Security Hub CSPM 中的 PCI DSS
支付卡行业数据安全标准 (PCI DSS) 是一个第三方合规框架,它提供了一套安全处理信用卡和借记卡信息的规则和指南。PCI 安全标准委员会 (SSC) 负责创建并更新此框架。
Amazon Security Hub CSPM 提供了 PCI DSS 标准,可以帮助您遵守此第三方框架。您可以使用此标准来发现处理持卡人数据的 Amazon 资源中的安全漏洞。建议在有资源存储、处理或传输持卡人数据或敏感的身份验证数据的 Amazon Web Services 账户中启用此标准。PCI SSC 的评估验证此标准。
Security Hub CSPM 同时支持 PCI DSS v3.2.1 和 PCI DSS v4.0.1。建议使用 v4.0.1 以了解最新的安全最佳实践。您可以同时启用两个版本的标准。有关启用标准的信息,请参阅启用安全标准。如果您当前使用的是 v3.2.1 版本,但只想使用 v4.0.1 版本,请先启用较新的版本,然后再禁用较旧的版本。这可以防止您的安全检查出现漏洞。如果您使用 Security Hub CSPM 与 Amazon Organizations 的集成,并希望在多个账户中批量启用 v4.0.1,则建议使用中心配置来实现。
以下部分指定了哪些控件适用于 PCI DSS v3.2.1 和 PCI DSS v4.0.1。
适用于 PCI DSS v3.2.1 的控件
以下列表指定了哪些 Security Hub CSPM 控件适用于 PCI DSS v3.2.1。要查看控件的详细信息,请选择该控件。
[AutoScaling.1] 与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查
[CloudTrail.2] CloudTrail 应启用静态加密
[CloudTrail.3] 应至少启用一个 CloudTrail 跟踪记录
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] CloudTrail 轨迹应与 Amazon CloudWatch Logs 集成
[PCI.CW.1] 应具有有关“根”用户使用的日志指标筛选条件和警报
[CodeBuild.1] CodeBuild Bitbucket 源存储库 URL 不应包含敏感凭证
[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证
[Config.1] 应启用 Amazon Config 并使用服务相关角色进行资源记录
[DMS.1] Database Migration Service 复制实例不应公开
[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录
[EC2.12] 应删除未使用的 Amazon EC2 EIP
[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量
[ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS
[ES.2] Elasticsearch 域名不可供公共访问
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[Opensearch.1] OpenSearch 域名应启用静态加密
[Opensearch.2] OpenSearch 域名不可供公共访问
[RDS.2] RDS 数据库实例应禁止公共访问,这取决于 PubliclyAccessible 配置
[Redshift.1] Amazon Redshift 集群应禁止公共访问
[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问 Internet
[SSM.1] Amazon EC2 实例应由 Amazon Systems Manager 管理
[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT
适用于 PCI DSS v4.0.1 的控件
以下列表指定了哪些 Security Hub CSPM 控件适用于 PCI DSS v4.0.1。要查看控件的详细信息,请选择该控件。
[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订
[ACM.2] 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度
[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志
[AppSync.2] Amazon AppSync 应该启用字段级日志记录
[AutoScaling.3] 自动扩缩组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)
[Autoscaling.5] 使用自动扩缩组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址
[CloudFront.1] CloudFront 分配应配置默认根对象。
[CloudFront.10] CloudFront 分配不应在边缘站点和自定义源之间使用已弃用的 SSL 协议
[CloudFront.12] CloudFront 分配不应指向不存在的 S3 来源
[CloudFront.3] CloudFront 分配在传输过程中应要求加密
[CloudFront.5] CloudFront 分配应启用日志记录
[CloudFront.6] CloudFront 分配应启用 WAF
[CloudFront.9] CloudFront 分配应加密流向自定义来源的流量
[CloudTrail.2] CloudTrail 应启用静态加密
[CloudTrail.3] 应至少启用一个 CloudTrail 跟踪记录
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.6] 确保用来存储 CloudTrail 日志的 S3 存储桶不可公开访问
[CloudTrail.7] 确保在 CloudTrail S3 存储桶上启用 S3 存储桶访问日志记录
[CodeBuild.1] CodeBuild Bitbucket 源存储库 URL 不应包含敏感凭证
[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证
[CodeBuild.3] CodeBuild S3 日志应加密
[DMS.1] Database Migration Service 复制实例不应公开
[DMS.10] Neptune 数据库的 DMS 端点应启用 IAM 授权
[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制
[DMS.12] Redis OSS 的 DMS 端点应启用 TLS
[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录
[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期
[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开
[DocumentDB.4] Amazon DocumentDB 集群应将审核日志发布到 CloudWatch Logs
[DynamoDB.7] DynamoDB Accelerator 集群应在传输过程中进行加密
[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量
[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量
[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址
[EC2.170] EC2 启动模板应使用实例元数据服务版本 2(IMDSv2)
[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.25] Amazon EC2 启动模板不应为网络接口分配公有 IP
[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录
[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口
[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口
[EC2.8] EC2 实例应使用实例元数据服务版本 2 (IMDSv2)
[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行
[ECS.16] ECS 任务集不应自动分配公有 IP 地址
[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行
[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥
[ElastiCache.2] ElastiCache 集群应启用自动次要版本升级
[ElastiCache.5] ElastiCache 复制组在传输过程中应进行加密
[ElastiCache.6] 早期版本的 ElastiCache(Redis OSS)复制组应启用 Redis OSS AUTH
[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新
[ElasticBeanstalk.3] Elastic Beanstalk 应该将日志流式传输到 CloudWatch
[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式
[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式
[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止
[ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头
[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用具有强 Amazon Config配置的预定义安全策略
[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置
[ES.2] Elasticsearch 域名不可供公共访问
[ES.3] Elasticsearch 域应加密节点之间发送的数据
[ES.5] Elasticsearch 域名应该启用审核日志
[ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密
[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略
[GuardDuty.10] 应启用 GuardDuty S3 保护
[GuardDuty.6] 应启用 GuardDuty Lambda 保护
[GuardDuty.7] 应启用 GuardDuty EKS 运行时监控
[GuardDuty.9] 应启用 GuardDuty RDS 保护
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母
[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母
[IAM.14] 确保 IAM 密码策略要求包含至少一个数字
[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效
[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持 的事务
[Inspector.1] 应启用 Amazon Inspector EC2 扫描
[Inspector.2] 应启用 Amazon Inspector ECR 扫描
[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描
[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描
[Lambda.2] Lambda 函数应使用受支持的运行时系统
[MQ.2] ActiveMQ 代理应将审计日志流式传输到 CloudWatch
[MQ.3] Amazon MQ 代理应启用次要版本自动升级
[MSK.3] MSK Connect 连接器应在传输过程中进行加密
[Neptune.2] Neptune 数据库集群应将审核日志发布到 CloudWatch Logs
[Neptune.3] Neptune 数据库集群快照不应公开
[Opensearch.10] OpenSearch 域应安装最新的软件更新
[Opensearch.5] OpenSearch 域名应该启用审核日志
[RDS.2] RDS 数据库实例应禁止公共访问,这取决于 PubliclyAccessible 配置
[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅
[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅
[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
[RDS.25] RDS 数据库实例应使用自定义管理员用户名
[RDS.34] Aurora MySQL 数据库集群应将审核日志发布到 CloudWatch Logs
[RDS.36] PostgreSQL 数据库实例的 RDS 应将日志发布到 CloudWatch Logs
[RDS.37] Aurora PostgreSQL 数据库集群应将日志发布到 CloudWatch Logs
[RDS.9] RDS 数据库实例应将日志发布到 CloudWatch Logs
[Redshift.1] Amazon Redshift 集群应禁止公共访问
[Redshift.15] Redshift 安全组应仅允许从受限来源进入集群端口
[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密
[Redshift.4] Amazon Redshift 集群应启用审核日志记录
[Route53.2] Route 53 公有托管区域应记录 DNS 查询
[S3.17] S3 存储桶应使用 Amazon KMS keys 进行静态加密
[S3.24] S3 多区域接入点应启用屏蔽公共访问权限设置
[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问 Internet
[SecretsManager.1] Secrets Manager 密钥应启用自动轮换
[SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应该可以成功轮换
[SecretsManager.4] Secrets Manager 的密钥应在指定的天数内轮换
[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT
[StepFunctions.1] Step Functions 状态机应该开启日志功能
[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接
[WAF.1] 应启用 Amazon WAF 经典全局 Web ACL 日志记录
[WAF.11] Amazon WAF 应启用 Web ACL 日志记录