Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

Security Hub CSPM 中的 CIS Amazon 基金会基准

Center for Internet Security（CIS）Amazon 基金会基准是一组 Amazon 的安全配置最佳实践。这些行业公认的最佳实践为您提供了清晰、分步的实施和评估程序。从操作系统到云服务和网络设备，此基准测试中的控件可帮助您保护组织使用的特定系统。

Amazon Security Hub CSPM 支持 CIS Amazon 基金会基准 5.0.0、1.4.0 和 1.2.0 版本。本页列出了每个版本支持的安全控件。它还提供了版本的比较。

CIS Amazon Foundations Benchmark 5.0.0 版本

Security Hub CSPM 支持 CIS Amazon 基金会基准 5.0.0 (v5.0.0) 版本。Security Hub CSPM 已满足 CIS 安全软件认证的要求，并已根据以下 CIS 基准获得 CIS 安全软件认证：

适用于 CIS Amazon 基金会基准 5.0.0 版本的控件

[Account.1] 应为 Amazon Web Services 账户 提供安全联系人信息。

[CloudTrail.1] 应启用 CloudTrail 并配置至少一个包含读取和写入管理事件的多区域跟踪

[CloudTrail.2] CloudTrail 应启用静态加密

[CloudTrail.4] 应启用 CloudTrail 日志文件验证

[CloudTrail.7] 确保在 CloudTrail S3 存储桶上启用 S3 存储桶访问日志记录

[Config.1] 应启用 Amazon Config 并使用服务相关角色进行资源记录

[EC2.2] VPC 默认安全组不应允许入站或出站流量

[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录

[EC2.7] 应启用 EBS 默认加密

[EC2.8] EC2 实例应使用实例元数据服务版本 2 (IMDSv2)

[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389

[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口

[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口

[EFS.1] Elastic File System 应配置为使用 Amazon KMS 加密文件静态数据

[EFS.8] 应对 EFS 文件系统进行静态加密

[IAM.2] IAM 用户不应附加 IAM policy

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[IAM.4] 不应存在 IAM 根用户访问密钥

[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.9] 应为根用户启用 MFA

[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14

[IAM.16] 确保 IAM 密码策略阻止重复使用密码

[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持 的事务

[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证

[IAM.26] 应删除 IAM 中管理的过期 SSL/TLS 证书

[IAM.27] IAM 身份不应附加 AWSCloudShellFullAccess 策略

[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器

[KMS.4] 应启用 Amazon KMS 密钥轮换

[RDS.2] RDS 数据库实例应禁止公共访问，这取决于 PubliclyAccessible 配置

[RDS.3] RDS 数据库实例应启用静态加密

[RDS.5] RDS 数据库实例应配置多个可用区

[RDS.13] 应启用 RDS 自动次要版本升级

[RDS.15] 应为多个可用区配置 RDS 数据库集群

[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置

[S3.5] S3 通用存储桶应需要请求才能使用 SSL

[S3.8] S3 通用存储桶应屏蔽公共访问权限

[S3.20] S3 通用存储桶应启用 MFA 删除

[S3.22] S3 通用存储桶应记录对象级写入事件

[S3.23] S3 通用存储桶应记录对象级读取事件

CIS Amazon Foundations Benchmark 3.0.0 版本

Security Hub CSPM 支持 CIS Amazon 基金会基准 3.0.0 (v3.0.0) 版本。Security Hub CSPM 已满足 CIS 安全软件认证的要求，并已根据以下 CIS 基准获得 CIS 安全软件认证：

适用于 CIS Amazon 基金会基准 v3.0.0 版本的控件

[Account.1] 应为 Amazon Web Services 账户 提供安全联系人信息。

[CloudTrail.1] 应启用 CloudTrail 并配置至少一个包含读取和写入管理事件的多区域跟踪

[CloudTrail.2] CloudTrail 应启用静态加密

[CloudTrail.4] 应启用 CloudTrail 日志文件验证

[CloudTrail.7] 确保在 CloudTrail S3 存储桶上启用 S3 存储桶访问日志记录

[Config.1] 应启用 Amazon Config 并使用服务相关角色进行资源记录

[EC2.2] VPC 默认安全组不应允许入站或出站流量

[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录

[EC2.7] 应启用 EBS 默认加密

[EC2.8] EC2 实例应使用实例元数据服务版本 2 (IMDSv2)

[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389

[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口

[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口

[EFS.1] Elastic File System 应配置为使用 Amazon KMS 加密文件静态数据

[IAM.2] IAM 用户不应附加 IAM policy

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[IAM.4] 不应存在 IAM 根用户访问密钥

[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.9] 应为根用户启用 MFA

[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14

[IAM.16] 确保 IAM 密码策略阻止重复使用密码

[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持 的事务

[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证

[IAM.26] 应删除 IAM 中管理的过期 SSL/TLS 证书

[IAM.27] IAM 身份不应附加 AWSCloudShellFullAccess 策略

[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器

[KMS.4] 应启用 Amazon KMS 密钥轮换

[RDS.2] RDS 数据库实例应禁止公共访问，这取决于 PubliclyAccessible 配置

[RDS.3] RDS 数据库实例应启用静态加密

[RDS.13] 应启用 RDS 自动次要版本升级

[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置

[S3.5] S3 通用存储桶应需要请求才能使用 SSL

[S3.8] S3 通用存储桶应屏蔽公共访问权限

[S3.20] S3 通用存储桶应启用 MFA 删除

[S3.22] S3 通用存储桶应记录对象级写入事件

[S3.23] S3 通用存储桶应记录对象级读取事件

CIS Amazon Foundations Benchmark 1.4.0 版本

Security Hub CSPM 支持 CIS Amazon 基金会基准 1.4.0 (v1.4.0) 版本。

适用于 CIS Amazon 基金会基准 v1.4.0 版本的控件

[CloudTrail.1] 应启用 CloudTrail 并配置至少一个包含读取和写入管理事件的多区域跟踪

[CloudTrail.2] CloudTrail 应启用静态加密

[CloudTrail.4] 应启用 CloudTrail 日志文件验证

[CloudTrail.5] CloudTrail 轨迹应与 Amazon CloudWatch Logs 集成

[CloudTrail.6] 确保用来存储 CloudTrail 日志的 S3 存储桶不可公开访问

[CloudTrail.7] 确保在 CloudTrail S3 存储桶上启用 S3 存储桶访问日志记录

[PCI.CW.1] 应具有有关“根”用户使用的日志指标筛选条件和警报

[CloudWatch.4] 确保存在关于 IAM policy 更改的日志指标筛选条件和警报

[CloudWatch.5] 确保存在关于 CloudTrail 配置更改的日志指标筛选条件和警报

[CloudWatch.6] 确保存在关于 Amazon Web Services 管理控制台 身份验证失败的日志指标筛选条件和警报

[CloudWatch.7] 确保存在日志指标筛选条件和警报，用于禁用或计划删除客户托管式密钥

[CloudWatch.8] 确保针对 S3 存储桶策略更改存在日志指标筛选条件和警报

[CloudWatch.9] 确保存在关于 Amazon Config 配置更改的日志指标筛选条件和警报

[CloudWatch.10] 确保存在关于安全组更改的日志指标筛选条件和警报

[CloudWatch.11] 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报

[CloudWatch.12] 确保存在关于网络网关更改的日志指标筛选条件和警报

[CloudWatch.13] 确保存在关于路由表更改的日志指标筛选条件和警报

[CloudWatch.14] 确保存在关于 VPC 更改的日志指标筛选条件和警报

[Config.1] 应启用 Amazon Config 并使用服务相关角色进行资源记录

[EC2.2] VPC 默认安全组不应允许入站或出站流量

[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录

[EC2.7] 应启用 EBS 默认加密

[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389

[IAM.1] IAM policy 不应允许完整的“*”管理权限

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[IAM.4] 不应存在 IAM 根用户访问密钥

[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.9] 应为根用户启用 MFA

[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14

[IAM.16] 确保 IAM 密码策略阻止重复使用密码

[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持 的事务

[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证

[KMS.4] 应启用 Amazon KMS 密钥轮换

[RDS.3] RDS 数据库实例应启用静态加密

[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置

[S3.5] S3 通用存储桶应需要请求才能使用 SSL

[S3.8] S3 通用存储桶应屏蔽公共访问权限

[S3.20] S3 通用存储桶应启用 MFA 删除

CIS Amazon Foundations Benchmark 1.2.0 版本

Security Hub CSPM 支持 CIS Amazon 基金会基准 1.2.0 (v1.2.0) 版本。Security Hub CSPM 已满足 CIS 安全软件认证的要求，并已根据以下 CIS 基准获得 CIS 安全软件认证：

适用于 CIS Amazon 基金会基准 v1.2.0 版本的控件

[CloudTrail.1] 应启用 CloudTrail 并配置至少一个包含读取和写入管理事件的多区域跟踪

[CloudTrail.2] CloudTrail 应启用静态加密

[CloudTrail.4] 应启用 CloudTrail 日志文件验证

[CloudTrail.5] CloudTrail 轨迹应与 Amazon CloudWatch Logs 集成

[CloudTrail.6] 确保用来存储 CloudTrail 日志的 S3 存储桶不可公开访问

[CloudTrail.7] 确保在 CloudTrail S3 存储桶上启用 S3 存储桶访问日志记录

[PCI.CW.1] 应具有有关“根”用户使用的日志指标筛选条件和警报

[CloudWatch.2] 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报

[CloudWatch.3] 确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报

[CloudWatch.4] 确保存在关于 IAM policy 更改的日志指标筛选条件和警报

[CloudWatch.5] 确保存在关于 CloudTrail 配置更改的日志指标筛选条件和警报

[CloudWatch.6] 确保存在关于 Amazon Web Services 管理控制台 身份验证失败的日志指标筛选条件和警报

[CloudWatch.7] 确保存在日志指标筛选条件和警报，用于禁用或计划删除客户托管式密钥

[CloudWatch.8] 确保针对 S3 存储桶策略更改存在日志指标筛选条件和警报

[CloudWatch.9] 确保存在关于 Amazon Config 配置更改的日志指标筛选条件和警报

[CloudWatch.10] 确保存在关于安全组更改的日志指标筛选条件和警报

[CloudWatch.11] 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报

[CloudWatch.12] 确保存在关于网络网关更改的日志指标筛选条件和警报

[CloudWatch.13] 确保存在关于路由表更改的日志指标筛选条件和警报

[CloudWatch.14] 确保存在关于 VPC 更改的日志指标筛选条件和警报

[Config.1] 应启用 Amazon Config 并使用服务相关角色进行资源记录

[EC2.2] VPC 默认安全组不应允许入站或出站流量

[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录

[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量

[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量

[IAM.1] IAM policy 不应允许完整的“*”管理权限

[IAM.2] IAM 用户不应附加 IAM policy

[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次

[IAM.4] 不应存在 IAM 根用户访问密钥

[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA

[IAM.6] 应该为根用户启用硬件 MFA

[IAM.8] 应移除未使用的 IAM 用户凭证

[IAM.9] 应为根用户启用 MFA

[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母

[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母

[IAM.13] 确保 IAM 密码策略要求包含至少一个符号

[IAM.14] 确保 IAM 密码策略要求包含至少一个数字

[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14

[IAM.16] 确保 IAM 密码策略阻止重复使用密码

[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效

[IAM.18] 确保创建支持角色来管理涉及 Amazon Web Services 支持 的事务

[KMS.4] 应启用 Amazon KMS 密钥轮换

CIS Amazon 基金会基准的版本比较

本节总结了 Center for Internet Security (CIS) Amazon 基金会基准特定版本（v5.0.0、v3.0.0、v1.4.0 和 v1.2.0）之间的区别。AmazonSecurity Hub CSPM 支持 CIS Amazon 基金会基准的所有这些版本。但是，建议使用 v5.0.0 以了解最新的安全最佳实践。您可以同时启用多个版本的 CIS Amazon 基金会基准标准。有关启用标准的信息，请参阅启用安全标准。如果要升级到 v5.0.0，请先启用新版本，然后再禁用旧版本。这可以防止您的安全检查出现漏洞。如果您使用 Security Hub CSPM 与 Amazon Organizations 的集成，并希望在多个账户中批量启用 v5.0.0，则建议使用中心配置。

将控件映射到每个版本中的 CIS 要求

了解每个版本的 CIS Amazon 基金会基准支持的控件。

CIS Amazon 基金会基准的 ARN

启用 CIS Amazon 基金会基准的一个或多个版本后，您将开始以 Amazon 安全调查发现格式 (ASFF) 接收调查发现。在 ASFF 中，每个版本都使用以下 Amazon 资源名称（ARN）：

您可以使用 Security Hub CSPM API 的 GetEnabledStandards 操作找出已启用标准的 ARN。

前面的值与 StandardsArn 对应。但是，StandardsSubscriptionArn 是指在您通过在某个区域中调用 BatchEnableStandards 订阅标准时 Security Hub CSPM 创建的标准订阅资源。

如果您启用了整合的控件调查发现，则调查发现字段会有所不同。有关这些区别的信息，请参阅 合并对 ASFF 字段和值的影响。有关控件调查发现样本，请参阅控件调查发现样本。

Security Hub CSPM 不支持的 CIS 要求

如上表所述，Security Hub CSPM 并不支持每个版本的 CIS Amazon 基金会基准中的所有 CIS 要求。许多不受支持的要求只能通过查看 Amazon 资源的状态手动评估。