本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 控件参考
此控件参考提供了可用 Amazon Security Hub 控件的列表,以及指向有关每个控件的更多信息的链接。概览表按控件 ID 按字母顺序显示控件。此处仅包含 Security Hub 正在使用的控件。已停用的控件不在此列表中。该表提供了每个控件的以下信息:
-
安全控制 ID — 此 ID 适用于所有标准,并表示该控件所涉及的 Amazon Web Services 服务 和资源。无论您的账户中开启还是关闭了整合控制结果 IDs,Security Hub 控制台都会显示安全控制。但是, IDs 只有在您的账户中启用了合并控制结果时,Security Hub 的发现才会引用安全控制。如果在您的账户中关闭了合并控制结果,则控制结果中的某些控制措施 IDs 会因标准而异。有关特定标准的控制与安全控制 IDs 的映射 IDs,请参阅。整合如何影响控制权 IDs 和所有权
如果您想为安全控件设置自动化,我们建议您根据控件 ID 而不是标题或描述进行筛选。尽管 Security Hub 偶尔会更新控件标题或描述,但控制 IDs 保持不变。
控件 IDs 可能会跳过数字。这些是未来控件的占位符。
-
适用标准——指明控件适用于哪些标准。选择一个控件来审查第三方合规框架中的特定要求。
-
安全控件标题——此标题适用于各类标准。无论账户中开启还是关闭了整合的控件调查发现,Security Hub 控制台都会显示安全控件标题。但是,只有在账户中启用了整合的控件调查发现时,Security Hub 的调查发现才会引用安全控件标题。如果在账户中关闭了整合的控件调查发现,则控件调查发现中的某些控件标题可能会因标准而异。有关特定标准的控制与安全控制 IDs 的映射 IDs,请参阅。整合如何影响控制权 IDs 和所有权
-
严重性——从安全角度来看,控制的严重性确定了其重要性。有关 Security Hub 如何确定控制严重性的信息,请参阅 控制结果的严重性级别。
-
计划类型——指明何时评估控件。有关更多信息,请参阅 有关运行安全检查的计划。
-
支持自定义参数-指示控件是否支持一个或多个参数的自定义值。选择一个控件以查看参数的详细信息。有关更多信息,请参阅 了解 Security Hub 中的控件参数。
选择控件以查看其他详细信息。控件按安全控制 ID 的字母顺序列出。
| 安全控件 ID | 安全控件标题 | 适用标准 | 严重性 | 支持自定义参数 | 计划类型 |
|---|---|---|---|---|---|
| Account.1 | 应为以下人员提供安全联系信息 Amazon Web Services 账户 | CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 Rev. 5 Amazon Control Tower | 中 | 定期 | |
| Account.2 | Amazon Web Services 账户 应该是 Amazon Organizations 组织的一部分 | NIST SP 800-53 Rev. 5 | HIGH(高) | |
定期 |
| ACM.1 | 导入的证书和 ACM 颁发的证书应在指定时间段后更新 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 修订版 5 Amazon Control Tower,PCI DSS v4.0.1 | 中 | |
变更已触发且定期进行 |
| ACM.2 | 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| ACM.3 | 应标记 ACM 证书 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| APIGateway1。 | 应启用 API Gateway REST 和 WebSocket API 执行日志记录 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| APIGateway.2 | API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| APIGateway.3 | API Gateway REST API 阶段应启用 Amazon X-Ray 跟踪 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| APIGateway.4 | API Gateway 应与 WAF Web ACL 关联 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| APIGateway.5 | API Gateway REST API 缓存数据应静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| APIGateway.8 | API Gateway 路由应指定授权类型 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| APIGateway.9 | 应为 API Gateway V2 阶段配置访问日志记录 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 修订版 5 Amazon Control Tower,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| AppConfig1。 | Amazon AppConfig 应用程序应该被标记 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| AppConfig.2 | Amazon AppConfig 应标记配置文件 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| AppConfig.3 | Amazon AppConfig 应该给环境加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| AppConfig.4 | Amazon AppConfig 应标记扩展关联 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| AppFlow1。 | 应标记 Amazon AppFlow 流程 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| AppRunner1。 | 应标记 App Runner 服务 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| AppRunner.2 | 应标记 App Runner VPC 连接器 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| AppSync1。 | Amazon AppSync API 缓存应在静态时加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| AppSync.2 | Amazon AppSync 应该启用字段级日志记录 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| AppSync.4 | Amazon AppSync APIs 应标记 GraphQL | Amazon 资源标签标准 | 低 | 变更已触发 | |
| AppSync.5 | Amazon AppSync APIs 不应使用 API 密钥对 GraphQL 进行身份验证 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| AppSync.6 | Amazon AppSync API 缓存应在传输过程中进行加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| Athena.2 | 应标记 Athena 数据目录 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Athena.3 | 应标记 Athena 工作组 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Athena.4 | Athena 工作组应启用日志记录 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| AutoScaling1。 | 与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 | 低 | 变更已触发 | |
| AutoScaling.2 | Amazon A EC2 uto Scaling 组应覆盖多个可用区域 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| AutoScaling.3 | Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2) | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 修订版 5 Amazon Control Tower,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| Autoscaling.5 | 使用 Auto Scaling 群组启动配置启动的亚马逊 EC2 实例不应具有公有 IP 地址 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 修订版 5 Amazon Control Tower,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| AutoScaling.6 | 自动扩缩组组应在多个可用区中使用多种实例类型 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| AutoScaling.9 | EC2 Auto Scaling 群组应使用 EC2 启动模板 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| AutoScaling.10 | EC2 应标记 Auto Scaling 群组 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Backup.1 | Amazon Backup 恢复点应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Backup.2 | Amazon Backup 应标记恢复点 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Backup.3 | Amazon Backup 应给保管库加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Backup.4 | Amazon Backup 报告计划应加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Backup.5 | Amazon Backup 应标记备份计划 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Batch.1 | Amazon Batch 应标记作业队列 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Batch.2 | Amazon Batch 应标记调度策略 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Batch.3 | Amazon Batch 应标记计算环境 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Batch.1 | Amazon Batch 应标记作业队列 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| CloudFormation.2 | CloudFormation 堆栈应该加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| CloudFront1。 | CloudFront 发行版应配置默认根对象 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| CloudFront.3 | CloudFront 发行版在传输过程中应要求加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.4 | CloudFront 发行版应配置源站故障转移 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| CloudFront.5 | CloudFront 发行版应该启用日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.6 | CloudFront 发行版应启用 WAF | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.7 | CloudFront 发行版应使用自定义 SSL/TLS 证书 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| CloudFront.8 | CloudFront 发行版应使用 SNI 来处理 HTTPS 请求 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| CloudFront.9 | CloudFront 发行版应加密发往自定义来源的流量 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.10 | CloudFront 发行版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.12 | CloudFront 发行版不应指向不存在的 S3 来源 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| CloudFront.13 | CloudFront 发行版应使用源站访问控制 | Amazon 基础安全最佳实践 v1.0.0 | 中 | |
变更已触发 |
| CloudFront.14 | CloudFront 应该给发行版加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| CloudTrail1。 | CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,NIS Amazon T SP 800-53 修订版 5 Amazon Control Tower | HIGH(高) | 定期 | |
| CloudTrail.2 | CloudTrail 应该启用静态加密 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.2.0、CIS 基金会基准 v1.4.0 Amazon 基础安全最佳实践 v1.0.0、NIS Amazon T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务管理标准: Amazon Control Tower | 中 | |
定期 |
| CloudTrail.3 | 至少应启用一条 CloudTrail 跟踪 | PCI DSS v3.2.1,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| CloudTrail.4 | CloudTrail 应启用日志文件验证 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:、PCI DSS v3.2.1、PCI DSS v4.0.1、CIS 基金会基准 v1.4.0 Amazon Control Tower、NIST SP 800-53 Rev. 5 Amazon | 低 | |
定期 |
| CloudTrail.5 | CloudTrail 跟踪应与 Amazon CloudWatch 日志集成 | CIS Amazon 基金会基准 v1.2.0、CIS Amazon 基金会基准 v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务管理标准: Amazon Control Tower | 低 | |
定期 |
| CloudTrail.6 | 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 | 独联体 Amazon 基金会基准 v1.2.0、CIS Amazon 基金会基准测试 v1.4.0、PCI DSS v4.0.1 | 关键 | |
变更已触发且定期进行 |
| CloudTrail.7 | 确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 | 独联体 Amazon 基金会基准 v1.2.0、独联体 Amazon 基金会基准 v1.4.0、独联体基金会基准 v3.0.0、PCI Amazon DSS v4.0.1 | 低 | |
定期 |
| CloudTrail.9 | CloudTrail 路径应该被标记 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| CloudWatch1。 | 应具有有关“根”用户使用的日志指标筛选条件和警报 | 独联体 Amazon 基金会基准 v1.2.0、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0 Amazon | 低 | |
定期 |
| CloudWatch.2 | 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报 | 独联体 Amazon 基金会基准测试 v1.2.0 | 低 | |
定期 |
| CloudWatch.3 | 确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报 | 独联体 Amazon 基金会基准测试 v1.2.0 | 低 | |
定期 |
| CloudWatch.4 | 确保存在关于 IAM 策略更改的日志指标筛选条件和警报 | 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.5 | 确保存在 CloudTrail 配置更改的日志指标筛选器和警报 | 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.6 | 确保存在针对 Amazon Web Services Management Console 身份验证失败的日志指标筛选器和警报 | 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.7 | 确保存在日志指标筛选器和警报,用于禁用或计划删除已创建的客户 CMKs | 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.8 | 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 | 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.9 | 确保存在 Amazon Config 配置更改的日志指标筛选器和警报 | 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.10 | 确保存在关于安全组更改的日志指标筛选条件和警报 | 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.11 | 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报 | 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.12 | 确保存在关于网络网关更改的日志指标筛选条件和警报 | 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.13 | 确保存在关于路由表更改的日志指标筛选条件和警报 | 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.14 | 确保存在关于 VPC 更改的日志指标筛选条件和警报 | 独联体 Amazon 基金会基准 v1.2.0,独联体 Amazon 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.15 | CloudWatch 警报应配置指定的操作 | NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| CloudWatch.16 | CloudWatch 日志组应在指定的时间段内保留 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| CloudWatch.17 | CloudWatch 应启用警报操作 | NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| CodeArtifact1。 | CodeArtifact 存储库应该被标记 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| CodeBuild1。 | CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭据 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 关键 | 变更已触发 | |
| CodeBuild.2 | CodeBuild 项目环境变量不应包含明文凭证 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 关键 | |
变更已触发 |
| CodeBuild.3 | CodeBuild 应对 S3 日志进行加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准:, Amazon Control Tower | 低 | |
变更已触发 |
| CodeBuild.4 | CodeBuild 项目环境应该有日志配置 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| CodeBuild.7 | CodeBuild 报告组导出应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| CodeGuruProfiler1。 | CodeGuru 应标记 Profiler 分析组 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| CodeGuruReviewer1。 | CodeGuru 应标记 Reviewer 存储库关联 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Cognito1 | Cognito 用户池应激活威胁防护,并使用全功能强制模式进行标准身份验证 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| Config.1 | Amazon Config 应该启用并使用服务相关角色进行资源记录 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、NIS Amazon T SP 800-53 修订版 5、PCI DSS v3.2.1 | 关键 | 定期 | |
| Connect.1 | 应标记 Amazon Connect 客户档案对象类型 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Connect.2 | Amazon Connect 实例应启用 CloudWatch 日志记录 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| DataFirehose1。 | 应静态加密 Firehose 传输流 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| DataSync1。 | DataSync 任务应该启用日志记录 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| Detective.1 | 应标记 Detective 行为图 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| DMS.1 | Database Migration Service 复制实例不应公开 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 关键 | |
定期 |
| DMS.2 | 应标记 DMS 证书 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| DMS.3 | 应标记 DMS 事件订阅 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| DMS.4 | 应标记 DMS 复制实例 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| DMS.5 | 应标记 DMS 复制子网组 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| DMS.6 | DMS 复制实例应启用自动次要版本升级 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.7 | 目标数据库的 DMS 复制任务应启用日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.8 | 源数据库的 DMS 复制任务应启用日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.9 | DMS 端点应使用 SSL | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.10 | Neptune 数据库的 DMS 端点应启用 IAM 授权 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DMS.11 | MongoDB 的 DMS 端点应启用身份验证机制 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DMS.12 | Redis OSS 的 DMS 端点应启用 TLS | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DocumentDB.1 | Amazon DocumentDB 集群应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| DocumentDB.2 | Amazon DocumentDB 集群应有足够的备份保留期 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| DocumentDB.3 | Amazon DocumentDB 手动集群快照不应公开 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| DocumentDB.4 | Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DocumentDB.5 | Amazon DocumentDB 集群应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| DynamoDB.1 | DynamoDB 表应根据需求自动扩展容量 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| DynamoDB.2 | DynamoDB 表应该启用恢复功能 point-in-time | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| DynamoDB.3 | DynamoDB Accelerator (DAX) 集群应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| DynamoDB.4 | 备份计划中应有 DynamoDB 表 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| DynamoDB.5 | 应标记 DynamoDB 表 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| DynamodB.6 | DynamoDB 表应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| DynamoDB.7 | 应在传输过程中加密 DynamoDB Accelerator 集群 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 定期 | |
| EC21。 | 不应公开还原 EBS 快照 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 | 关键 | |
定期 |
| EC2.2 | VPC 默认安全组不应允许入站或出站流量 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0 Amazon Control Tower、NIST SP 800-53 修订版 5 Amazon | HIGH(高) | |
变更已触发 |
| EC2.3 | 挂载的 EBS 卷应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EC2.4 | 应在指定的时间段后移除已停止的 EC2 实例 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| EC2.6 | 应全部启用 VPC 流量记录 VPCs | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0 Amazon Control Tower、NIST SP 800-53 修订版 5 Amazon | 中 | |
定期 |
| EC2.7 | EBS 默认加密应该为已启用。 | CIS Amazon 基金会基准 v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,CIS Amazon 基金会基准 v1.4.0,NIST SP 800-53 修订版 5 | 中 | |
定期 |
| EC2.8 | EC2 实例应使用实例元数据服务版本 2 (IMDSv2) | CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
变更已触发 |
| EC2.9 | EC2 实例不应有公共 IPv4 地址 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| EC2.10 | EC2 应将亚马逊配置为使用为亚马逊 EC2 服务创建的 VPC 终端节点 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| EC2.12 | EC2 EIPs 应移除未使用的内容 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| EC2.13 | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 | CIS F Amazon oundations Benchmark v1.2.0、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5 | HIGH(高) | 变更已触发且定期进行 | |
| EC2.14 | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 | CIS Amazon 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | HIGH(高) | 变更已触发且定期进行 | |
| EC2.15 | EC2 子网不应自动分配公有 IP 地址 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准:, Amazon Control Tower | 中 | |
变更已触发 |
| EC2.16 | 应删除未使用的网络访问控制列表 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准:, Amazon Control Tower | 低 | |
变更已触发 |
| EC2.17 | EC2 实例不应使用多个 ENIs | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| EC2.18 | 安全组应仅允许授权端口不受限制的传入流量 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| EC2.19 | 安全组不应允许无限制地访问高风险端口 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 关键 | 变更已触发且定期进行 | |
| EC2.20 | VPN 连接的两个 Amazon Site-to-Site VPN 隧道都应处于开启状态 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EC2.21 | 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准: Amazon Control Tower,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| EC2.22 | 应移除未使用的 EC2 安全组 | 服务管理标准: Amazon Control Tower | 中 | 定期 | |
| EC2.23 | EC2 中转网关不应自动接受 VPC 连接请求 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| EC2.24 | EC2 不应使用半虚拟化实例类型 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EC2.25 | EC2 启动模板不应将公共分配 IPs 给网络接口 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
变更已触发 |
| EC2.28 | EBS 卷应包含在备份计划中 | NIST SP 800-53 Rev. 5 | 低 | |
定期 |
| EC2.33 | EC2 应标记公交网关附件 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.34 | EC2 应标记公交网关路由表 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.35 | EC2 应标记网络接口 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.36 | EC2 应标记客户网关 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.37 | EC2 应标记弹性 IP 地址 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.38 | EC2 应该给实例加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.39 | EC2 应该给互联网网关加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.40 | EC2 应标记 NAT 网关 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.41 | EC2 网络 ACLs 应该被标记 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.42 | EC2 应该对路由表进行标记 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.43 | EC2 应该给安全组加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.44 | EC2 应该给子网加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.45 | EC2 应标记卷 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.46 | VPCs 应该给亚马逊贴上标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.47 | 应标记 Amazon VPC 端点服务 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.48 | 应标记 Amazon VPC 流日志 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.49 | 应标记 Amazon VPC 对等连接 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.50 | EC2 应标记 VPN 网关 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.51 | EC2 客户端 VPN 端点应启用客户端连接日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| EC2.52 | EC2 应为中转网关加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EC2.53 | EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口 | CIS Amazon 基金会基准测试 v3.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| EC2.54 | EC2 安全组不应允许从:: /0 进入远程服务器管理端口 | CIS Amazon 基金会基准测试 v3.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| EC2.55 | VPCs 应使用 ECR API 的接口端点进行配置 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.56 | VPCs 应该使用 Docker 注册表的接口端点进行配置 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.57 | VPCs 应使用 Systems Manager 的接口端点进行配置 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.58 | VPCs 应为 Systems Manager 事件管理器联系人配置接口端点 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.60 | VPCs 应使用 Systems Manager 事件管理器的接口端点进行配置 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.170 | EC2 启动模板应使用实例元数据服务版本 2 (IMDSv2) | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 低 | 变更已触发 | |
| EC2.171 | EC2 VPN 连接应启用日志记录 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| EC2.172 | EC2 VPC 阻止公共访问设置应阻止互联网网关流量 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| ECR.1 | ECR 私有存储库应配置图像扫描 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
定期 |
| ECR.2 | ECR 私有存储库应配置标签不可变性 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ECR.3 | ECR 存储库应至少配置一项生命周期策略 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ECR.4 | 应标记 ECR 公有存储库 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| ECR.5 | ECR 存储库应使用客户托管进行加密 Amazon KMS keys | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| ECS.1 | Amazon ECS 任务定义应具有安全网络模式和用户定义。 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.2 | ECS 服务不应自动分配公共 IP 地址 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
变更已触发 |
| ECS.3 | ECS 任务定义不应共享主机的进程命名空间 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.4 | ECS 容器应以非特权身份运行 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.5 | ECS 容器应限制为仅对根文件系统具有只读访问权限。 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.8 | 密钥不应作为容器环境变量传递 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
变更已触发 |
| ECS.9 | ECS 任务定义应具有日志配置 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.10 | ECS Fargate 服务应在最新的 Fargate 平台版本上运行 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| ECS.12 | ECS 集群应该使用容器详情 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ECS.13 | 应标记 ECS 服务 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| ECS.14 | 应标记 ECS 集群 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| ECS.15 | 应标记 ECS 任务定义 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| ECS.16 | ECS 任务集不应自动分配公有 IP 地址 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| EFS.1 | 弹性文件系统应配置为使用以下方法加密静态文件数据 Amazon KMS | CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 Rev. 5 Amazon Control Tower | 中 | |
定期 |
| EFS.2 | Amazon EFS 卷应包含在备份计划中 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| EFS.3 | EFS 接入点应强制使用根目录 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EFS.4 | EFS 接入点应强制使用用户身份 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| EFS.5 | 应标记 EFS 接入点 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EFS.6 | EFS 挂载目标不应与公有子网关联 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 定期 | |
| EFS.7 | EFS 文件系统应启用自动备份 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| EFS.8 | 应静态加密 EFS 文件系统 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| EKS.1 | EKS 集群端点不应公开访问 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| EKS.2 | EKS 集群应在受支持的 Kubernetes 版本上运行 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
变更已触发 |
| EKS.3 | EKS 集群应使用加密的 Kubernetes 密钥 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 定期 | |
| EKS.6 | 应标记 EKS 集群 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EKS.7 | 应标记 EKS 身份提供者配置 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EKS.8 | EKS 集群应启用审核日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| ElastiCache1。 | ElastiCache (Redis OSS) 集群应启用自动备份 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
定期 |
| ElastiCache.2 | ElastiCache 集群应启用自动次要版本升级 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| ElastiCache.3 | ElastiCache 复制组应启用自动故障切换 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| ElastiCache.4 | ElastiCache 复制组应为 encrypted-at-rest | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| ElastiCache.5 | ElastiCache 复制组应为 encrypted-in-transit | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
定期 |
| ElastiCache.6 | ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
定期 |
| ElastiCache.7 | ElastiCache 群集不应使用默认子网组 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
定期 |
| ElasticBeanstalk1。 | Elastic Beanstalk 环境应启用增强型运行状况报告 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| ElasticBeanstalk.2 | 应启用 Elastic Beanstalk 托管平台更新 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
变更已触发 |
| ElasticBeanstalk.3 | Elastic Beanstalk 应该将日志流式传输到 CloudWatch | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| ELB.1 | 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 | 中 | |
定期 |
| ELB.2 | 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由 Amazon Certificate Manager 提供的证书 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.3 | 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| ELB.4 | 应将应用程序负载均衡器配置为删除 http 标头 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| ELB.5 | 应启用应用程序和经典负载均衡器日志记录 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.6 | 应用程序、网关和网络负载均衡器应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| ELB.7 | 经典负载均衡器应启用连接耗尽功能 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.8 | 具有 SSL 侦听器的经典负载均衡器应使用具有强大配置的预定义安全策略 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| ELB.9 | 经典负载均衡器应启用跨区域负载均衡器 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.10 | 经典负载均衡器应跨越多个可用区 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.12 | 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| ELB.13 | 应用程序、网络和网关负载均衡器应跨越多个可用区 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.14 | 经典负载均衡器应配置为防御性或最严格的异步缓解模式 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| ELB.16 | 应用程序负载均衡器应与 Amazon WAF Web ACL 关联 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.17 | 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EMR.1 | Amazon EMR 集群主节点不应有公有 IP 地址 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
定期 |
| EMR.2 | 应启用 Amazon EMR 屏蔽公共访问权限设置 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | |
定期 |
| ES.1 | Elasticsearch 域应启用静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 | 中 | |
定期 |
| ES.2 | Elasticsearch 域名不可供公共访问 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,PCI DSS v4.0.1,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 关键 | |
定期 |
| ES.3 | Elasticsearch 域应加密节点之间发送的数据 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准:, Amazon Control Tower | 中 | |
变更已触发 |
| ES.4 | 应启用 Elasticsearch 域名错误 CloudWatch 日志记录到日志 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ES.5 | Elasticsearch 域名应该启用审核日志 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| ES.6 | Elasticsearch 域应拥有至少三个数据节点 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ES.7 | Elasticsearch 域应配置至少三个专用主节点 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ES.8 | 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | 变更已触发 | |
| ES.9 | 应标记 Elasticsearch 域 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EventBridge.2 | EventBridge 应标记活动总线 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| EventBridge.3 | EventBridge 自定义事件总线应附加基于资源的策略 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| EventBridge.4 | EventBridge 全局端点应启用事件复制 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| FraudDetector1。 | 应标记 Amazon Fraud Detector 实体类型 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| FraudDetector.2 | 应标记 Amazon Fraud Detector 标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| FraudDetector.3 | 应标记 Amazon Fraud Detector 的结果 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| FraudDetector.4 | 应标记 Amazon Fraud Detector 变量 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| FSx1。 | FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
定期 |
| FSx.2 | FSx 对于 Lustre 文件系统,应配置为将标签复制到备份 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | 定期 | |
| Glue.1 | Amazon Glue 应该给工作加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Glue.3 | Amazon Glue 机器学习转换应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| 胶水。4 | Amazon Glue Spark 作业应在支持的版本上运行 Amazon Glue | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| GlobalAccelerator1。 | 应标记 Global Accelerator 加速器 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| GuardDuty1。 | GuardDuty 应该启用 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
定期 |
| GuardDuty.2 | GuardDuty 应该给过滤器加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| GuardDuty.3 | GuardDuty IPSets 应该被标记 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| GuardDuty.4 | GuardDuty 应给探测器加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| GuardDuty.5 | GuardDuty 应启用 EKS 审核日志监控 | Amazon 基础安全最佳实践 v1.0.0 | HIGH(高) | 定期 | |
| GuardDuty.6 | GuardDuty 应启用 Lambda 保护 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.7 | GuardDuty 应启用 EKS 运行时监控 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | 定期 | |
| GuardDuty.8 | GuardDuty EC2 应启用恶意软件防护 | Amazon 基础安全最佳实践 v1.0.0 | HIGH(高) | 定期 | |
| GuardDuty.9 | GuardDuty 应启用 RDS 保护 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.10 | GuardDuty 应启用 S3 保护 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.11 | GuardDuty 应启用 “运行时监控” | Amazon 基础安全最佳实践 v1.0.0 | HIGH(高) | 定期 | |
| GuardDuty.12 | GuardDuty 应启用 ECS 运行时监控 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 定期 | |
| GuardDuty.13 | GuardDuty EC2 应启用 “运行时监控” | Amazon 基础安全最佳实践 v1.0.0 | 中 | 定期 | |
| IAM.1 | IAM policy 不应允许完全“*”管理权限 | CIS Amazon 基金会基准 v1.2.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 Amazon Control Tower,NIST SP 800-53 修订版 5 Amazon | HIGH(高) | |
变更已触发 |
| IAM.2 | IAM 用户不应附加 IAM policy | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准: Amazon Control Tower,PCI DSS v3.2.1,NIST SP 800-53 修订版 5 | 低 | |
变更已触发 |
| IAM.3 | IAM 用户访问密钥应每 90 天或更短时间轮换一次 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、NIS Amazon T SP 800-53 修订版 5、PCI DSS v4.0.1、服务管理标准: Amazon Control Tower | 中 | |
定期 |
| IAM.4 | 不应存在 IAM 根用户访问密钥 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,PCI DSS v3.2.1,NIS Amazon T SP 800-53 修订版 5 Amazon Control Tower | 关键 | |
定期 |
| IAM.5 | 应为拥有控制台密码的所有 IAM 用户启用 MFA | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、NIS Amazon T SP 800-53 修订版 5、PCI DSS v4.0.1、服务管理标准: Amazon Control Tower | 中 | |
定期 |
| IAM.6 | 应该为根用户启用硬件 MFA | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 Amazon 基础安全最佳实践 v1.0.0、NIS Amazon T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务管理标准: Amazon Control Tower | 关键 | |
定期 |
| IAM.7 | IAM 用户的密码策略应具有可靠的配置 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
定期 |
| IAM.8 | 应移除未使用的 IAM 用户凭证 | CIS Amazon Foundations Benchmark v1.2.0, Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
定期 |
| IAM.9 | 应为根用户启用 MFA | CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIS Amazon T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 关键 | |
定期 |
| IAM.10 | IAM 用户的密码策略应具有可靠的配置 | PCI DSS v3.2.1,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.11 | 确保 IAM 密码策略要求包含至少一个大写字母 | CIS Amazon 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.12 | 确保 IAM 密码策略要求包含至少一个小写字母 | CIS Amazon 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.13 | 确保 IAM 密码策略要求包含至少一个符号 | CIS Amazon 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.14 | 确保 IAM 密码策略要求包含至少一个数字 | CIS Amazon 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.15 | 确保 IAM 密码策略要求最短密码长度不低于 14 | 独联体 Amazon 基金会基准 v3.0.0、独联体 Amazon 基金会基准 v1.4.0、独联体基金会基准 v1.2.0 Amazon | 中 | |
定期 |
| IAM.16 | 确保 IAM 密码策略阻止重复使用密码 | 独联体 Amazon 基金会基准 v3.0.0、独联体 Amazon 基金会基准 v1.4.0、独联体基金会基准 v1.2.0、PCI Amazon DSS v4.0.1 | 低 | |
定期 |
| IAM.17 | 确保 IAM 密码策略使密码在 90 天或更短时间内失效 | CIS Amazon 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 低 | |
定期 |
| IAM.18 | 确保已创建支持角色来管理事件 Amazon Web Services 支持 | 独联体 Amazon 基金会基准 v3.0.0、独联体 Amazon 基金会基准 v1.4.0、独联体基金会基准 v1.2.0、PCI Amazon DSS v4.0.1 | 低 | |
定期 |
| IAM.19 | 应该为所有 IAM 用户启用 MFA | NIST SP 800-53 Rev. 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.21 | 您创建的 IAM 客户管理型策略不应允许对服务执行通配符操作 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| IAM.22 | 应移除在 45 天内未使用的 IAM 用户凭证 | 独联体 Amazon 基金会基准 v3.0.0,独联体 Amazon 基金会基准 v1.4.0 | 中 | |
定期 |
| IAM.23 | 应标记 IAM Access Analyzer 分析器 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| IAM.24 | 应标记 IAM 角色 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| IAM.25 | 应标记 IAM 用户 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| IAM.26 | 应移除 IAM 中管理的过期 SSL/TLS 证书 | 独联体 Amazon 基金会基准测试 v3.0.0 | 中 | 定期 | |
| IAM.27 | IAM 身份不应附加 AWSCloudShellFullAccess 策略 | 独联体 Amazon 基金会基准测试 v3.0.0 | 中 | 变更已触发 | |
| IAM.28 | 应启用 IAM Access Analyzer 外部访问分析器 | 独联体 Amazon 基金会基准测试 v3.0.0 | HIGH(高) | 定期 | |
| Inspector.1 | 应启用 Amazon Inspector EC2 扫描 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.2 | 应启用 Amazon Inspector ECR 扫描 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.3 | 应启用 Amazon Inspector Lambda 代码扫描 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.4 | 应启用 Amazon Inspector Lambda 标准扫描 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| IoT.1 | Amazon IoT Device Defender 应标记安全配置文件 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| IoT.2 | Amazon IoT Core 应标记缓解措施 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| IoT.3 | Amazon IoT Core 应给尺寸加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| IoT.4 | Amazon IoT Core 应给授权者加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| IoT.5 | Amazon IoT Core 应标记角色别名 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| IoT.6 | Amazon IoT Core 策略应该被标记 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TEvents .1 | Amazon IoT Events 应标记输入 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TEvents 2 | Amazon IoT Events 应标记探测器型号 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TEvents .3 | Amazon IoT Events 应标记警报型号 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.1 | Amazon IoT SiteWise 应为资产模型加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.2 | Amazon IoT SiteWise 仪表板应该被标记 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.3 | Amazon IoT SiteWise 应该给网关加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.4 | Amazon IoT SiteWise 应该给门户加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.5 | Amazon IoT SiteWise 应该给项目加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.1 | Amazon 应标记 IoT TwinMaker 同步作业 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.2 | Amazon 应标 TwinMaker 记 IoT 工作空间 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.3 | Amazon 应标记物联网 TwinMaker 场景 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.4 | Amazon 应标记物联网 TwinMaker 实体 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TWireless .1 | Amazon 应标记 IoT Wireless 组播组 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TWireless 2 | Amazon 应标记 IoT Wireless 服务配置文件 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Io TWireless .3 | Amazon 应标记 IoT Wireless FUOTA 任务 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| IVS.1 | 应标记 IVS 播放密钥对 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| IVS.2 | 应标记 IVS 录制配置 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| IVS.3 | 应标记 IVS 频道 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| 密钥空间。1 | 应标记 Amazon Keyspaces 密钥空间 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Kinesis.1 | Kinesis 直播应在静态状态下进行加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Kinesis.2 | 应标记 Kinesis 流 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Kinesis.3 | Kinesis 流应有足够的数据留存期 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| KMS.1 | IAM 客户管理型策略不应允许对所有 KMS 密钥执行解密操作 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| KMS.2 | IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| KMS.3 | Amazon KMS keys 不应无意中删除 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 关键 | |
变更已触发 |
| KMS.4 | Amazon KMS key 应该启用旋转 | CIS Amazon 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS Amazon 基金会基准 v1.2.0、NIS Amazon T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 中 | |
定期 |
| KMS.5 | KMS 密钥不应可公开访问 | Amazon 基础安全最佳实践 v1.0.0 | 关键 | 变更已触发 | |
| Lambda.1 | Lambda 函数策略应禁止公共访问 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 关键 | |
变更已触发 |
| Lambda.2 | Lambda 函数应使用受支持的运行时系统 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| Lambda.3 | Lambda 函数应位于 VPC 中 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| Lambda.5 | VPC Lambda 函数应在多个可用区内运行 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Lambda.6 | 应标记 Lambda 函数 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Macie.1 | 应启用 Amazon Macie | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| Macie.2 | 应启用 Macie 敏感数据自动发现 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | 定期 | |
| MSK.1 | MSK 集群应在代理节点之间传输时进行加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| MSK.2 | MSK 集群应配置增强监控 | NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| MSK.3 | 应在传输过程中加密 MSK Connect 连接器 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| MQ.2 | ActiveMQ 代理应将审核日志流式传输到 CloudWatch | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| MQ.3 | Amazon MQ 代理应启用次要版本自动升级 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | 变更已触发 | |
| MQ.4 | 应标记 Amazon MQ 代理 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| MQ.5 | ActiveMQ 代理应使用主动/备用部署模式 | NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 低 | |
变更已触发 |
| MQ.6 | RabbitMQ 代理应该使用集群部署模式 | NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 低 | |
变更已触发 |
| Neptune.1 | 应对 Neptune 数据库集群进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| Neptune.2 | Neptune 数据库集群应将审核日志发布到日志 CloudWatch | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| Neptune.3 | Neptune 数据库集群快照不应公开 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 关键 | |
变更已触发 |
| Neptune.4 | Neptune 数据库集群应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 低 | |
变更已触发 |
| Neptune.5 | Neptune 数据库集群应启用自动备份 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| Neptune.6 | 应对 Neptune 数据库集群快照进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| Neptune.7 | Neptune 数据库集群应启用 IAM 数据库身份验证 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| Neptune.8 | 应将 Neptune 数据库集群配置为将标签复制到快照 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 低 | |
变更已触发 |
| Neptune.9 | Neptune 数据库集群应部署在多个可用区中 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall1。 | Network Firewall 防火墙应跨多个可用区部署 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.2 | 应启用 Network Firewall 日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| NetworkFirewall.3 | Network Firewall 策略应至少关联一个规则组 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.4 | Network Firewall 策略的默认无状态操作应为丢弃或转发完整数据包 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.5 | Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.6 | 无状态网络防火墙规则组不应为空 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.7 | 应标记 Network Firewall 防火墙 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| NetworkFirewall.8 | 应标记 Network Firewall 防火墙策略 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| NetworkFirewall.9 | Network Firewall 防火墙应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.10 | Network Firewall 防火墙应启用子网更改保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| Opensearch.1 | OpenSearch 域应启用静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.2 | OpenSearch 域名不应公开访问 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 | 关键 | |
变更已触发 |
| Opensearch.3 | OpenSearch 域应加密节点之间发送的数据 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.4 | OpenSearch 应该启用记录到 CloudWatch 日志的域错误 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.5 | OpenSearch 域应启用审核日志 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| Opensearch.6 | OpenSearch 域应至少有三个数据节点 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.7 | OpenSearch 域名应启用细粒度访问控制 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| Opensearch.8 | 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| Opensearch.9 | OpenSearch 域名应该加标签 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Opensearch.10 | OpenSearch 域名应安装最新的软件更新 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| Opensearch.11 | OpenSearch 域应至少有三个专用的主节点 | NIST SP 800-53 Rev. 5 | 低 | 定期 | |
| PCA.1 | Amazon Private CA 应禁用根证书颁发机构 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
定期 |
| PCA.2 | Amazon 应标记私有 CA 证书颁发机构 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| RDS.1 | RDS 快照应为私有快照 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 | 关键 | |
变更已触发 |
| RDS.2 | 根据 PubliclyAccessible 配置,RDS 数据库实例应禁止公共访问 | CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 Rev. 5,PCI DSS v3.2.1 Amazon Control Tower,PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| RDS.3 | RDS 数据库实例应启用静态加密 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、服务管理标准:,NIST SP 800-53 修订版 5 Amazon Control Tower | 中 | |
变更已触发 |
| RDS.4 | RDS 集群快照和数据库快照应进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.5 | RDS 数据库实例应配置多个可用区 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.6 | 应为 RDS 数据库实例配置增强监控 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.7 | RDS 集群应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.8 | RDS 数据库实例应启用删除保护 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.9 | RDS 数据库实例应将日志发布到 CloudWatch 日志 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| RDS.10 | 应为 RDS 实例配置 IAM 身份验证 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.11 | RDS 实例应启用自动备份 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.12 | 应为 RDS 集群配置 IAM 身份验证 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.13 | 应启用 RDS 自动次要版本升级 | CIS Amazon Foundations Benchmark v3.0.0, Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
变更已触发 |
| RDS.14 | Amazon Aurora 集群应启用回溯功能 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.15 | 应为多个可用区配置 RDS 数据库集群 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.16 | 应将 RDS 数据库集群配置为将标签复制到快照 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.17 | 应将 RDS 数据库实例配置为将标签复制到快照 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.18 | RDS 实例应部署在 VPC 中 | 服务管理标准: Amazon Control Tower | HIGH(高) | |
变更已触发 |
| RDS.19 | 应为关键集群事件配置现有 RDS 事件通知订阅 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.20 | 应为关键数据库实例事件配置现有 RDS 事件通知订阅 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 低 | |
变更已触发 |
| RDS.21 | 应为关键数据库参数组事件配置 RDS 事件通知订阅 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 低 | |
变更已触发 |
| RDS.22 | 应为关键数据库安全组事件配置 RDS 事件通知订阅 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 低 | |
变更已触发 |
| RDS.23 | RDS 实例不应使用数据库引擎的默认端口 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.24 | RDS 数据库集群应使用自定义管理员用户名 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.25 | RDS 数据库实例应使用自定义管理员用户名 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| RDS.26 | RDS 数据库实例应受备份计划保护 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| RDS.27 | 应对 RDS 数据库集群进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| RDS.28 | 应标记 RDS 数据库集群 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| RDS.29 | 应标记 RDS 数据库集群快照 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| RDS.30 | 应标记 RDS 数据库实例 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| RDS.31 | 应标记 RDS 数据库安全组 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| RDS.32 | 应标记 RDS 数据库快照 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| RDS.33 | 应标记 RDS 数据库子网组 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| RDS.34 | Aurora MySQL 数据库集群应将审计日志发布到 CloudWatch 日志 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.35 | RDS 数据库集群应启用自动次要版本升级 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.36 | 适用于 PostgreSQL 的 RDS 数据库实例应将日志发布到日志 CloudWatch | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| RDS.37 | Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| RDS.38 | 适用于 PostgreSQL 数据库实例的 RDS 在传输过程中应进行加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 定期 | |
| RDS.39 | 适用于 MySQL 的 RDS 数据库实例应在传输过程中进行加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 定期 | |
| RDS.40 | 适用于 SQL Server 数据库实例的 RDS 应将日志发布到 CloudWatch 日志 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| Redshift.1 | Amazon Redshift 集群应禁止公共访问 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 关键 | |
变更已触发 |
| Redshift.2 | 与 Amazon Redshift 集群的连接应在传输过程中加密 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| Redshift.3 | Amazon Redshift 集群应启用自动快照 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.4 | Amazon Redshift 集群应启用审核日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| Redshift.6 | Amazon Redshift 应该启用自动升级到主要版本的功能 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.7 | Redshift 集群应使用增强型 VPC 路由 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.8 | Amazon Redshift 集群不应使用默认管理员用户名 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.9 | Redshift 集群不应使用默认数据库名称 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.10 | Redshift 集群应静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.11 | 应标记 Redshift 集群 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Redshift.12 | 应标记 Redshift 事件通知订阅 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Redshift.13 | 应标记 Redshift 集群快照 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Redshift.14 | 应标记 Redshift 集群子网组 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Redshift.15 | Redshift 安全组应仅允许从受限来源到集群端口的入口流量 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Redshift.16 | Redshift 集群子网组应包含来自多个可用区的子网 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| Route53.1 | 应标记 Route53 运行状况检查 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Route53.2 | Route 53 公共托管区域应记录 DNS 查询 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| S3.1 | S3 通用存储桶应启用屏蔽公共访问权限设置 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务管理标准: Amazon Control Tower | 中 | 定期 | |
| S3.2 | S3 通用存储桶应阻止公共读取访问权限 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 | 关键 | 变更已触发且定期进行 | |
| S3.3 | S3 通用存储桶应阻止公共写入访问权限 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 | 关键 | 变更已触发且定期进行 | |
| S3.5 | S3 通用存储桶应需要请求才能使用 SSL | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务管理标准: Amazon Control Tower | 中 | 变更已触发 | |
| S3.6 | S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | 变更已触发 | |
| S3.7 | S3 通用存储桶应使用跨区域复制 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.8 | S3 通用存储桶应屏蔽公共访问权限 | CIS Amazon 基金会基准 v3.0.0、CIS Amazon 基金会基准 v1.4.0、 Amazon 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5、PCI DSS v4.0.1、服务管理标准: Amazon Control Tower | HIGH(高) | 变更已触发 | |
| S3.9 | S3 通用存储桶应启用服务器访问日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | 变更已触发 | |
| S3.10 | 启用版本控制的 S3 通用存储桶应具有生命周期配置 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| S3.11 | S3 存储桶应启用事件通知 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| S3.12 | ACLs 不应用于管理用户对 S3 通用存储桶的访问权限 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| S3.13 | S3 通用存储桶应具有生命周期配置 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.14 | S3 通用存储桶应启用版本控制 | NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.15 | S3 通用存储桶应启用对象锁定 | NIST SP 800-53 Rev. 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| S3.17 | S3 通用存储桶应使用静态加密 Amazon KMS keys | NIST SP 800-53 Rev. 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | 变更已触发 | |
| S3.19 | S3 接入点应启用屏蔽公共访问权限设置 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | 变更已触发 | |
| S3.20 | S3 通用存储桶应启用 MFA 删除功能 | 独联体 Amazon 基金会基准 v3.0.0,独联体 Amazon 基金会基准 v1.4.0,NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.22 | S3 通用存储桶应记录对象级写入事件 | CIS Amazon 基金会基准测试 v3.0.0,PCI DSS v4.0.1 | 中 | 定期 | |
| S3.23 | S3 通用存储桶应记录对象级读取事件 | CIS Amazon 基金会基准测试 v3.0.0,PCI DSS v4.0.1 | 中 | 定期 | |
| S3.24 | S3 多区域接入点应启用屏蔽公共访问权限设置 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| SageMaker1。 | Amazon SageMaker AI 笔记本实例不应直接访问互联网 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
定期 |
| SageMaker.2 | SageMaker 笔记本实例应在自定义 VPC 中启动 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| SageMaker.3 | 用户不应拥有 SageMaker 笔记本实例的 root 访问权限 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| SageMaker.4 | SageMaker 端点生产变体的初始实例数应大于 1 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| SageMaker.5 | SageMaker 模型应该屏蔽入站流量 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| SecretsManager1。 | Secrets Manager 密钥应启用自动轮换 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| SecretsManager.2 | 配置自动轮换的 Secrets Manager 密钥应成功轮换 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
变更已触发 |
| SecretsManager.3 | 移除未使用 Secrets Manager 密钥 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: Amazon Control Tower | 中 | |
定期 |
| SecretsManager.4 | Secrets Manager 密钥应在指定的天数内轮换 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 中 | |
定期 |
| SecretsManager.5 | 应标记 Secrets Manager 密钥 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| ServiceCatalog1。 | Service Catalog 产品组合只能在 Amazon 组织内部共享 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | 定期 | |
| SES.1 | 应标记 SES 联系人名单 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| SES.2 | 应标记 SES 配置集 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| SNS.1 | SNS 主题应使用以下方法进行静态加密 Amazon KMS | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| SNS.3 | 应标记 SNS 主题 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| SNS.4 | SNS 主题访问策略不应允许公共访问 | Amazon 基础安全最佳实践 v1.0.0 | HIGH(高) | 变更已触发 | |
| SQS.1 | 应对 Amazon SQS 队列进行静态加密 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| SQS.2 | 应标记 SQS 队列 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| SQS.3 | SQS 队列访问策略不应允许公共访问 | Amazon 基础安全最佳实践 v1.0.0 | HIGH(高) | 变更已触发 | |
| SSM.1 | EC2 实例应由以下人员管理 Amazon Systems Manager | Amazon 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S Amazon Control Tower P 800-53 Rev. 5 | 中 | |
变更已触发 |
| SSM.2 | EC2 安装补丁后,由 Systems Manager 管理的实例的补丁合规性状态应为 “合规” | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | HIGH(高) | |
变更已触发 |
| SSM.3 | EC2 由 Systems Manager 管理的实例的关联合规性状态应为 “合规” | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: Amazon Control Tower | 低 | |
变更已触发 |
| SSM.4 | SSM 文档不应公开 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 关键 | |
定期 |
| StepFunctions1。 | Step Functions 状态机应该开启日志功能 | Amazon 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| StepFunctions.2 | 应标记 Step Functions 活动 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Transfer.1 | 应标记 Transfer Family 工作流程 | Amazon 资源标签标准 | 低 | 变更已触发 | |
| Transfer.2 | Transfer Family 服务器不应使用 FTP 协议进行端点连接 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 定期 | |
| 转账。3 | Transfer Family 连接器应启用日志功能 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| WAF.1 | Amazon 应启用 WAF 经典版全球 Web ACL 日志记录 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
定期 |
| WAF.2 | Amazon WAF 经典区域规则应至少有一个条件 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.3 | Amazon WAF 经典区域规则组应至少有一条规则 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.4 | Amazon WAF 经典区域网站 ACLs 应至少有一个规则或规则组 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.6 | Amazon WAF 经典版全局规则应至少有一个条件 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.7 | Amazon WAF 经典版全局规则组应至少有一条规则 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.8 | Amazon WAF Classic 全球网站 ACLs 应至少有一个规则或规则组 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.10 | Amazon WAF Web ACLs 应至少有一个规则或规则组 | Amazon 基础安全最佳实践 v1.0.0,服务管理标准: Amazon Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.11 | Amazon 应启用 WAF 网络 ACL 日志记录 | NIST SP 800-53 Rev. 5,PCI DSS v4.0.1 | 低 | |
定期 |
| WAF.12 | Amazon WAF 规则应启用 CloudWatch 指标 | Amazon 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WorkSpaces1。 | WorkSpaces 用户卷应在静态时加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| WorkSpaces.2 | WorkSpaces 根卷应在静态时加密 | Amazon 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 |
主题
- Security Hub 控件适用于 Amazon Web Services 账户
- 适用于 API Gateway 的 Security Hub 控件
- Security Hub 控件适用于 Amazon AppConfig
- 适用于亚马逊的 Security Hub 控件 AppFlow
- Security Hub 控件适用于 Amazon App Runner
- Security Hub 控件适用于 Amazon AppSync
- 适用于 Athena 的 Security Hub 控件
- Security Hub 控件适用于 Amazon Backup
- Security Hub 控件适用于 Amazon Batch
- 适用于 ACM 的 Security Hub 控件
- Security Hub 控件适用于 Amazon CloudFormation
- Security Hub 控件适用于 CloudFront
- Security Hub 控件适用于 CloudTrail
- Security Hub 控件适用于 CloudWatch
- Security Hub 控件适用于 CodeArtifact
- Security Hub 控件适用于 CodeBuild
- Amazon P CodeGuru rofiler 的 Security Hub 控件
- Amazon CodeGuru Reviewer 的 Security Hub 控件
- 亚马逊 Cognito 的 Security Hub 控件
- Security Hub 控件适用于 Amazon Config
- Amazon Connect 的 Security Hub 控件
- 适用于 Amazon Data Firehose 的 Security Hub 控件
- Security Hub 控件适用于 DataSync
- 适用于 Detective 的 Security Hub 控件
- Security Hub 控件适用于 Amazon DMS
- 适用于 Amazon DocumentDB 的 Security Hub 控件
- DynamoDB 的 Security Hub 控件
- 适用于亚马逊的 Security Hub 控件 EC2
- 适用于 Auto Scaling 的 Security Hub 控件
- 适用于 Amazon ECR 的 Security Hub 控件
- 适用于 Amazon ECS 的 Security Hub 控件
- 适用于 Amazon EFS 的 Security Hub 控件
- 适用于 Amazon EKS 的 Security Hub 控件
- Security Hub 控件适用于 ElastiCache
- 适用于 Elastic Beanstalk 的 Security Hub 控件
- 适用于弹性负载均衡的 Security Hub 控件
- Security Hub for Elasticsearch
- 适用于 Amazon EMR 的 Security Hub 控件
- Security Hub 控件适用于 EventBridge
- Amazon Fraud Detector 的 Security Hub 控件
- 适用于亚马逊的 Security Hub 控件 FSx
- 适用于 Global Acccelerator 的 Security Hub 控件
- Security Hub 控件适用于 Amazon Glue
- Security Hub 控件适用于 GuardDuty
- 适用于 IAM 的 Security Hub 控件
- 适用于 Amazon Inspector 的 Security Hub 控件
- Security Hub 控件适用于 Amazon IoT
- Amazon IoT Events 的 Security Hub 控件
- 适用于 Amazon 物联网的 Security Hub 控件 SiteWise
- 适用于 Amazon 物联网的 Security Hub 控件 TwinMaker
- 适用于 Amazon IoT Wireless 的 Security Hub 控件
- 亚马逊 IVS 的 Security Hub 控件
- Amazon Keyspaces 的 Security Hub 控件
- 适用于 Kinesis 的 Security Hub 控件
- Security Hub 控件适用于 Amazon KMS
- 适用于 Lambda 的 Security Hub 控件
- 适用于 Macie 的 Security Hub 控件
- 适用于 Amazon MSK 的 Security Hub
- 适用于 Amazon MQ 的 Security Hub 控件
- 适用于 Neptune 的 Security Hub 控件
- 适用于 Network Firewall 的 Security Hub 控件
- Security Hub OpenSearch 服务控件
- Security Hub 控件适用于 Amazon Private CA
- 适用于 Amazon RDS 的 Security Hub 控件
- 适用于 Amazon Redshift 的 Security Hub 控件
- 适用于 Route 53 的 Security Hub 控件
- 适用于 Amazon S3 的 Security Hub 控件
- 适用于 SageMaker AI 的 Security Hub 控件
- 适用于 Secrets Manager 的 Security Hub 控件
- 适用于 Service Catalog 的 Security Hub 控件
- 适用于 Amazon SES 的 Security Hub 控件
- 适用于 Amazon SNS 的 Security Hub 控件
- 适用于 Amazon SQS 的 Security Hub 控件
- 适用于 Step Functions 的 Security Hub 控件
- 适用于 Systems Manager 的 Security Hub 控件
- 适用于 Transfer Family 的 Security Hub 控件
- Security Hub 控件适用于 Amazon WAF
- Security Hub 控件适用于 WorkSpaces