本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 控件参考
此控件参考提供了可用Amazon Security Hub控件的列表,以及指向有关每个控件的更多信息的链接。概述表按控件 ID 的字母顺序显示控件。该表提供了每个控件的以下信息:
-
安全控制 ID — 此 ID 适用于所有标准,并表示该控件所涉及的Amazon Web Service和资源。无论您的账户中开启还是关闭了整合控制结果,Security Hub 控制台都会显示安全控制 ID。但是,只有在您的账户中启用了合并控制结果时,Security Hub 的发现才会引用安全控制 ID。如果在您的账户中关闭了合并控制结果,则控制结果中的对照ID可能会因标准而异。有关特定于标准的控制 ID 与安全控制 ID 的映射,请参阅。整合如何影响控件 ID 和标题
如果您想为安全控制设置自动化,我们建议您根据控件 ID 而不是标题或描述进行筛选。尽管 Security Hub 偶尔会更新控件标题或描述,但控件 ID 保持不变。
控件 ID 可能会跳过数字。这些是 future 控件的占位符。
-
适用标准-表示控件适用于哪些标准。选择一个控件以查看第三方合规框架中的特定要求。
-
安全控制标题-此标题适用于所有标准。无论您的账户中开启还是关闭了整合控制结果,Security Hub 控制台都会显示安全控制标题。但是,只有在您的账户中启用了合并控制结果时,Security Hub 的发现才会引用安全控制标题。如果在您的账户中关闭了合并控制结果,则控制结果中的控制标题可能会因标准而异。有关特定于标准的控制 ID 与安全控制 ID 的映射,请参阅。整合如何影响控件 ID 和标题
-
严重性-从安全角度来看,控制的严重性确定了其重要性。有关 Security Hub 如何确定控制严重性的信息,请参阅为控制结果分配严重性。
-
计划类型-指示何时评估控件。有关更多信息,请参阅有关运行安全检查的计划:
选择控件可查看更多详细信息。控件按服务名称的字母顺序列出。
| 安全控制 ID | 安全控制标题 | 适用标准 | 严重性 | 日程表类型 |
|---|---|---|---|---|
|
应为以下人员提供安全联系信息 Amazon Web Services 账户 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
中等 |
定期 |
|
|
Amazon Web Services 账户应该是Amazon Organizations组织的一部分 |
NIST SP 800-53 Rev. 5 |
HIGH (高) |
定期 |
|
|
导入的证书和 ACM 颁发的证书应在指定的时间段后续订 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
中等 |
变更触发且定期进行 |
|
|
由 ACM 管理的 RSA 证书应使用至少 2,048 位的密钥长度 |
Amazon基础安全最佳实践 v1.0.0 |
HIGH (高) |
更改已触发 |
|
|
应启用 API Gateway REST 和 WebSocket API 执行日志记录 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
API Gateway REST API 阶段应启用Amazon X-Ray跟踪 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
API Gateway 应与 WAF Web ACL 关联 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
API Gateway REST API 缓存数据应进行静态加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
API Gateway 路由应指定授权类型 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
应为 API Gateway V2 阶段配置访问日志 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Amazon AppSync应该开启请求级和字段级日志记录 |
Amazon基础安全最佳实践 v1.0.0 |
中等 |
更改已触发 |
|
|
Amazon AppSync不应使用 API 密钥对 GraphQL API 进行身份验证 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
Athena 工作组应进行静态加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower |
中等 |
更改已触发 |
|
|
与 Classic Load Balancer 关联的自动扩展组应使用负载均衡器运行状况检查 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
Amazon EC2 Auto Scaling 组应覆盖多个可用区 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (imdsv2) |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
Auto Scaling 组启动配置的元数据响应跳跃限制不应大于 1 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
使用 Auto Scaling 群组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
Auto Scaling 组应在多个可用区域中使用多种实例类型 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
EC2 Auto Scaling 群组应使用 EC2 启动模板 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
CloudFormation 堆栈应与简单通知服务 (SNS) Service 集成 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
CloudFront 发行版应该配置一个默认的根对象 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
关键的 |
更改已触发 |
|
|
CloudFront 发行版应启用源访问身份 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
CloudFront 发行版在传输过程中应要求加密 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
CloudFront 发行版应配置源站故障转移 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
CloudFront 发行版应该启用日志记录 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
CloudFront 发行版应启用 WAF |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
CloudFront 发行版应使用自定义 SSL/TLS 证书 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
CloudFront 发行版应使用 SNI 来处理 HTTPS 请求 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
CloudFront 发行版应加密发往自定义来源的流量 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
CloudFront 发行版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
CloudFront 发行版不应指向不存在的 S3 来源 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
HIGH (高) |
定期 |
|
|
CloudFront 发行版应使用源站访问控制 |
Amazon基础安全最佳实践 v1.0.0 |
中等 |
更改已触发 |
|
|
CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 |
CIS Amazon 基金会基准 v1.2.0、CIS Amazon 基金会基准 v1.4.0、Amazon基础安全最佳实践 v1.0.0、服务管理标准:,NIST SP 800-53 修订版 5 Amazon Control Tower |
HIGH (高) |
定期 |
|
|
CloudTrail 应该启用静态加密 |
CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon |
中等 |
定期 |
|
|
CloudTrail 应该启用 |
PCI DSS v3.2.1 |
HIGH (高) |
定期 |
|
|
CloudTrail 应启用日志文件验证 |
CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon |
低 |
定期 |
|
|
CloudTrail 应将跟踪与亚马逊 CloudWatch 日志集成 |
CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon |
低 |
定期 |
|
|
确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
关键的 |
变更触发且定期进行 |
|
|
确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
“root” 用户应使用日志指标筛选器和警报 |
独联体Amazon基金会基准 v1.2.0、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0 Amazon |
低 |
定期 |
|
|
确保存在针对未经授权的 API 调用的日志指标筛选器和警报 |
独联体Amazon基金会基准测试 v1.2.0 |
低 |
定期 |
|
|
确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报 |
独联体Amazon基金会基准测试 v1.2.0 |
低 |
定期 |
|
|
确保存在针对 IAM 策略更改的日志指标筛选器和警报 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
确保存在 CloudTrail 配置更改的日志指标筛选器和警报 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
确保存在针对Amazon Web Services Management Console身份验证失败的日志指标筛选器和警报 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
确保存在日志指标筛选器和警报,用于禁用或计划删除客户创建的 CMK |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
确保存在Amazon Config配置更改的日志指标筛选器和警报 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
确保存在针对安全组更改的日志指标筛选器和警报 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
确保存在针对网络网关更改的日志指标筛选器和警报 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
确保存在针对路由表更改的日志指标筛选器和警报 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
确保存在针对 VPC 更改的日志指标筛选器和警报 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
CloudWatch 警报应为该 |
NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
CloudWatch 日志组应保留至少 1 年 |
NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
CloudWatch 应启用警报操作 |
NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
CodeBuild GitHub 或者 Bitbucket 源存储库网址应使用 OAuth |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
更改已触发 |
|
|
CodeBuild 项目环境变量不应包含明文凭证 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
更改已触发 |
|
|
CodeBuild S3 日志应加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
CodeBuild 项目环境应该有日志配置 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
CodeBuild 项目环境不应启用特权模式 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
Amazon Config应该启用 |
CIS Amazon 基金会基准 v1.2.0、Amazon基础安全最佳实践 v1.0.0、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 Amazon |
中等 |
定期 |
|
|
Database Migration Service 的复制实例不应是公共的 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
定期 |
|
|
DMS 复制实例应启用自动次要版本升级 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
目标数据库的 DMS 复制任务应启用日志记录 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
源数据库的 DMS 复制任务应启用日志记录 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
DMS 终端节点应使用 SSL |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Amazon DocumentDB 集群应进行静态加密 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
中 |
更改已触发 |
|
|
Amazon DocumentDB 集群应有足够的备份保留期 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
中 |
更改已触发 |
|
|
Amazon DocumentDB 手动集群快照不应公开 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
关键的 |
更改已触发 |
|
|
Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
亚马逊 DocumentDB 集群应启用删除保护 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
DynamoDB 表应根据需求自动扩展容量 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
DynamoDB 表应该启用恢复功能 point-in-time |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
DynamoDB 加速器 (DAX) 集群应进行静态加密 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
备份计划中应有 DynamoDB 表 |
NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
EBS 快照不应公开恢复 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
定期 |
|
|
VPC 默认安全组不应允许入站和出站流量 |
CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon |
HIGH (高) |
更改已触发 |
|
|
附加的 EBS 卷应在静态状态下进行加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应在指定时间段后移除已停止的 EC2 实例 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
应在所有 VPC 中启用 VPC 流量记录 |
CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon |
中等 |
定期 |
|
|
应启用 EBS 默认加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5 |
中等 |
定期 |
|
|
EC2 实例应使用实例元数据服务版本 2 (imdsv2) |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
EC2 实例不应有公有 IPv4 地址 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
应将 Amazon EC2 配置为使用为亚马逊 EC2 服务创建的 VPC 终端节点 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
应移除未使用的 EC2 弹性公网IP |
PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
安全组不应允许从 0.0.0.0/0 进入端口 22 |
CIS F Amazon oundations Benchmark v1.2.0、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
确保没有安全组允许从 0.0.0.0/0 进入端口 3389 |
独联体Amazon基金会基准测试 v1.2.0 |
HIGH (高) |
更改已触发 |
|
|
EC2 子网不应自动分配公有 IP 地址 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应删除未使用的网络访问控制列表 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
EC2 实例不应使用多个 ENI |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
安全组应只允许授权端口不受限制的传入流量 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
安全组不应允许不受限制地访问高风险端口 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
关键的 |
更改已触发 |
|
|
Amazon站点到站点 VPN 连接的两个 VPN 隧道都应处于开启状态 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应移除未使用的 EC2 安全组 |
服务管理标准:Amazon Control Tower |
中等 |
定期 |
|
|
EC2 传输网关不应自动接受 VPC 连接请求 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
不应使用 EC2 半虚拟化实例类型 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
EC2 启动模板不应为网络接口分配公有 IP |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
EBS 卷应在备份计划中 |
NIST SP 800-53 Rev. 5 |
低 |
定期 |
|
|
EC2 实例应位于 VPC 内部 |
NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
ECR 私有存储库应配置图像扫描 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
定期 |
|
|
ECR 私有仓库应配置标签不可变性 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
ECR 存储库应至少配置一个生命周期策略 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Amazon ECS 任务定义应具有安全的联网模式和用户定义。 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
ECS 服务不应自动分配公有 IP 地址 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
ECS 任务定义不应共享主机的进程命名空间 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
ECS 容器应以非特权身份运行 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
应将 ECS 容器限制为对根文件系统的只读访问权限 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
密钥不应作为容器环境变量传递 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
ECS 任务定义应具有日志配置 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
ECS Fargate 服务应在最新的 Fargate 平台版本上运行 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
ECS 集群应使用容器见解 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应将 Elastic 文件系统配置为使用以下方法加密静态文件数据 Amazon KMS |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
Amazon EFS 卷应包含在备份计划中 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
EFS 接入点应强制使用根目录 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
EFS 接入点应强制使用用户身份 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
EKS 集群终端节点不应公开访问 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
HIGH (高) |
定期 |
|
|
EKS 集群应在支持的 Kubernetes 版本上运行 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
ElastiCache Redis 集群应启用自动备份 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
HIGH (高) |
定期 |
|
|
ElastiCache 对于 Redis 缓存集群,应启用自动次要版本升级 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
HIGH (高) |
定期 |
|
|
ElastiCache 复制组应启用自动故障切换 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
ElastiCache 复制组应该已 encryption-at-rest 启用 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
ElastiCache 复制组应该已 encryption-in-transit 启用 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
ElastiCache 早期 Redis 版本的复制组应启用 Redis 身份验证 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
ElastiCache 群集不应使用默认子网组 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
HIGH (高) |
定期 |
|
|
Elastic Beanstalk 环境应启用增强版运行状况报告 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
应启用 Elastic Beanstalk 托管平台更新 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
Elastic Beanstalk 应该将日志流式传输到 CloudWatch |
Amazon基础安全最佳实践 v1.0.0 |
HIGH (高) |
更改已触发 |
|
|
Application Load Balancer 应配置为将所有 HTTP 请求重定向到 HTTPS |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
中等 |
定期 |
|
|
带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 Amazon Certificate Manager |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应将 Classic Load Balancer 侦听器配置为 HTTPS 或 TLS 终止 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应将 Application Load Balancer 配置为删除 http 标头 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应启用应用程序和经典负载均衡器日志记录 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应启用 Application Load Balancer 删除保护 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
经典负载均衡器应启用连接耗尽功能 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
带有 SSL 侦听器的经典负载均衡器应使用具有强配置的预定义安全策略 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
传统负载均衡器应启用跨区域负载均衡 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Classic Load Balancer 应跨越多个可用区 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Application Load Balancer 应配置为防御性或最严格的不同步缓解模式 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应用程序、网络和网关负载均衡器应跨越多个可用区 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Classic Load Balancer 应配置为防御或最严格的不同步缓解模式 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应用程序负载均衡器应与 Amazon WAF Web ACL 关联 |
NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Amazon 弹性 MapReduce 集群主节点不应有公有 IP 地址 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
定期 |
|
|
Elasticsearch 域名应启用静态加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
中等 |
定期 |
|
|
Elasticsearch 域名应位于 VPC 中 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
定期 |
|
|
Elasticsearch 域应加密节点之间发送的数据 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应启用 Elasticsearch 域名错误 CloudWatch 日志记录到日志 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Elasticsearch 域名应该启用审核日志 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Elasticsearch 域名应至少有三个数据节点 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应将 Elasticsearch 域配置为至少三个专用的主节点 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
与 Elasticsearch 域的连接应使用 TLS 1.2 进行加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
EventBridge 自定义事件总线应附加基于资源的策略 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
EventBridge 全局端点应启用事件复制 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
GuardDuty 应该启用 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
HIGH (高) |
定期 |
|
|
IAM 策略不应允许完全的 “*” 管理权限 |
CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon |
HIGH (高) |
更改已触发 |
|
|
IAM 用户不应附加 IAM 策略 |
CIS Amazon Foundations Benchmark v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
IAM 用户的访问密钥应每 90 天或更短时间轮换一次 |
CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Amazon 基金会基准 v1.4.0,NIST SP 8 Amazon Control Tower 00-53 修订版 5 |
中等 |
定期 |
|
|
IAM 根用户访问密钥不应存在 |
CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon |
关键的 |
定期 |
|
|
应为所有拥有控制台密码的 IAM 用户启用 MFA |
CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Amazon 基金会基准 v1.4.0,NIST SP 8 Amazon Control Tower 00-53 修订版 5 |
中等 |
定期 |
|
|
应为根用户启用硬件 MFA |
CIS Amazon 基金会基准 v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon |
关键的 |
定期 |
|
|
IAM 用户的密码策略应具有很强的配置 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
应移除未使用的 IAM 用户证书 |
CIS Amazon Foundations Benchmark v1.2.0,Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
应为根用户启用虚拟 MFA |
CIS Amazon 基金会基准 v1.2.0、PCI DSS v3.2.1、CIS Amazon 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 |
关键的 |
定期 |
|
|
IAM 用户的密码策略应具有很强的配置 |
PCI DSS v3.2.1 |
中等 |
定期 |
|
|
确保 IAM 密码策略至少需要一个大写字母 |
独联体Amazon基金会基准测试 v1.2.0 |
中等 |
定期 |
|
|
确保 IAM 密码策略至少需要一个小写字母 |
独联体Amazon基金会基准测试 v1.2.0 |
中等 |
定期 |
|
|
确保 IAM 密码策略至少需要一个符号 |
独联体Amazon基金会基准测试 v1.2.0 |
中等 |
定期 |
|
|
确保 IAM 密码策略至少需要一个数字 |
独联体Amazon基金会基准测试 v1.2.0 |
中等 |
定期 |
|
|
确保 IAM 密码策略要求的最小密码长度为 14 或更大 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
中等 |
定期 |
|
|
确保 IAM 密码策略防止密码重复使用 |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
确保 IAM 密码策略在 90 天或更短时间内使密码过期 |
独联体Amazon基金会基准测试 v1.2.0 |
低 |
定期 |
|
|
确保已创建支持角色来管理事件 Amazon Web Services Support |
独联体Amazon基金会基准 v1.2.0,独联体Amazon基金会基准 v1.4.0 |
低 |
定期 |
|
|
应为所有 IAM 用户启用 MFA |
PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
避免使用 root 用户 |
独联体Amazon基金会基准测试 v1.2.0 |
低 |
定期 |
|
|
您创建的 IAM 客户托管策略不应允许对服务执行通配符操作 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
应移除在 45 天内未使用的 IAM 用户证书 |
独联体Amazon基金会基准测试 v1.4.0 |
中等 |
定期 |
|
|
Kinesis 直播应在静态状态下进行加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
IAM 委托人不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Amazon KMS keys不应无意中删除 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
关键的 |
更改已触发 |
|
|
Amazon KMS key应该启用旋转 |
CIS Amazon 基金会基准 v1.2.0、PCI DSS v3.2.1、CIS Amazon 基金会基准 v1.4.0、NIST SP 800-53 修订版 5 |
中等 |
定期 |
|
|
Lambda 函数策略应禁止公众访问 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
更改已触发 |
|
|
Lambda 函数应使用支持的运行时 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Lambda 函数应位于 VPC 中 |
PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
VPC Lambda 函数应在多个可用区中运行 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
MSK 集群应在代理节点之间传输时进行加密 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
ActiveMQ 代理应使用主动/备用部署模式 |
NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
RabbitMQ 代理应该使用集群部署模式 |
NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
应对 Neptune 数据库集群进行静态加密 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
中等 |
定期 |
|
|
Neptune 数据库集群应将审核日志发布到日志 CloudWatch |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
中等 |
定期 |
|
|
Neptune 数据库集群快照不应公开 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
关键的 |
更改已触发 |
|
|
Neptune 数据库集群应启用删除保护 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
低 |
更改已触发 |
|
|
Neptune 数据库集群应启用自动备份 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
中 |
更改已触发 |
|
|
应对 Neptune 数据库集群快照进行静态加密 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
中 |
更改已触发 |
|
|
Neptune 数据库集群应启用 IAM 数据库身份验证 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
中 |
更改已触发 |
|
|
应将 Neptune 数据库集群配置为将标签复制到快照 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
低 |
更改已触发 |
|
|
Network Firewall 策略应至少关联一个规则组 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
无状态网络防火墙规则组不应为空 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Network Firewall 防火墙应启用删除保护 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
OpenSearch 域应启用静态加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
OpenSearch 域名应该在 VPC 中 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
更改已触发 |
|
|
OpenSearch 域应加密节点之间发送的数据 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
OpenSearch 应该启用记录到 CloudWatch 日志的域错误 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
OpenSearch 域应启用审核日志 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
OpenSearch 域应至少有三个数据节点 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
OpenSearch 域名应启用细粒度访问控制 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
与 OpenSearch 域的连接应使用 TLS 1.2 进行加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
RDS 快照应该是私有的 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
更改已触发 |
|
|
根据 PubliclyAccessible 配置,RDS 数据库实例应禁止公共访问 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
更改已触发 |
|
|
RDS 数据库实例应启用静态加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5 |
中等 |
更改已触发 |
|
|
RDS 集群快照和数据库快照应进行静态加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
RDS 数据库实例应配置多个可用区 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应为 RDS 数据库实例配置增强监控 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
RDS 集群应启用删除保护 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
RDS 数据库实例应启用删除保护 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
应启用数据库日志记录 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应为 RDS 实例配置 IAM 身份验证 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
RDS 实例应启用自动备份 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应为 RDS 集群配置 IAM 身份验证 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应启用 RDS 自动次要版本升级 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
亚马逊 Aurora 集群应启用回溯功能 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应为多个可用区配置 RDS 数据库集群 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应将 RDS 数据库集群配置为将标签复制到快照 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
应将 RDS 数据库实例配置为将标签复制到快照 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
RDS 实例应部署在 VPC 中 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
应为关键群集事件配置 RDS 事件通知订阅 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
应为关键数据库实例事件配置 RDS 事件通知订阅 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
应为关键数据库参数组事件配置 RDS 事件通知订阅 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
应为关键的数据库安全组事件配置 RDS 事件通知订阅 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
RDS 实例不应使用数据库引擎的默认端口 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
RDS 数据库集群应使用自定义管理员用户名 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
RDS 数据库实例应使用自定义管理员用户名 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
RDS 数据库实例应受备份计划保护 |
NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
RDS 数据库集群应进行静态加密 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准:Amazon Control Tower |
中等 |
更改已触发 |
|
|
Aurora MySQL 数据库集群应将审计日志发布到 CloudWatch 日志 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
RDS 数据库集群应启用自动次要版本升级 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
亚马逊 Redshift 集群应禁止公众访问 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
更改已触发 |
|
|
与 Amazon Redshift 集群的连接应在传输过程中进行加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
亚马逊 Redshift 集群应启用自动快照 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
亚马逊 Redshift 集群应启用审计日志 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
亚马逊 Redshift 应该启用自动升级到主要版本的功能 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Redshift 集群应使用增强型 VPC 路由 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Amazon Redshift 集群不应使用默认的管理员用户名 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Redshift 集群不应使用默认的数据库名称 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Redshift 集群应在静态状态下进行加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Route 53 公共托管区域应记录 DNS 查询 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应启用 S3 阻止公共访问设置 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIS Amazon T SP 800-53 修订版 5 |
中等 |
定期 |
|
|
S3 存储桶应禁止公共读取权限 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
变更触发且定期进行 |
|
|
S3 存储桶应禁止公共写入权限 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
关键的 |
变更触发且定期进行 |
|
|
S3 存储桶应启用服务器端加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIS Amazon T SP 800-53 修订版 5 |
中等 |
更改已触发 |
|
|
S3 存储桶应要求请求才能使用安全套接字层 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0Amazon Control Tower,NIS Amazon T SP 800-53 修订版 5 |
中等 |
更改已触发 |
|
|
应限制授予其他存储桶Amazon Web Services 账户内策略的 S3 权限 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
S3 存储桶应启用跨区域复制 |
PCI DSS v3.2.1,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
应在存储桶级别启用 S3 阻止公共访问设置 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,CIS Foundations Benchmark v1.4.0Amazon Control Tower,NIST SP 8 Amazon 00-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
应启用 S3 存储桶服务器访问日志记录 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
启用版本控制的 S3 存储桶应配置生命周期策略 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
S3 存储桶应启用事件通知 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
不应使用 S3 访问控制列表 (ACL) 来管理用户对存储桶的访问权限 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
S3 存储桶应配置生命周期策略 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
S3 存储桶应启用版本控制 |
NIST SP 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
应将 S3 存储桶配置为使用对象锁定 |
NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
S3 存储桶应使用静态加密 Amazon KMS keys |
NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
亚马逊 SageMaker 笔记本实例不应直接访问互联网 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
HIGH (高) |
定期 |
|
|
SageMaker 笔记本实例应在自定义 VPC 中启动 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
用户不应拥有 SageMaker 笔记本实例的 root 访问权限 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
Secrets Manager 密钥应启用自动轮换 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
配置了自动轮换功能的 Secrets Manager 密钥应该可以成功轮换 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
移除未使用的 Secrets Manager 密码 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
Secrets Manager 的密钥应在指定的天数内轮换 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
应使用以下方法对 SNS 主题进行静态加密 Amazon KMS |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应为发送到主题的通知消息启用传送状态记录 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
应对 Amazon SQS 队列进行静态加密 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
EC2 实例应由以下人员管理 Amazon Systems Manager |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
安装补丁后,由 Systems Manager 管理的 EC2 实例的补丁合规性状态应为 “合规” |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
HIGH (高) |
更改已触发 |
|
|
由 Systems Manager 管理的 EC2 实例的关联合规状态应为 “合规” |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 |
低 |
更改已触发 |
|
|
SSM 文档不应公开 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
关键的 |
定期 |
|
|
Step Functions 状态机应该开启日志功能 |
Amazon 基础安全最佳实践 |
中等 |
更改已触发 |
|
|
Amazon WAF应启用经典全局 Web ACL 日志记录 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
定期 |
|
|
WAF 区域规则应至少有一个条件 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
WAF 区域规则组应至少有一条规则 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
WAF 区域性 Web ACL 应至少有一个规则或规则组 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
WAF 全局规则应至少包含一个条件 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
WAF 全局规则组应至少有一条规则 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
WAF 全局 Web ACL 应至少有一个规则或规则组 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
WAFV2 Web ACL 应至少有一个规则或规则组 |
Amazon基础安全最佳实践 v1.0.0,服务管理标准:Amazon Control Tower,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
|
|
Amazon WAF应启用 v2 Web ACL 日志记录 |
NIST SP 800-53 Rev. 5 |
低 |
定期 |
|
|
Amazon WAF规则应启用 CloudWatch 指标 |
Amazon基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 |
中等 |
更改已触发 |
主题
- Amazon Web Services 账户控件
- Amazon Certificate Manager控件
- 亚马逊 API Gateway 控件
- Amazon AppSync控件
- 亚马逊 Athena 控制
- Amazon CloudFormation控件
- 亚马逊 CloudFront 控制
- Amazon CloudTrail控件
- 亚马逊 CloudWatch 控制
- Amazon CodeBuild控件
- Amazon Config控件
- Amazon Database Migration Service控件
- 亚马逊 DocumentDB 控件
- 亚马逊 DynamoDB 控件
- 亚马逊弹性容器注册表控件
- 亚马逊 ECS 控件
- 亚马逊弹性计算云控件
- 亚马逊 EC2 Auto Scaling 控件
- 亚马逊 EC2 Systems Manager 控件
- 亚马逊 Elastic File System 控件
- 亚马逊 Elastic Kubernetes Service 控件
- 亚马逊 ElastiCache 控制
- Amazon Elastic Beanstalk控件
- 弹性负载平衡控件
- 亚马逊 EMR 控件
- 弹性搜索控件
- 亚马逊 EventBridge 控制
- 亚马逊 GuardDuty 控制
- Amazon Identity and Access Management控件
- 亚马逊 Kinesis 控件
- Amazon Key Management Service控件
- Amazon Lambda控件
- 亚马逊 MSK 控件
- 亚马逊 MQ 控件
- 亚马逊 Neptune 控件
- Amazon Network Firewall控件
- 亚马逊 OpenSearch 服务控制
- 亚马逊关系数据库 Service 控件
- 亚马逊 Redshift 控件
- 亚马逊 53 号公路控制
- 亚马逊简单存储服务控件
- 亚马逊 SageMaker 控制
- Amazon Secrets Manager控件
- 亚马逊简单通知服务控件
- 亚马逊简单队列服务控件
- Amazon Step Functions控件
- Amazon WAF控件