Security Hub 控件参考 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 控件参考

此控件参考提供了可用Amazon Security Hub控件的列表,以及指向有关每个控件的更多信息的链接。概述表按控件 ID 的字母顺序显示控件。该表提供了每个控件的以下信息:

  • 安全控制 ID — 此 ID 适用于所有标准,并表示该控件所涉及的Amazon Web Service和资源。无论您的账户中开启还是关闭了整合控制结果,Security Hub 控制台都会显示安全控制 ID。但是,只有在您的账户中启用了合并控制结果时,Security Hub 的发现才会引用安全控制 ID。如果在您的账户中关闭了合并控制结果,则控制结果中的对照ID可能会因标准而异。有关特定于标准的控制 ID 与安全控制 ID 的映射,请参阅。整合如何影响控件 ID 和标题

    如果您想为安全控制设置自动化,我们建议您根据控件 ID 而不是标题或描述进行筛选。尽管 Security Hub 偶尔会更新控件标题或描述,但控件 ID 保持不变。

    控件 ID 可能会跳过数字。这些是 future 控件的占位符。

  • 适用标准-表示控件适用于哪些标准。选择一个控件以查看第三方合规框架中的特定要求。

  • 安全控制标题-此标题适用于所有标准。无论您的账户中开启还是关闭了整合控制结果,Security Hub 控制台都会显示安全控制标题。但是,只有在您的账户中启用了合并控制结果时,Security Hub 的发现才会引用安全控制标题。如果在您的账户中关闭了合并控制结果,则控制结果中的控制标题可能会因标准而异。有关特定于标准的控制 ID 与安全控制 ID 的映射,请参阅。整合如何影响控件 ID 和标题

  • 严重性-从安全角度来看,控制的严重性确定了其重要性。有关 Security Hub 如何确定控制严重性的信息,请参阅为控制结果分配严重性

  • 计划类型-指示何时评估控件。有关更多信息,请参阅有关运行安全检查的计划

选择控件可查看更多详细信息。控件按服务名称的字母顺序列出。

安全控制 ID 安全控制标题 适用标准 严重性 日程表类型

账号.1

应为以下人员提供安全联系信息 Amazon Web Services 账户

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

中等

定期

账号.2

Amazon Web Services 账户应该是Amazon Organizations组织的一部分

NIST SP 800-53 Rev. 5

HIGH (高)

定期

ACM.1

导入的证书和 ACM 颁发的证书应在指定的时间段后续订

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

中等

变更触发且定期进行

ACM.2

由 ACM 管理的 RSA 证书应使用至少 2,048 位的密钥长度

Amazon基础安全最佳实践 v1.0.0

HIGH (高)

更改已触发

apiGateway.1

应启用 API Gateway REST 和 WebSocket API 执行日志记录

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

apiGateway.2

应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

apiGateway.3

API Gateway REST API 阶段应启用Amazon X-Ray跟踪

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

apigateway.4

API Gateway 应与 WAF Web ACL 关联

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

apigateway.5

API Gateway REST API 缓存数据应进行静态加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

apigateway.8

API Gateway 路由应指定授权类型

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

定期

apigateway.9

应为 API Gateway V2 阶段配置访问日志

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

AppSync.2

Amazon AppSync应该开启请求级和字段级日志记录

Amazon基础安全最佳实践 v1.0.0

中等

更改已触发

AppSync.5

Amazon AppSync不应使用 API 密钥对 GraphQL API 进行身份验证

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

雅典娜.1

Athena 工作组应进行静态加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower

中等

更改已触发

AutoScaling.1

与 Classic Load Balancer 关联的自动扩展组应使用负载均衡器运行状况检查

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

更改已触发

AutoScaling.2

Amazon EC2 Auto Scaling 组应覆盖多个可用区

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

AutoScaling.3

Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (imdsv2)

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

AutoScaling.4

Auto Scaling 组启动配置的元数据响应跳跃限制不应大于 1

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

自动缩放。5

使用 Auto Scaling 群组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

AutoScaling.6

Auto Scaling 组应在多个可用区域中使用多种实例类型

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

AutoScaling.9

EC2 Auto Scaling 群组应使用 EC2 启动模板

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

CloudFormation.1

CloudFormation 堆栈应与简单通知服务 (SNS) Service 集成

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

更改已触发

CloudFront.1

CloudFront 发行版应该配置一个默认的根对象

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

关键的

更改已触发

CloudFront.2

CloudFront 发行版应启用源访问身份

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

CloudFront.3

CloudFront 发行版在传输过程中应要求加密

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

CloudFront.4

CloudFront 发行版应配置源站故障转移

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

更改已触发

CloudFront.5

CloudFront 发行版应该启用日志记录

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

CloudFront.6

CloudFront 发行版应启用 WAF

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

CloudFront.7

CloudFront 发行版应使用自定义 SSL/TLS 证书

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

CloudFront.8

CloudFront 发行版应使用 SNI 来处理 HTTPS 请求

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

更改已触发

CloudFront.9

CloudFront 发行版应加密发往自定义来源的流量

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

CloudFront.10

CloudFront 发行版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

CloudFront.12

CloudFront 发行版不应指向不存在的 S3 来源

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

HIGH (高)

定期

CloudFront.13

CloudFront 发行版应使用源站访问控制

Amazon基础安全最佳实践 v1.0.0

中等

更改已触发

CloudTrail.1

CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪

CIS Amazon 基金会基准 v1.2.0、CIS Amazon 基金会基准 v1.4.0、Amazon基础安全最佳实践 v1.0.0、服务管理标准:,NIST SP 800-53 修订版 5 Amazon Control Tower

HIGH (高)

定期

CloudTrail.2

CloudTrail 应该启用静态加密

CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon

中等

定期

CloudTrail.3

CloudTrail 应该启用

PCI DSS v3.2.1

HIGH (高)

定期

CloudTrail.4

CloudTrail 应启用日志文件验证

CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon

定期

CloudTrail.5

CloudTrail 应将跟踪与亚马逊 CloudWatch 日志集成

CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon

定期

CloudTrail.6

确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

关键的

变更触发且定期进行

CloudTrail.7

确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.1

“root” 用户应使用日志指标筛选器和警报

独联体Amazon基金会基准 v1.2.0、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0 Amazon

定期

CloudWatch.2

确保存在针对未经授权的 API 调用的日志指标筛选器和警报

独联体Amazon基金会基准测试 v1.2.0

定期

CloudWatch.3

确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报

独联体Amazon基金会基准测试 v1.2.0

定期

CloudWatch.4

确保存在针对 IAM 策略更改的日志指标筛选器和警报

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.5

确保存在 CloudTrail 配置更改的日志指标筛选器和警报

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.6

确保存在针对Amazon Web Services Management Console身份验证失败的日志指标筛选器和警报

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.7

确保存在日志指标筛选器和警报,用于禁用或计划删除客户创建的 CMK

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.8

确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.9

确保存在Amazon Config配置更改的日志指标筛选器和警报

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.10

确保存在针对安全组更改的日志指标筛选器和警报

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.11

确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.12

确保存在针对网络网关更改的日志指标筛选器和警报

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.13

确保存在针对路由表更改的日志指标筛选器和警报

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.14

确保存在针对 VPC 更改的日志指标筛选器和警报

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

CloudWatch.15

CloudWatch 警报应为该ALARM状态配置操作

NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

CloudWatch.16

CloudWatch 日志组应保留至少 1 年

NIST SP 800-53 Rev. 5

中等

定期

CloudWatch.17

CloudWatch 应启用警报操作

NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

CodeBuild.1

CodeBuild GitHub 或者 Bitbucket 源存储库网址应使用 OAuth

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

更改已触发

CodeBuild.2

CodeBuild 项目环境变量不应包含明文凭证

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

更改已触发

CodeBuild.3

CodeBuild S3 日志应加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

CodeBuild.4

CodeBuild 项目环境应该有日志配置

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

CodeBuild.5

CodeBuild 项目环境不应启用特权模式

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

配置.1

Amazon Config应该启用

CIS Amazon 基金会基准 v1.2.0、Amazon基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 Amazon

中等

定期

DMS.1

Database Migration Service 的复制实例不应是公共的

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

定期

DMS.6

DMS 复制实例应启用自动次要版本升级

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

DMS.7

目标数据库的 DMS 复制任务应启用日志记录

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

DMS.8

源数据库的 DMS 复制任务应启用日志记录

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

DMS.9

DMS 终端节点应使用 SSL

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

文档数据库.1

Amazon DocumentDB 集群应进行静态加密

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

更改已触发

文档数据库.2

Amazon DocumentDB 集群应有足够的备份保留期

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

更改已触发

文档数据库.3

Amazon DocumentDB 手动集群快照不应公开

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

关键的

更改已触发

文档数据库.4

Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

文档数据库.5

亚马逊 DocumentDB 集群应启用删除保护

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

DynamoDB.1

DynamoDB 表应根据需求自动扩展容量

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

定期

DynamoDB.2

DynamoDB 表应该启用恢复功能 point-in-time

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

DynamodB.3

DynamoDB 加速器 (DAX) 集群应进行静态加密

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

定期

DynamodB.4

备份计划中应有 DynamoDB 表

NIST SP 800-53 Rev. 5

中等

定期

EC2.1

EBS 快照不应公开恢复

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

定期

EC2.2

VPC 默认安全组不应允许入站和出站流量

CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon

HIGH (高)

更改已触发

EC2.3

附加的 EBS 卷应在静态状态下进行加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

EC2.4

应在指定时间段后移除已停止的 EC2 实例

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

定期

EC2.6

应在所有 VPC 中启用 VPC 流量记录

CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon

中等

定期

EC2.7

应启用 EBS 默认加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5

中等

定期

EC2.8

EC2 实例应使用实例元数据服务版本 2 (imdsv2)

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

EC2.9

EC2 实例不应有公有 IPv4 地址

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

EC2.10

应将 Amazon EC2 配置为使用为亚马逊 EC2 服务创建的 VPC 终端节点

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

定期

EC2.12

应移除未使用的 EC2 弹性公网IP

PCI DSS v3.2.1,NIST SP 800-53 Rev. 5

更改已触发

EC2.13

安全组不应允许从 0.0.0.0/0 进入端口 22

CIS F Amazon oundations Benchmark v1.2.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

EC2.14

确保没有安全组允许从 0.0.0.0/0 进入端口 3389

独联体Amazon基金会基准测试 v1.2.0

HIGH (高)

更改已触发

EC2.15

EC2 子网不应自动分配公有 IP 地址

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

EC2.16

应删除未使用的网络访问控制列表

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

EC2.17

EC2 实例不应使用多个 ENI

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

EC2.18

安全组应只允许授权端口不受限制的传入流量

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

EC2.19

安全组不应允许不受限制地访问高风险端口

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

关键的

更改已触发

EC2.20

Amazon站点到站点 VPN 连接的两个 VPN 隧道都应处于开启状态

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

EC2.21

网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5

中等

更改已触发

EC2.22

应移除未使用的 EC2 安全组

服务管理标准:Amazon Control Tower

中等

定期

EC2.23

EC2 传输网关不应自动接受 VPC 连接请求

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

EC2.24

不应使用 EC2 半虚拟化实例类型

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

EC2.25

EC2 启动模板不应为网络接口分配公有 IP

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

EC2.28

EBS 卷应在备份计划中

NIST SP 800-53 Rev. 5

定期

EC2.29

EC2 实例应位于 VPC 内部

NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

ECR.1

ECR 私有存储库应配置图像扫描

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

定期

ECR.2

ECR 私有仓库应配置标签不可变性

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ECR.3

ECR 存储库应至少配置一个生命周期策略

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ECS.1

Amazon ECS 任务定义应具有安全的联网模式和用户定义。

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

ECS.2

ECS 服务不应自动分配公有 IP 地址

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

ECS.3

ECS 任务定义不应共享主机的进程命名空间

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

ECS.4

ECS 容器应以非特权身份运行

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

ECS.5

应将 ECS 容器限制为对根文件系统的只读访问权限

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

ECS.8

密钥不应作为容器环境变量传递

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

ECS.9

ECS 任务定义应具有日志配置

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

ECS.10

ECS Fargate 服务应在最新的 Fargate 平台版本上运行

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ECS.12

ECS 集群应使用容器见解

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

EFS.1

应将 Elastic 文件系统配置为使用以下方法加密静态文件数据 Amazon KMS

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

定期

EFS.2

Amazon EFS 卷应包含在备份计划中

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

定期

EFS.3

EFS 接入点应强制使用根目录

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

EFS.4

EFS 接入点应强制使用用户身份

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

EKS.1

EKS 集群终端节点不应公开访问

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

HIGH (高)

定期

EKS.2

EKS 集群应在支持的 Kubernetes 版本上运行

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

ElastiCache.1

ElastiCache Redis 集群应启用自动备份

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

HIGH (高)

定期

ElastiCache.2

ElastiCache 对于 Redis 缓存集群,应启用自动次要版本升级

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

HIGH (高)

定期

ElastiCache.3

ElastiCache 复制组应启用自动故障切换

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

定期

ElastiCache.4

ElastiCache 复制组应该已 encryption-at-rest 启用

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

定期

ElastiCache.5

ElastiCache 复制组应该已 encryption-in-transit 启用

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

定期

ElastiCache.6

ElastiCache 早期 Redis 版本的复制组应启用 Redis 身份验证

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

定期

ElastiCache.7

ElastiCache 群集不应使用默认子网组

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

HIGH (高)

定期

ElasticBeanstalk.1

Elastic Beanstalk 环境应启用增强版运行状况报告

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

ElasticBeanstalk.2

应启用 Elastic Beanstalk 托管平台更新

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

ElasticBeanstalk.3

Elastic Beanstalk 应该将日志流式传输到 CloudWatch

Amazon基础安全最佳实践 v1.0.0

HIGH (高)

更改已触发

ELB.1

Application Load Balancer 应配置为将所有 HTTP 请求重定向到 HTTPS

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

中等

定期

ELB.2

带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 Amazon Certificate Manager

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.3

应将 Classic Load Balancer 侦听器配置为 HTTPS 或 TLS 终止

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.4

应将 Application Load Balancer 配置为删除 http 标头

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.5

应启用应用程序和经典负载均衡器日志记录

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.6

应启用 Application Load Balancer 删除保护

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.7

经典负载均衡器应启用连接耗尽功能

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.8

带有 SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.9

传统负载均衡器应启用跨区域负载均衡

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.10

Classic Load Balancer 应跨越多个可用区

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.12

Application Load Balancer 应配置为防御性或最严格的不同步缓解模式

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.13

应用程序、网络和网关负载均衡器应跨越多个可用区

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.14

Classic Load Balancer 应配置为防御或最严格的不同步缓解模式

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ELB.16

应用程序负载均衡器应与 Amazon WAF Web ACL 关联

NIST SP 800-53 Rev. 5

中等

更改已触发

EMR.1

Amazon 弹性 MapReduce 集群主节点不应有公有 IP 地址

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

定期

ES.1

Elasticsearch 域名应启用静态加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

中等

定期

ES.2

Elasticsearch 域名应位于 VPC 中

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

定期

ES.3

Elasticsearch 域应加密节点之间发送的数据

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ES.4

应启用 Elasticsearch 域名错误 CloudWatch 日志记录到日志

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ES.5

Elasticsearch 域名应该启用审核日志

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ES.6

Elasticsearch 域名应至少有三个数据节点

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ES.7

应将 Elasticsearch 域配置为至少三个专用的主节点

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

ES.8

与 Elasticsearch 域的连接应使用 TLS 1.2 进行加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

EventBridge.3

EventBridge 自定义事件总线应附加基于资源的策略

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

更改已触发

EventBridge.4

EventBridge 全局端点应启用事件复制

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

GuardDuty.1

GuardDuty 应该启用

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

HIGH (高)

定期

我是 1

IAM 策略不应允许完全的 “*” 管理权限

CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon

HIGH (高)

更改已触发

IAM.2

IAM 用户不应附加 IAM 策略

CIS Amazon Foundations Benchmark v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5

更改已触发

我是 3

IAM 用户的访问密钥应每 90 天或更短时间轮换一次

CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Amazon 基金会基准 v1.4.0,NIST SP 8 Amazon Control Tower 00-53 修订版 5

中等

定期

我是 4

IAM 根用户访问密钥不应存在

CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon

关键的

定期

我是 5

应为所有拥有控制台密码的 IAM 用户启用 MFA

CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Amazon 基金会基准 v1.4.0,NIST SP 8 Amazon Control Tower 00-53 修订版 5

中等

定期

我是 6

应为根用户启用硬件 MFA

CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon

关键的

定期

我是 7

IAM 用户的密码策略应具有很强的配置

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

定期

我是 8

应移除未使用的 IAM 用户证书

CIS Amazon Foundations Benchmark v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5

中等

定期

我是 9

应为根用户启用虚拟 MFA

CIS Amazon 基金会基准 v1.2.0、PCI DSS v3.2.1、CIS Amazon 基金会基准 v1.4.0、NIST SP 800-53 修订版 5

关键的

定期

IAM.10

IAM 用户的密码策略应具有很强的配置

PCI DSS v3.2.1

中等

定期

IAM.11

确保 IAM 密码策略至少需要一个大写字母

独联体Amazon基金会基准测试 v1.2.0

中等

定期

我是 12

确保 IAM 密码策略至少需要一个小写字母

独联体Amazon基金会基准测试 v1.2.0

中等

定期

IAM.13

确保 IAM 密码策略至少需要一个符号

独联体Amazon基金会基准测试 v1.2.0

中等

定期

IAM.14

确保 IAM 密码策略至少需要一个数字

独联体Amazon基金会基准测试 v1.2.0

中等

定期

我是 15

确保 IAM 密码策略要求的最小密码长度为 14 或更大

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

中等

定期

IAM.16

确保 IAM 密码策略防止密码重复使用

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

IAM.17

确保 IAM 密码策略在 90 天或更短时间内使密码过期

独联体Amazon基金会基准测试 v1.2.0

定期

我是 18

确保已创建支持角色来管理事件 Amazon Web Services Support

独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0

定期

IAM.19

应为所有 IAM 用户启用 MFA

PCI DSS v3.2.1,NIST SP 800-53 Rev. 5

中等

定期

IAM.20

避免使用 root 用户

独联体Amazon基金会基准测试 v1.2.0

定期

IAM.21

您创建的 IAM 客户托管策略不应允许对服务执行通配符操作

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

IAM.22

应移除在 45 天内未使用的 IAM 用户证书

独联体Amazon基金会基准测试 v1.4.0

中等

定期

Kinesis.1

Kinesis 直播应在静态状态下进行加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

KMS.1

IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

KMS.2

IAM 委托人不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

KMS.3

Amazon KMS keys不应无意中删除

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

关键的

更改已触发

KMS.4

Amazon KMS key应该启用旋转

CIS Amazon 基金会基准 v1.2.0、PCI DSS v3.2.1、CIS Amazon 基金会基准 v1.4.0、NIST SP 800-53 修订版 5

中等

定期

Lambda.1

Lambda 函数策略应禁止公众访问

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

更改已触发

Lambda.2

Lambda 函数应使用支持的运行时

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

Lambda.3

Lambda 函数应位于 VPC 中

PCI DSS v3.2.1,NIST SP 800-53 Rev. 5

更改已触发

Lambda.5

VPC Lambda 函数应在多个可用区中运行

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

MSK.1

MSK 集群应在代理节点之间传输时进行加密

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

MQ.5

ActiveMQ 代理应使用主动/备用部署模式

NIST SP 800-53 Rev. 5

更改已触发

MQ.6

RabbitMQ 代理应该使用集群部署模式

NIST SP 800-53 Rev. 5

更改已触发

海王星。1

应对 Neptune 数据库集群进行静态加密

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

中等

定期

海王星。2

Neptune 数据库集群应将审核日志发布到日志 CloudWatch

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

中等

定期

海王星。3

Neptune 数据库集群快照不应公开

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

关键的

更改已触发

海王星。4

Neptune 数据库集群应启用删除保护

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

更改已触发

海王星。5

Neptune 数据库集群应启用自动备份

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

更改已触发

海王星。6

应对 Neptune 数据库集群快照进行静态加密

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

更改已触发

海王星。7

Neptune 数据库集群应启用 IAM 数据库身份验证

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

更改已触发

海王星。8

应将 Neptune 数据库集群配置为将标签复制到快照

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

更改已触发

NetworkFirewall.3

Network Firewall 策略应至少关联一个规则组

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

NetworkFirewall.4

Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

NetworkFirewall.5

对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

NetworkFirewall.6

无状态网络防火墙规则组不应为空

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

NetworkFirewall.9

Network Firewall 防火墙应启用删除保护

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

打开搜索.1

OpenSearch 域应启用静态加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

中等

更改已触发

打开搜索。2

OpenSearch 域名应该在 VPC 中

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

更改已触发

打开搜索。3

OpenSearch 域应加密节点之间发送的数据

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

打开搜索。4

OpenSearch 应该启用记录到 CloudWatch 日志的域错误

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

打开搜索。5

OpenSearch 域应启用审核日志

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

打开搜索。6

OpenSearch 域应至少有三个数据节点

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

打开搜索。7

OpenSearch 域名应启用细粒度访问控制

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

打开搜索。8

与 OpenSearch 域的连接应使用 TLS 1.2 进行加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.1

RDS 快照应该是私有的

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

更改已触发

RDS.2

根据 PubliclyAccessible 配置,RDS 数据库实例应禁止公共访问

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

更改已触发

RDS.3

RDS 数据库实例应启用静态加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5

中等

更改已触发

RDS.4

RDS 集群快照和数据库快照应进行静态加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.5

RDS 数据库实例应配置多个可用区

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.6

应为 RDS 数据库实例配置增强监控

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

RDS.7

RDS 集群应启用删除保护

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

更改已触发

RDS.8

RDS 数据库实例应启用删除保护

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

RDS.9

应启用数据库日志记录

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.10

应为 RDS 实例配置 IAM 身份验证

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.11

RDS 实例应启用自动备份

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.12

应为 RDS 集群配置 IAM 身份验证

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.13

应启用 RDS 自动次要版本升级

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

RDS.14

亚马逊 Aurora 集群应启用回溯功能

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.15

应为多个可用区配置 RDS 数据库集群

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.16

应将 RDS 数据库集群配置为将标签复制到快照

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

更改已触发

RDS.17

应将 RDS 数据库实例配置为将标签复制到快照

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

RDS.18

RDS 实例应部署在 VPC 中

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

RDS.19

应为关键群集事件配置 RDS 事件通知订阅

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

RDS.20

应为关键数据库实例事件配置 RDS 事件通知订阅

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

RDS.21

应为关键数据库参数组事件配置 RDS 事件通知订阅

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

RDS.22

应为关键的数据库安全组事件配置 RDS 事件通知订阅

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

RDS.23

RDS 实例不应使用数据库引擎的默认端口

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

RDS.24

RDS 数据库集群应使用自定义管理员用户名

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.25

RDS 数据库实例应使用自定义管理员用户名

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.26

RDS 数据库实例应受备份计划保护

NIST SP 800-53 Rev. 5

中等

定期

RDS.27

RDS 数据库集群应进行静态加密

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower

中等

更改已触发

RDS.34

Aurora MySQL 数据库集群应将审计日志发布到 CloudWatch 日志

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

RDS.35

RDS 数据库集群应启用自动次要版本升级

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

Redshift.1

亚马逊 Redshift 集群应禁止公众访问

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

更改已触发

Redshift.2

与 Amazon Redshift 集群的连接应在传输过程中进行加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

Redshift.3

亚马逊 Redshift 集群应启用自动快照

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

Redshift.4

亚马逊 Redshift 集群应启用审计日志

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

Redshift.6

亚马逊 Redshift 应该启用自动升级到主要版本的功能

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

Redshift.7

Redshift 集群应使用增强型 VPC 路由

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

Redshift.8

Amazon Redshift 集群不应使用默认的管理员用户名

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

Redshift.9

Redshift 集群不应使用默认的数据库名称

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

redshift.10

Redshift 集群应在静态状态下进行加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

53.2 号公路

Route 53 公共托管区域应记录 DNS 查询

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

S3.1

应启用 S3 阻止公共访问设置

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIS Amazon T SP 800-53 修订版 5

中等

定期

S3.2

S3 存储桶应禁止公共读取权限

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

变更触发且定期进行

S3.3

S3 存储桶应禁止公共写入权限

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

关键的

变更触发且定期进行

S3.4

S3 存储桶应启用服务器端加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIS Amazon T SP 800-53 修订版 5

中等

更改已触发

S3.5

S3 存储桶应要求请求才能使用安全套接字层

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIS Amazon T SP 800-53 修订版 5

中等

更改已触发

S3.6

应限制授予其他存储桶Amazon Web Services 账户内策略的 S3 权限

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

S3.7

S3 存储桶应启用跨区域复制

PCI DSS v3.2.1,NIST SP 800-53 Rev. 5

更改已触发

S3.8

应在存储桶级别启用 S3 阻止公共访问设置

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5

HIGH (高)

更改已触发

S3.9

应启用 S3 存储桶服务器访问日志记录

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

S3.10

启用版本控制的 S3 存储桶应配置生命周期策略

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

S3.11

S3 存储桶应启用事件通知

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

S3.12

不应使用 S3 访问控制列表 (ACL) 来管理用户对存储桶的访问权限

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

S3.13

S3 存储桶应配置生命周期策略

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

更改已触发

S3.14

S3 存储桶应启用版本控制

NIST SP 800-53 Rev. 5

更改已触发

S3.15

应将 S3 存储桶配置为使用对象锁定

NIST SP 800-53 Rev. 5

中等

更改已触发

S3.17

S3 存储桶应使用静态加密 Amazon KMS keys

NIST SP 800-53 Rev. 5

中等

更改已触发

SageMaker.1

亚马逊 SageMaker 笔记本实例不应直接访问互联网

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

HIGH (高)

定期

SageMaker.2

SageMaker 笔记本实例应在自定义 VPC 中启动

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

SageMaker.3

用户不应拥有 SageMaker 笔记本实例的 root 访问权限

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

HIGH (高)

更改已触发

SecretsManager.1

Secrets Manager 密钥应启用自动轮换

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

SecretsManager.2

配置了自动轮换功能的 Secrets Manager 密钥应该可以成功轮换

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

SecretsManager.3

移除未使用的 Secrets Manager 密码

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

定期

SecretsManager.4

Secrets Manager 的密钥应在指定的天数内轮换

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

定期

SNS.1

应使用以下方法对 SNS 主题进行静态加密 Amazon KMS

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

SNS.2

应为发送到主题的通知消息启用传送状态记录

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

SQS.1

应对 Amazon SQS 队列进行静态加密

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

SSM.1

EC2 实例应由以下人员管理 Amazon Systems Manager

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

中等

更改已触发

SSM.2

安装补丁后,由 Systems Manager 管理的 EC2 实例的补丁合规性状态应为 “合规”

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

HIGH (高)

更改已触发

SSM.3

由 Systems Manager 管理的 EC2 实例的关联合规状态应为 “合规”

Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5

更改已触发

SSM.4

SSM 文档不应公开

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

关键的

定期

StepFunctions.1

Step Functions 状态机应该开启日志功能

Amazon 基础安全最佳实践

中等

更改已触发

WAF.1

Amazon WAF应启用经典全局 Web ACL 日志记录

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

定期

WAF.2

WAF 区域规则应至少有一个条件

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

WAF.3

WAF 区域规则组应至少有一条规则

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

WAF.4

WAF 区域性 Web ACL 应至少有一个规则或规则组

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

WAF.6

WAF 全局规则应至少包含一个条件

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

WAF.7

WAF 全局规则组应至少有一条规则

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

WAF.8

WAF 全局 Web ACL 应至少有一个规则或规则组

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发

WAF.10

WAFV2 Web ACL 应至少有一个规则或规则组

Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5

中等

更改已触发

WAF.11

Amazon WAF应启用 v2 Web ACL 日志记录

NIST SP 800-53 Rev. 5

定期

WAF.12

Amazon WAF规则应启用 CloudWatch 指标

Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5

中等

更改已触发