CIS AWS Foundations Benchmark - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CIS AWS Foundations Benchmark

Der Benchmark der Center for Internet Security (CIS) AWS Foundations dient als Sammlung von bewährten Methoden zur Sicherheitskonfiguration für AWS. Diese branchenweit anerkannten Best Practices bieten Ihnen klare step-by-step Implementierungs- und Bewertungsverfahren. Die Kontrollen in diesem Benchmark reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und helfen Ihnen dabei, die spezifischen Systeme zu schützen, die Ihr Unternehmen verwendet.

AWS Security Hub unterstützt CIS AWS Foundations Benchmark v3.0.0, 1.4.0 und v1.2.0.

Diese Seite listet die Sicherheitskontrollen auf, die jede Version unterstützt, und bietet einen Vergleich der Versionen.

Benchmark AWS v3.0.0 für CIS Foundations

Security Hub unterstützt Version 3.0.0 des CIS AWS Foundations Benchmark.

Security Hub hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet:

  • CIS Benchmark for CIS AWS Foundations Benchmark, v3.0.0, Stufe 1

  • CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v3.0.0, Stufe 2

Kontrollen, die für CIS AWS Foundations Benchmark v3.0.0 gelten

[Konto.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs

[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2

[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

[EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen

[EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

[EFS.1] Elastic File System sollte so konfiguriert sein, dass es Dateidaten im Ruhezustand verschlüsselt AWS KMS

[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

[IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible

[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.

[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

[S3.5] Für S3-Allzweck-Buckets sollten Nutzungsanfragen erforderlich sein SSL

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

[S3.20] Für S3-Allzweck-Buckets sollte die Option Löschen aktiviert sein MFA

[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren

[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren

CIS AWS Foundations Benchmark v1.4.0

Security Hub unterstützt Version 1.4.0 des CIS AWS Foundations Benchmark.

Kontrollen, die für CIS AWS Foundations Benchmark v1.4.0 gelten

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein

[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM Richtlinienänderungen vorhanden sind

[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für CloudTrail AWS Config Die Dauer ändert sich

[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für AWS Management Console Fehler bei der Authentifizierung

[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind

[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind

[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für AWS Config Änderungen an der Konfiguration

[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind

[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists () NACL vorhanden sind

[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind

[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind

[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC Änderungen vorhanden sind

[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs

[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.

[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

[S3.5] Für S3-Allzweck-Buckets sollten Nutzungsanfragen erforderlich sein SSL

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

[S3.20] Für S3-Allzweck-Buckets sollte die Option Löschen aktiviert sein MFA

Benchmark v1.2.0 der AWS Grundlagen des Zentrums für Internetsicherheit (CIS)

Security Hub unterstützt Version 1.2.0 des CIS AWS Foundations Benchmark.

Security Hub hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet:

  • CIS Benchmark for CIS AWS Foundations Benchmark, v1.2.0, Stufe 1

  • CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v1.2.0, Stufe 2

Kontrollen, die für CIS AWS Foundations Benchmark v1.2.0 gelten

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein

[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für unautorisierte API Anrufe vorhanden sind

[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console vorhanden sind ohne MFA

[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM Richtlinienänderungen vorhanden sind

[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für CloudTrail AWS Config Die Dauer ändert sich

[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für AWS Management Console Fehler bei der Authentifizierung

[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind

[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind

[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für AWS Config Änderungen an der Konfiguration

[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind

[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists () NACL vorhanden sind

[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind

[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind

[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC Änderungen vorhanden sind

[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs

[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

[IAM.13] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens ein Symbol erfordert

[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

Versionsvergleich für CIS AWS Foundations Benchmark

In diesem Abschnitt werden die Unterschiede zwischen den Benchmark v3.0.0, v1.4.0 und v1.2.0 des Center for Internet Security (CIS) AWS Foundations zusammengefasst.

Security Hub unterstützt jede dieser Versionen des CIS AWS Foundations Benchmark, wir empfehlen jedoch, Version 3.0.0 zu verwenden, um über bewährte Sicherheitsmethoden auf dem Laufenden zu bleiben. Sie können mehrere Versionen des Standards gleichzeitig aktivieren. Anweisungen zur Aktivierung von Standards finden Sie unterAktivierung eines Sicherheitsstandards in Security Hub. Wenn Sie ein Upgrade auf Version 3.0.0 durchführen möchten, aktivieren Sie diese zuerst, bevor Sie eine ältere Version deaktivieren. Dadurch werden Lücken in Ihren Sicherheitsüberprüfungen vermieden. Wenn Sie die Security Hub Hub-Integration mit verwenden AWS Organizations und v3.0.0 in mehreren Konten stapelweise aktivieren möchten, empfehlen wir die zentrale Konfiguration.

Zuordnung der Kontrollen zu den CIS-Anforderungen in jeder Version

Verstehen Sie, welche Kontrollen jede Version des CIS AWS Foundations Benchmark unterstützt.

Kontroll-ID und Titel Anforderung für CIS v3.0.0 CIS v1.4.0-Anforderung CIS v1.2.0-Anforderung

[Konto.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

1.2

1.2

1.18

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

3.1

3.1

2.1

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

3.5

3.7

2.7

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

3.2

3.2

2.2

[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

Nicht unterstützt — CIS hat diese Anforderung entfernt

3.4

2.4

[CloudTrail.6] Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist

Nicht unterstützt — CIS hat diese Anforderung entfernt

3.3

2.3

[CloudTrail.7] Stellen Sie sicher, dass die Protokollierung des S3-Bucket-Zugriffs auf dem CloudTrail S3-Bucket aktiviert ist

3.4

3.6

2.6

[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein

Nicht unterstützt — manuelle Überprüfung

4.3

3.3

[CloudWatch.2] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für unautorisierte API Anrufe vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

3.1

[CloudWatch.3] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Anmeldung an der Management Console vorhanden sind ohne MFA

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

3.2

[CloudWatch.4] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für IAM Richtlinienänderungen vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.4

3.4

[CloudWatch.5] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für CloudTrail AWS Config Die Dauer ändert sich

Nicht unterstützt — manuelle Überprüfung

4.5

3.5

[CloudWatch.6] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für AWS Management Console Fehler bei der Authentifizierung

Nicht unterstützt — manuelle Überprüfung

4.6

3.6

[CloudWatch.7] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.7

3.7

[CloudWatch.8] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.8

3.8

[CloudWatch.9] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm vorhanden sind für AWS Config Änderungen an der Konfiguration

Nicht unterstützt — manuelle Überprüfung

4,9 bis 4,9

3.9

[CloudWatch.10] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Sicherheitsgruppen vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.10

3,10

[CloudWatch.11] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an den Network Access Control Lists () NACL vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.11

3,11

[CloudWatch.12] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an Netzwerk-Gateways vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.12

3,12

[CloudWatch.13] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für Änderungen an der Routentabelle vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.13

3.13

[CloudWatch.14] Stellen Sie sicher, dass ein Log-Metrikfilter und ein Alarm für VPC Änderungen vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.14

3,14

[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden

3.3

3.5

2.5

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

5.4

5.3

4.3

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs

3.7

3.9

2,9

[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

2.2.1

2.2.1

Nicht unterstützt

[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2

5.6

Nicht unterstützt

Nicht unterstützt

[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

4.1

[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

4.2

[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

5.1

5.1

Nicht unterstützt

[EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zu Remote-Serververwaltungsports zulassen

5.2

Nicht unterstützt

Nicht unterstützt

[EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugriff von: :/0 zu Remote-Serveradministrationsports zulassen

5.3

Nicht unterstützt

Nicht unterstützt

[EFS.1] Elastic File System sollte so konfiguriert sein, dass es Dateidaten im Ruhezustand verschlüsselt AWS KMS

2.4.1

Nicht unterstützt

Nicht unterstützt

[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen

Nicht unterstützt

1.16

1,22

[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

1.15

Nicht unterstützt

1.16

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

1.14

1.14

1.4

[IAM.4] Der IAM-Root-Benutzerzugriffsschlüssel sollte nicht existieren

1.4

1.4

1.12

[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

1.10

1.10

1.2

[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

1,6

1,6

1.14

[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

Wird nicht unterstützt — siehe stattdessen [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

Nicht unterstützt — siehe [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden stattdessen

1.3

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

1.5

1.5

1.13

[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.5

[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1,6

[IAM.13] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens ein Symbol erfordert

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1,7

[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.8

[IAM.15] Stellen Sie sicher, dass die IAM-Passwortrichtlinie eine Mindestkennwortlänge von 14 oder mehr erfordert

1.8

1.8

1.9

[IAM.16] Stellen Sie sicher, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

1.9

1.9

1.10

[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.11

[IAM.18] Stellen Sie sicher, dass eine Support-Rolle für die Verwaltung von Vorfällen eingerichtet wurde Support

1,17

1,17

1.2

[IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.1

[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

1.12

1.12

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

1.19

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

1.22

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[IAM.28] Der externe Zugriffsanalysator für IAM Access Analyzer sollte aktiviert sein

1.20

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

3.6

3.8

2.8

[Macie.1] Amazon Macie sollte aktiviert sein

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible

2.3.3

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.

2.3.1

2.3.1

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

2.3.2

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

2.1.4

2.1.5

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.5] Für S3-Allzweck-Buckets sollten Nutzungsanfragen erforderlich sein SSL

2.1.1

2.1.2

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

2.1.4

2.1.5

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.20] Für S3-Allzweck-Buckets sollte die Option Löschen aktiviert sein MFA

2.1.2

2.1.3

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

ARNs für CIS AWS Foundations Benchmark

Wenn Sie eine oder mehrere Versionen von CIS AWS Foundations Benchmark aktivieren, erhalten Sie die Ergebnisse ab sofort im AWS Security Finding Format (ASFF). In ASFF verwendet jede Version den folgenden Amazon-Ressourcennamen (ARN):

Benchmark AWS v3.0.0 für CIS Foundations

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0

Benchmark v1.4.0 für AWS GUS-Stiftungen

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0

Benchmark v1.2.0 AWS für GUS-Stiftungen

arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

Sie können das verwenden GetEnabledStandardsBetrieb der Security Hub Hub-API, um den ARN eines aktivierten Standards herauszufinden.

Die vorherigen Werte sind fürStandardsArn. StandardsSubscriptionArnBezieht sich jedoch auf die Standard-Abonnementressource, die Security Hub erstellt, wenn Sie einen Standard abonnieren, indem Sie BatchEnableStandardsin einer Region.

Anmerkung

Wenn Sie eine Version von CIS AWS Foundations Benchmark aktivieren, kann es bis zu 18 Stunden dauern, bis Security Hub Ergebnisse für Kontrollen generiert, die dieselbe AWS Config serviceverknüpfte Regel verwenden wie aktivierte Kontrollen in anderen aktivierten Standards. Weitere Informationen zum Zeitplan für die Generierung von Kontrollbefunden finden Sie unterZeitplan für die Ausführung von Sicherheitsprüfungen.

Suchfelder unterscheiden sich, wenn Sie konsolidierte Kontrollergebnisse aktivieren. Weitere Informationen zu diesen Unterschieden erhalten Sie unter Auswirkungen der Konsolidierung auf ASFF-Felder und -Werte. Stichprobenergebnisse aus der Kontrolluntersuchung finden Sie unterErgebnisse der Stichprobenkontrolle in Security Hub.

CIS-Anforderungen, die in Security Hub nicht unterstützt werden

Wie in der obigen Tabelle erwähnt, unterstützt Security Hub nicht jede CIS-Anforderung in jeder Version des CIS AWS Foundations Benchmark. Viele der nicht unterstützten Anforderungen können nur manuell bewertet werden, indem der Status Ihrer AWS Ressourcen überprüft wird.