本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
支付卡行业数据安全标准 (PCI DSS)
Security Hub 中的支付卡行业数据安全标准 (PCI DSS) 为处理持卡人数据提供了一套 Amazon 安全最佳实践。您可以使用此标准来发现处理持卡人数据的资源中的安全漏洞。Security Hub 当前将控制范围限制到账户级别。我们建议您在拥有存储、处理或传输持卡人数据资源的所有账户中启用这些控件。
该标准已通过 Amazon 安全保障服务有限责任公司(Amazon SAS)的验证,该小组由经过认证的合格安全评估员(QSA)组成,可提供PCI DSS指导和PCI DSS安全标准委员会(PCI SSC)的评估。 Amazon SAS 已确认,自动检查可以帮助客户为 PCI DSS 评估做准备。
此页面列出了安全控件 ID 和标题。在 Amazon GovCloud (US) Region 和中国区域,使用特定于标准的控件 ID 和标题。有关安全控件 ID 和标题与特定标准的控件 ID 和标题的映射,请参阅 整合如何影响控件 ID 和标题。
适用于 PCI DSS 的控件
[AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.3] 应至少启用一条 CloudTrail 跟踪
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudWatch.1] “root” 用户应有日志指标筛选器和警报
[CodeBuild.1] CodeBuild Bitbucket 源存储库网址不应包含敏感凭证
[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证
Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录
[DMS.1] Database Migration Service 复制实例不应公开
[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录
[EC2.12] 应删除未使用的 Amazon EC2 EIP
[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量
[ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS
[ES.2] Elasticsearch 域名不可供公共访问
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.10] IAM 用户的密码策略应该有很长的持续时间 Amazon Config
[Opensearch.1] OpenSearch 域名应启用静态加密
[Opensearch.2] OpenSearch 域名不应向公众开放
[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于持续时间 PubliclyAccessible Amazon Config
[Redshift.1] Amazon Redshift 集群应禁止公共访问
[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网
[SSM.1] Amazon EC2 实例应由以下人员管理 Amazon Systems Manager
[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT