
[EC2.17] Amazon EC2 实例不应使用多个 ENIs
[EC2.18] 安全组应只允许来自授权端口的不受限制的传入流量
[EC2.20] VPN 连接的两个 V Amazon Site-to-Site PN 隧道都应启用
[EC2.21] 网络 ACLs 不应允许从 0.0.0/0 进入端口 22 或端口 3389
[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求
[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型
[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口
[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录
[EC2.55] VPCs 应配置用于 ECR API 的接口端点
[EC2.56] VPCs 应配置 Docker Registry 的接口端点
[EC2.57] VPCs 应使用 Systems Manager 的接口端点进行配置
[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点
[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点
[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2
[EC2.172] EC2 VPC 阻止公共访问设置应阻止互联网网关流量
[EC2.173] EC2 Spot 队列请求应为连接的 EBS 卷启用加密
[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义
[ECS.5] ECS 容器应限制为仅对根文件系统具有只读访问权限。
[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行
[ECS.16] ECS 任务集不应自动分配公有 IP 地址
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 Amazon KMS
[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行
[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥
[ElastiCache.1] ElastiCache (Redis OSS) 集群应启用自动备份
[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级
[ElastiCache.3] ElastiCache 复制组应启用自动故障切换
[ElastiCache.4] ElastiCache 复制组应进行静态加密
[ElastiCache.5] ElastiCache 复制组在传输过程中应加密
[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证
[ElastiCache.7] ElastiCache 群集不应使用默认子网组
[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告
[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新
[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch
[ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS
[ELB.2] 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 Amazon Certificate Manager
[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止
[ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头
[ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护
[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略 Amazon Config
[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式
[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区
[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式
[ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略
[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置
[EMR.3] Amazon EMR 安全配置应进行静态加密
[EMR.4] Amazon EMR 安全配置应在传输过程中进行加密
[ES.2] Elasticsearch 域名不可供公共访问
[ES.3] Elasticsearch 域应加密节点之间发送的数据
[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志记录到日志记录
[ES.5] Elasticsearch 域名应该启用审核日志
[ES.6] Elasticsearch 域应拥有至少三个数据节点
[ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点
[ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密
[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略
[FSx.1] FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷
[FSx.2] FSx 对于 Lustre 文件系统,应配置为将标签复制到备份
[FSx.3] FSx 对于 OpenZFS 文件系统,应配置为多可用区部署
[FSx.4] FSx 对于 NetApp ONTAP 文件系统,应配置为多可用区部署
[FSx.5] FSx 对于 Windows 文件服务器,应为多可用区部署配置文件系统
[Glue.3] Amazon Glue 机器学习转换应在静态时加密
[Glue.4] Amazon Glue Spark 作业应在支持的版本上运行 Amazon Glue
[GuardDuty.5] 应启 GuardDuty 用 EKS 审计日志监控
[GuardDuty.6] 应启用 Lamb GuardDuty da 保护
[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控
[GuardDuty.8] EC2 应 GuardDuty 启用恶意软件防护
[GuardDuty.9] 应启用 GuardDuty RDS 保护
[GuardDuty.10] 应启用 GuardDuty S3 保护
[GuardDuty.11] 应启用 “ GuardDuty 运行时监控”
[GuardDuty.12] 应启用 GuardDuty ECS 运行时监控
[GuardDuty.13] 应启用 “ GuardDuty EC2 运行时监控”
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作
[Inspector.1] 应启用 Amazon Inspector EC2 扫描
[Inspector.2] 应启用 Amazon Inspector ECR 扫描
[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描
[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描
[Kinesis.1] Kinesis 直播应在静态状态下进行加密
[Kinesis.3] Kinesis 流应有足够的数据留存期
[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作
[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略
Amazon KMS keys 不应无意中删除 [KMS.3]
[Lambda.2] Lambda 函数应使用受支持的运行时系统
[Lambda.5] VPC Lambda 函数应在多个可用区内运行
[MQ.2] ActiveMQ 经纪人应将审计日志流式传输到 CloudWatch
[MQ.3] Amazon MQ 代理应启用次要版本自动升级
[MSK.3] MSK Connect 连接器应在传输过程中进行加密
[Neptune.1] 应对 Neptune 数据库集群进行静态加密
[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch
[Neptune.3] Neptune 数据库集群快照不应公开
[Neptune.4] Neptune 数据库集群应启用删除保护
[Neptune.5] Neptune 数据库集群应启用自动备份
[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密
[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证
[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照
[NetworkFirewall.2] 应启用 Network Firewall 日志记录
[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组
[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发完整数据包
[NetworkFirewall.5] Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包
[NetworkFirewall.6] 无状态Network Firewall 规则组不应为空
[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护
[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护
[Opensearch.1] OpenSearch 域名应启用静态加密
[Opensearch.2] OpenSearch 域名不应向公众开放
[Opensearch.3] OpenSearch 域应加密节点之间发送的数据
[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误
[Opensearch.5] OpenSearch 域应启用审核日志
[Opensearch.6] OpenSearch 域名应至少有三个数据节点
[Opensearch.7] OpenSearch 域名应启用精细的访问控制
[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密
[Opensearch.10] OpenSearch 域名应安装最新的软件更新
[PCA.1] 应禁用 Amazon Private CA 根证书颁发机构
[Route53.2] Route 53 公有托管区域应记录 DNS 查询
[RDS.2] RDS 数据库实例应禁止公有访问,这取决于 PubliclyAccessible
[RDS.9] RDS 数据库实例应将日志发布到 Logs CloudWatch
[RDS.14] Amazon Aurora 集群应启用回溯功能
[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照
[RDS.17] 应将 RDS 数据库实例配置为将标签复制到快照
[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅
[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅
[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅
[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
[RDS.25] RDS 数据库实例应使用自定义管理员用户名
[RDS.34] Aurora MySQL 数据库集群应将审核日志发布到 Logs CloudWatch
[RDS.36] PostgreSQL 数据库实例的 RDS 应将日志发布到 Logs CloudWatch
[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到 Logs CloudWatch
[RDS.40] SQL Server 数据库实例的 RDS 应将日志发布到 Logs CloudWatch
[RDS.41] SQL Server 数据库实例的 RDS 应在传输中加密
[RDS.42] MariaDB 数据库实例的 RDS 应将日志发布到 Logs CloudWatch
[RDS.44] 适用于 MariaDB 数据库实例的 RDS 在传输过程中应进行加密
[Redshift.1] Amazon Redshift 集群应禁止公共访问
[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密
[Redshift.3] Amazon Redshift 集群应启用自动快照
[Redshift.4] Amazon Redshift 集群应启用审核日志记录
[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能
[Redshift.7] Redshift 集群应使用增强型 VPC 路由
[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
[Redshift.9] Redshift 集群不应使用默认的数据库名称
[Redshift.10] Redshift 集群应在静态状态下进行加密
[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口
[RedshiftServerless.1] Amazon Redshift Serverless 工作组应使用增强型 VPC 路由
[RedshiftServerless.2] 使用 SSL 需要连接到 Redshift 无服务器工作组
[RedshiftServerless.3] Redshift 无服务器工作组应禁止公众访问
[RedshiftServerless.5] Redshift Serverless 命名空间不应使用默认的管理员用户名
[RedshiftServerless.6] Redshift 无服务器命名空间应将日志导出到日志 CloudWatch
[RedshiftServerless.7] Redshift Serverless 命名空间不应使用默认数据库名称
[S3.6] S3 通用存储桶策略应限制对其他的访问权限 Amazon Web Services 账户
ACLs 不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限
[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置
[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网
[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动
[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限
[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1
[SageMaker.5] SageMaker 模型应阻止入站流量
[SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行
[SecretsManager.1] Secrets Manager 密钥应启用自动轮换
[SecretsManager.2] 配置有自动轮换功能的 Secrets Manager 密钥应成功轮换
[SecretsManager.3] 移除未使用的 Secrets Manager 密钥
[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换
[ServiceCatalog.1] Service Catalog 产品组合只能在 Amazon 组织内部共享
[SQS.1] 应对 Amazon SQS 队列进行静态加密
[SSM.1] Amazon EC2 实例应由管理 Amazon Systems Manager
[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规性的状态应为 COMPLIANT
[StepFunctions.1] Step Functions 状态机应该开启日志功能
[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接
[Transfer.3] Transfer Family 连接器应启用日志记录
[WAF.1] 应启用 Amazon WAF 经典全局 Web ACL 日志记录
[WAF.2] Amazon WAF Classic Regional 规则应至少有一个条件
[WAF.3] Amazon WAF Classic Regional 规则组应至少有一条规则
[WAF.4] Amazon WAF Classic Regional Web ACLs 应至少有一个规则或规则组
[WAF.6] Amazon WAF 经典全局规则应至少有一个条件
[WAF.7] Amazon WAF 经典全局规则组应至少有一条规则
[WAF.8] Amazon WAF 经典全局 Web ACLs 应至少有一个规则或规则组
[WAF.10] Amazon WAF Web ACLs 应至少有一个规则或规则组
[WAF.12] Amazon WAF 规则应启用指标 CloudWatch
[WorkSpaces.1] WorkSpaces 用户卷应在静态时加密
[WorkSpaces.2] 应在静态状态下对 WorkSpaces 根卷进行加密