View a markdown version of this page

CISAWSBenchmark für Stiftungen im Security Hub CSPM - AWSSecurity Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CISAWSBenchmark für Stiftungen im Security Hub CSPM

Der Center for Internet Security (CIS) AWS Foundations Benchmark dient als eine Reihe von bewährten Methoden zur Sicherheitskonfiguration fürAWS. Diese branchenweit anerkannten Best Practices bieten Ihnen klare, schrittweise Implementierungs- und Bewertungsverfahren. Die Kontrollen in diesem Benchmark reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und helfen Ihnen dabei, die spezifischen Systeme zu schützen, die Ihr Unternehmen verwendet.

AWSSecurity Hub CSPM unterstützt die CIS AWS Foundations Benchmark-Versionen 5.0.0, 3.0.0, 1.4.0 und 1.2.0. Auf dieser Seite sind die Sicherheitskontrollen aufgeführt, die jede Version unterstützt. Sie bietet auch einen Vergleich der Versionen.

CISAWSFoundations Benchmark Version 5.0.0

Security Hub CSPM unterstützt Version 5.0.0 (v5.0.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet:

  • CIS Benchmark für CIS AWS Foundations Benchmark, v5.0.0, Stufe 1

  • CIS-Benchmark für CIS AWS Foundations Benchmark, v5.0.0, Stufe 2

Kontrollen, die für die CIS geltenAWSBenchmark für Stiftungen, Version 5.0.0

[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

[Config.1]AWS Configsollte aktiviert sein und die dienstbezogene Rolle für die Ressourcenaufzeichnung verwenden

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen VPCs aktiviert sein

[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 (IMDSv2) verwenden

[EC2.21] Netzwerk-ACLs sollten ab Version 0.0.0 keinen Zugriff mehr zulassen. 0/0 zu Port 22 oder Port 3389

[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff ab Version 0.0.0 zulassen. 0/0 zu den Verwaltungsports des Remoteservers

[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

[EFS.1] Elastic File System sollte so konfiguriert sein, dass es Dateidaten im Ruhezustand verschlüsseltAWS KMS

[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden

[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben

[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern

[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurdeAWS Support

[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess

[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein

[KMS.4]AWS KMSDie Schlüsselrotation sollte aktiviert sein

[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den PubliclyAccessible öffentlichen Zugriff verbieten

[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein

[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden

[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

[S3.1] Für S3-Allzweck-Buckets sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein

[S3.5] Für S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erforderlich sein

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

[S3.22] S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren

[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren

CISAWSBenchmark für Stiftungen, Version 3.0.0

Security Hub CSPM unterstützt Version 3.0.0 (v3.0.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet:

  • CIS-Benchmark für CIS AWS Foundations Benchmark, v3.0.0, Stufe 1

  • CIS-Benchmark für CIS AWS Foundations Benchmark, v3.0.0, Stufe 2

Kontrollen, die für die CIS geltenAWSBenchmark für Stiftungen, Version 3.0.0

[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

[Config.1]AWS Configsollte aktiviert sein und die dienstbezogene Rolle für die Ressourcenaufzeichnung verwenden

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen VPCs aktiviert sein

[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 (IMDSv2) verwenden

[EC2.21] Netzwerk-ACLs sollten ab Version 0.0.0 keinen Zugriff mehr zulassen. 0/0 zu Port 22 oder Port 3389

[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff ab Version 0.0.0 zulassen. 0/0 zu den Verwaltungsports des Remoteservers

[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

[EFS.1] Elastic File System sollte so konfiguriert sein, dass es Dateidaten im Ruhezustand verschlüsseltAWS KMS

[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben

[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern

[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurdeAWS Support

[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess

[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein

[KMS.4]AWS KMSDie Schlüsselrotation sollte aktiviert sein

[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den PubliclyAccessible öffentlichen Zugriff verbieten

[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein

[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

[S3.1] Für S3-Allzweck-Buckets sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein

[S3.5] Für S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erforderlich sein

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

[S3.22] S3-Buckets für allgemeine Zwecke sollten Schreibereignisse auf Objektebene protokollieren

[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren

CISAWSBenchmark für Stiftungen, Version 1.4.0

Security Hub CSPM unterstützt Version 1.4.0 (v1.4.0) des CIS Foundations Benchmark. AWS

Kontrollen, die für die CIS geltenAWSBenchmark für Stiftungen, Version 1.4.0

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

[CloudWatch.1] Es sollten ein Log-Metrikfilter und ein Alarm für die Verwendung durch den Benutzer „root“ vorhanden sein

[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind

[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind

[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind fürAWS-ManagementkonsoleAuthentifizierungsfehler

[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind

[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen der S3-Bucket-Richtlinien vorhanden sind

[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind fürAWS ConfigKonfigurationsänderungen

[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind

[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind

[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind

[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind

[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind

[Config.1]AWS Configsollte aktiviert sein und die dienstbezogene Rolle für die Ressourcenaufzeichnung verwenden

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen VPCs aktiviert sein

[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

[EC2.21] Netzwerk-ACLs sollten ab Version 0.0.0 keinen Zugriff mehr zulassen. 0/0 zu Port 22 oder Port 3389

[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben

[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern

[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurdeAWS Support

[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

[KMS.4]AWS KMSDie Schlüsselrotation sollte aktiviert sein

[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein

[S3.1] Für S3-Allzweck-Buckets sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein

[S3.5] Für S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erforderlich sein

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

CISAWSBenchmark für Stiftungen Version 1.2.0

Security Hub CSPM unterstützt Version 1.2.0 (v1.2.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet:

  • CIS Benchmark für CIS AWS Foundations Benchmark, v1.2.0, Stufe 1

  • CIS Benchmark für CIS AWS Foundations Benchmark, v1.2.0, Stufe 2

Kontrollen, die für die CIS geltenAWSBenchmark für Stiftungen Version 1.2.0

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

[CloudWatch.1] Es sollten ein Log-Metrikfilter und ein Alarm für die Verwendung durch den Benutzer „root“ vorhanden sein

[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind

[CloudWatch.3] Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind

[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind

[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind

[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind fürAWS-ManagementkonsoleAuthentifizierungsfehler

[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind

[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen der S3-Bucket-Richtlinien vorhanden sind

[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind fürAWS ConfigKonfigurationsänderungen

[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind

[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind

[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind

[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind

[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind

[Config.1]AWS Configsollte aktiviert sein und die dienstbezogene Rolle für die Ressourcenaufzeichnung verwenden

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen VPCs aktiviert sein

[EC2.13] Sicherheitsgruppen sollten ab Version 0.0.0 keinen Zugriff mehr zulassen. 0/0 oder: :/0 zu Port 22

[EC2.14] Sicherheitsgruppen sollten ab Version 0.0.0 keinen Zugriff zulassen. 0/0 oder: :/0 zu Port 3389

[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben

[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein

[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist

[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern

[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurdeAWS Support

[KMS.4]AWS KMSDie Schlüsselrotation sollte aktiviert sein

Versionsvergleich für CISAWSMaßstab für Stiftungen

In diesem Abschnitt werden die Unterschiede zwischen bestimmten Versionen des Center for Internet Security (CIS) AWS Foundations Benchmark — v5.0.0, v3.0.0, v1.4.0 und v1.2.0 — zusammengefasst. AWSSecurity Hub CSPM unterstützt jede dieser Versionen des CIS AWS Foundations Benchmark. Wir empfehlen jedoch, Version 5.0.0 zu verwenden, um über bewährte Sicherheitsmethoden auf dem Laufenden zu bleiben. Sie können mehrere Versionen der Benchmark-Standards von CIS AWS Foundations gleichzeitig aktivieren. Informationen zur Aktivierung von Standards finden Sie unterEinen Sicherheitsstandard aktivieren. Wenn Sie auf v5.0.0 aktualisieren möchten, aktivieren Sie es, bevor Sie eine ältere Version deaktivieren. Dadurch werden Lücken in Ihren Sicherheitsüberprüfungen vermieden. Wenn Sie die Security Hub CSPM-Integration mit verwenden AWS Organizations und v5.0.0 in mehreren Konten stapelweise aktivieren möchten, empfehlen wir die zentrale Konfiguration.

Zuordnung der Kontrollen zu den CIS-Anforderungen in jeder Version

Verstehen Sie, welche Kontrollen jede Version des CIS AWS Foundations Benchmark unterstützt.

Kontroll-ID und Titel CIS v5.0.0-Anforderung CIS v3.0.0-Anforderung CIS v1.4.0-Anforderung CIS v1.2.0-Anforderung

[Account.1] Sicherheitskontaktinformationen sollten für eine bereitgestellt werdenAWS-Konto

1.2

1.2

1.2

1.18

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

3.1

3.1

3.1

2.1

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

3.5

3.5

3.7

2.7

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

3.2

3.2

3.2

2.2

[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

3.4

2.4

[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

3.3

2.3

[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

3.4

3.4

3.6

2.6

[CloudWatch.1] Es sollten ein Log-Metrikfilter und ein Alarm für die Verwendung durch den Benutzer „root“ vorhanden sein

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4.3

3.3

[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

3.1

[CloudWatch.3] Stellen Sie sicher, dass ein Protokollmetrikfilter und ein Alarm für die Anmeldung an der Management Console ohne MFA vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

3.2

[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM-Richtlinienänderungen vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4.4

3.4

[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für CloudTrail Konfigurationsänderungen vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4.5

3.5

[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind fürAWS-ManagementkonsoleAuthentifizierungsfehler

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4.6

3.6

[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4.7

3.7

[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen der S3-Bucket-Richtlinien vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4.8

3.8

[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind fürAWS ConfigKonfigurationsänderungen

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4,9 bis 4,9

3.9

[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4.10

3,10

[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4.11

3,11

[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4.12

3,12

[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4.13

3.13

[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC-Änderungen vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

4.14

3,14

[Config.1]AWS Configsollte aktiviert sein und die dienstbezogene Rolle für die Ressourcenaufzeichnung verwenden

3.3

3.3

3.5

2.5

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

5.5

5.4

5.3

4.3

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen VPCs aktiviert sein

3.7

3.7

3.9

2,9

[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

5.1.1

2.2.1

2.2.1

Nicht unterstützt

[EC2.8] EC2-Instances sollten Instance Metadata Service Version 2 (IMDSv2) verwenden

5,7

5.6

Nicht unterstützt

Nicht unterstützt

[EC2.13] Sicherheitsgruppen sollten ab Version 0.0.0 keinen Zugriff mehr zulassen. 0/0 oder: :/0 zu Port 22

Nicht unterstützt — ersetzt durch die Anforderungen 5.3 und 5.4

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

4.1

[EC2.14] Sicherheitsgruppen sollten ab Version 0.0.0 keinen Zugriff zulassen. 0/0 oder: :/0 zu Port 3389

Nicht unterstützt — ersetzt durch die Anforderungen 5.3 und 5.4

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

4.2

[EC2.21] Netzwerk-ACLs sollten ab Version 0.0.0 keinen Zugriff mehr zulassen. 0/0 zu Port 22 oder Port 3389

5.2

5.1

5.1

Nicht unterstützt

[EC2.53] EC2-Sicherheitsgruppen sollten keinen Zugriff ab Version 0.0.0 zulassen. 0/0 zu den Verwaltungsports des Remoteservers

5.3

5.2

Nicht unterstützt

Nicht unterstützt

[EC2.54] EC2-Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

5.4

5.3

Nicht unterstützt

Nicht unterstützt

[EFS.1] Elastic File System sollte so konfiguriert sein, dass es Dateidaten im Ruhezustand verschlüsseltAWS KMS

2.3.1

2.4.1

Nicht unterstützt

Nicht unterstützt

[EFS.8] EFS-Dateisysteme sollten im Ruhezustand verschlüsselt werden

2.3.1

Nicht unterstützt

Nicht unterstützt

Nicht unterstützt

[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

Nicht unterstützt

Nicht unterstützt

1.16

1,22

[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

1.14

1.15

Nicht unterstützt

1.16

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

1.13

1.14

1.14

1.4

[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

1.3

1.4

1.4

1.12

[IAM.5] MFA sollte für alle IAM-Benutzer aktiviert sein, die ein Konsolenpasswort haben

1.9

1.10

1.10

1.2

[IAM.6] Hardware-MFA sollte für den Root-Benutzer aktiviert sein

1.5

1,6

1,6

1.14

[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

Nicht unterstützt — siehe stattdessen [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

Nicht unterstützt — siehe [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden stattdessen

Nicht unterstützt — siehe [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden stattdessen

1.3

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

1.4

1.5

1.5

1.13

[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.5

[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1,6

[IAM.13] Stellen Sie sicher, dass für die IAM-Passwortrichtlinie mindestens ein Symbol erforderlich ist

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1,7

[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.8

[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

1,7

1.8

1.8

1.9

[IAM.16] Stellen Sie sicher, dass die IAM-Kennwortrichtlinie die Wiederverwendung von Passwörtern

1.8

1.9

1.9

1.10

[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.11

[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurdeAWS Support

1.16

1,17

1,17

1.2

[IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.1

[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

1.11

1.12

1.12

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[IAM.26] Abgelaufene SSL/TLS Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

1.18

1,19

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloudShellFullAccess

1.21

1,22

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[IAM.28] Der externe Zugriffsanalysator von IAM Access Analyzer sollte aktiviert sein

1.19

1,20

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[KMS.4]AWS KMSDie Schlüsselrotation sollte aktiviert sein

3.6

3.6

3.8

2.8

[Macie.1] Amazon Macie sollte aktiviert sein

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den PubliclyAccessible öffentlichen Zugriff verbieten

2.2.3

2.3.3

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein

2.2.1

2.3.1

2.3.1

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[RDS.5] RDS-DB-Instances sollten mit mehreren Availability Zones konfiguriert werden

2.2.4

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

2.2.2

2.3.2

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[RDS.15] RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

2.2.4

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.1] Für S3-Allzweck-Buckets sollten die Einstellungen zum Blockieren des öffentlichen Zugriffs aktiviert sein

2.1.4

2.1.4

2.1.5

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.5] Für S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erforderlich sein

2.1.1

2.1.1

2.1.2

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

2.1.4

2.1.4

2.1.5

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.20] Für S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

2.1.2

2.1.2

2.1.3

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

ARNs für die CISAWSBenchmarks für Stiftungen

Wenn Sie eine oder mehrere Versionen des CIS AWS Foundations Benchmark aktivieren, erhalten Sie ab sofort Ergebnisse im AWS Security Finding Format (ASFF). In ASFF verwendet jede Version den folgenden Amazon-Ressourcennamen (ARN):

Benchmark AWS v5.0.0 für CIS Foundations

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0

Benchmark AWS v3.0.0 für CIS Foundations

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0

Benchmark AWS v1.4.0 für CIS Foundations

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0

Benchmark AWS v1.2.0 für CIS Foundations

arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

Sie können den GetEnabledStandardsBetrieb der Security Hub CSPM-API verwenden, um den ARN eines aktivierten Standards zu ermitteln.

Die vorherigen Werte sind für. StandardsArn StandardsSubscriptionArnBezieht sich jedoch auf die Standard-Abonnementressource, die Security Hub CSPM erstellt, wenn Sie einen Standard abonnieren, indem Sie BatchEnableStandardsin einer Region anrufen.

Anmerkung

Wenn Sie eine Version des CIS AWS Foundations Benchmark aktivieren, kann es bis zu 18 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe AWS Config serviceverknüpfte Regel verwenden wie aktivierte Kontrollen in anderen aktivierten Standards. Weitere Informationen zum Zeitplan für die Generierung von Kontrollbefunden finden Sie unter. Zeitplan für die Ausführung von Sicherheitsprüfungen

Suchfelder unterscheiden sich, wenn Sie konsolidierte Kontrollergebnisse aktivieren. Informationen zu diesen Unterschieden finden Sie unterAuswirkungen der Konsolidierung auf ASFF-Felder und -Werte. Ergebnisse der Stichprobenkontrolle finden Sie unterStichproben von Kontrollbefunden.

CIS-Anforderungen, die in Security Hub CSPM nicht unterstützt werden

Wie in der obigen Tabelle angegeben, unterstützt Security Hub CSPM nicht jede CIS-Anforderung in jeder Version des CIS AWS Foundations Benchmark. Viele der nicht unterstützten Anforderungen können nur bewertet werden, indem der Status Ihrer Ressourcen manuell überprüft wird. AWS