Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Änderungsprotokoll für Security Hub-Steuerelemente
Im folgenden Änderungsprotokoll werden wesentliche Änderungen an bestehenden AWS Security Hub Sicherheitskontrollen aufgezeichnet, die zu Änderungen des Gesamtstatus einer Kontrolle und des Compliance-Status der Ergebnisse führen können. Informationen darüber, wie Security Hub den Kontrollstatus auswertet, finden Sie unterBewertung des Konformitätsstatus und des Kontrollstatus in Security Hub. Es kann einige Tage nach ihrem Eintrag in diesem Protokoll dauern, bis sich Änderungen auf alle AWS-Regionen auswirken, für die das Steuerelement verfügbar ist.
In diesem Protokoll werden Änderungen aufgezeichnet, die seit April 2023 vorgenommen wurden.
Wählen Sie ein Steuerelement aus, um weitere Details dazu anzuzeigen. Titeländerungen werden 90 Tage lang in der detaillierten Beschreibung der einzelnen Kontrollen vermerkt.
| Datum der Änderung | Kontroll-ID und Titel | Beschreibung der Änderung |
|---|---|---|
| 19. August 2024 | Der Titel ändert sich zu DMS 1.2 und ElastiCache zu den Steuerelementen | Die Titel der Steuerelemente für DMS 1.2 und ElastiCache .1 bis ElastiCache .7 wurden geändert. Wir haben diese Titel geändert, um einer Namensänderung im Amazon ElastiCache (RedisOSS) -Service Rechnung zu tragen. |
| 15. August 2024 | [Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden | Dieses Steuerelement prüft, ob AWS Config es aktiviert ist, verwendet die dienstbezogene Rolle und zeichnet Ressourcen für aktivierte Steuerelemente auf. Security Hub hat einen benutzerdefinierten Steuerparameter mit dem Namen hinzugefügtincludeConfigServiceLinkedRoleCheck. Wenn Sie diesen Parameter auf setzenfalse, können Sie die Überprüfung deaktivieren, ob die serviceverknüpfte Rolle AWS Config verwendet wird. |
| 31. Juli 2024 | [IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden | Der Titel des Steuerelements wurde von AWS IoT Core Sicherheitsprofilen sollte markiert werden zu AWS IoT Device Defender Sicherheitsprofile sollten markiert werden geändert. |
| 29. Juli 2024 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt nicht mehr nodejs16.x als Parameter. |
| 29. Juli 2024 | [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen | Dieses Steuerelement prüft, ob ein Amazon Elastic Kubernetes Service (AmazonEKS) -Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Die älteste unterstützte Version ist. 1.28 |
| 25. Juni 2024 | [Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden | Dieses Steuerelement prüft, ob AWS Config es aktiviert ist, verwendet die dienstbezogene Rolle und zeichnet Ressourcen für aktivierte Steuerelemente auf. Security Hub hat den Titel des Steuerelements aktualisiert, um widerzuspiegeln, was das Steuerelement auswertet. |
| 14. Juni 2024 | [RDS.34] Aurora My SQL DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch | Dieses Steuerelement prüft, ob ein Amazon Aurora My SQL DB-Cluster so konfiguriert ist, dass er Audit-Logs in Amazon CloudWatch Logs veröffentlicht. Security Hub hat das Steuerelement aktualisiert, sodass es keine Ergebnisse für Aurora Serverless v1-DB-Cluster generiert. |
| 11. Juni 2024 | [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen | Dieses Steuerelement prüft, ob ein Amazon Elastic Kubernetes Service (AmazonEKS) -Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Die älteste unterstützte Version ist. 1.27 |
| 10. Juni 2024 | [Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden | Dieses Steuerelement überprüft, ob aktiviert AWS Config ist und ob die AWS Config Ressourcenaufzeichnung aktiviert ist. Bisher führte das Steuerelement nur dann PASSED zu einem Ergebnis, wenn Sie die Aufzeichnung für alle Ressourcen konfiguriert hatten. Security Hub hat das Steuerelement aktualisiert, sodass ein PASSED Ergebnis angezeigt wird, wenn die Aufzeichnung für Ressourcen aktiviert ist, die für aktivierte Steuerungen erforderlich sind. Das Steuerelement wurde außerdem aktualisiert, um zu überprüfen, ob die AWS Config serviceverknüpfte Rolle verwendet wird, die Berechtigungen zum Aufzeichnen der erforderlichen Ressourcen bereitstellt. |
| 8. Mai 2024 | [S3.20] Für S3-Allzweck-Buckets sollte die Option Löschen aktiviert sein MFA | Dieses Steuerelement prüft, ob für einen Amazon S3 S3-Bucket mit Version für allgemeine Zwecke die mehrstufige Authentifizierung (MFA) aktiviert ist. Zuvor hat die Kontrolle einen FAILED Befund für Buckets mit einer Lifecycle-Konfiguration generiert. Das MFA Löschen mit Versionierung kann jedoch nicht für einen Bucket aktiviert werden, der über eine Lifecycle-Konfiguration verfügt. Security Hub hat das Steuerelement aktualisiert, sodass es keine Ergebnisse für Buckets mit einer Lifecycle-Konfiguration gibt. Die Beschreibung des Steuerelements wurde aktualisiert, um das aktuelle Verhalten widerzuspiegeln. |
| 2. Mai 2024 | [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen | Security Hub hat die älteste unterstützte Version von Kubernetes, auf der der EKS Amazon-Cluster ausgeführt werden kann, aktualisiert, um ein bestehendes Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.26 |
| 30. April 2024 | [CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein | Der Titel des Steuerelements wurde von „CloudTrail sollte aktiviert“ auf „Mindestens ein CloudTrail Trail sollte aktiviert sein“ geändert. Dieses Steuerelement zeigt derzeit PASSED an AWS-Konto , ob für mindestens ein CloudTrail Trail aktiviert ist. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln. |
| 29. April 2024 | [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB Integritätsprüfungen verwenden | Der Titel der Steuerung wurde von Auto Scaling Scaling-Gruppen, die einem Classic Load Balancer zugeordnet sind, sollten Load Balancer-Integritätsprüfungen verwenden, zu Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, Gesundheitsprüfungen verwenden ELB. Dieses Steuerelement bewertet derzeit Anwendungs-, Gateway-, Netzwerk- und Classic Load Balancer. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln. |
| 19. April 2024 | [CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem multiregionalen Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst | Das Steuerelement überprüft, ob AWS CloudTrail es aktiviert und mit mindestens einem multiregionalen Trail konfiguriert ist, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst. Bisher generierte das Steuerelement fälschlicherweise PASSED Ergebnisse, wenn ein Konto mit mindestens einem Multiregions-Trail CloudTrail aktiviert und konfiguriert war, auch wenn kein Trail Lese- und Schreibverwaltungsereignisse aufzeichnete. Das Steuerelement generiert jetzt nur noch PASSED Ergebnisse, wenn CloudTrail es aktiviert und mit mindestens einem multiregionalen Trail konfiguriert ist, der Verwaltungsereignisse für Lese- und Schreibvorgänge erfasst. |
| 10. April 2024 | [Athena.1] Athena-Arbeitsgruppen sollten im Ruhezustand verschlüsselt werden | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Athena-Arbeitsgruppen senden Protokolle an Amazon Simple Storage Service (Amazon S3) -Buckets. Amazon S3 bietet jetzt Standardverschlüsselung mit S3-verwalteten Schlüsseln (SS3-S3) für neue und bestehende S3-Buckets. |
| 10. April 2024 | [AutoScaling.4] Die Auto Scaling Scaling-Gruppenstartkonfiguration sollte kein Metadaten-Response-Hop-Limit größer als 1 haben | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Die Limits für Metadaten-Antwort-Hops für Amazon Elastic Compute Cloud (AmazonEC2) -Instances hängen von der Arbeitslast ab. |
| 10. April 2024 | [CloudFormation.1] CloudFormation Stacks sollten in Simple Notification Service () SNS integriert werden | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Die Integration von AWS CloudFormation Stacks mit SNS Amazon-Themen ist keine bewährte Sicherheitsmethode mehr. Die Integration wichtiger CloudFormation Stacks mit SNS Themen kann zwar nützlich sein, ist aber nicht für alle Stacks erforderlich. |
| 10. April 2024 | [CodeBuild.5] In CodeBuild Projektumgebungen sollte der privilegierte Modus nicht aktiviert sein | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Die Aktivierung des privilegierten Modus in einem CodeBuild Projekt stellt kein zusätzliches Risiko für die Kundenumgebung dar. |
| 10. April 2024 | [IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Der Zweck dieser Kontrolle wird durch eine andere Kontrolle abgedeckt,[CloudWatch.1] Für den Benutzer „root“ sollten ein Metrik-Logfilter und ein Alarm vorhanden sein. |
| 10. April 2024 | [SNS.2] Die Protokollierung des Zustellungsstatus sollte für Benachrichtigungen aktiviert sein, die an ein Thema gesendet werden | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Das Protokollieren des Zustellungsstatus von SNS Themen ist keine bewährte Sicherheitsmethode mehr. Das Protokollieren des Zustellungsstatus für wichtige SNS Themen kann zwar nützlich sein, ist aber nicht für alle Themen erforderlich. |
| 10. April 2024 | [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben | Security Hub hat dieses Steuerelement aus AWS Foundational Security Best Practices und Service-Managed Standard entfernt:. AWS Control Tower Der Zweck dieser Steuerung wird durch zwei weitere Steuerelemente abgedeckt: [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben und. [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein Diese Steuerung ist immer noch Teil von NIST SP 800-53 Rev. 5. |
| 10. April 2024 | [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein | Security Hub hat dieses Steuerelement aus AWS Foundational Security Best Practices und Service-Managed Standard entfernt:. AWS Control Tower Es gibt zwar einige Fälle, in denen Ereignisbenachrichtigungen für S3-Buckets nützlich sind, dies ist jedoch keine allgemein bewährte Sicherheitsmethode. Diese Steuerung ist immer noch Teil von NIST SP 800-53 Rev. 5. |
| 10. April 2024 | [SNS.1] SNS Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS | Security Hub hat dieses Steuerelement aus AWS Foundational Security Best Practices und Service-Managed Standard entfernt:. AWS Control Tower SNSVerschlüsselt ruhende Themen standardmäßig mit Festplattenverschlüsselung. Weitere Informationen finden Sie unter Datenverschlüsselung. Die Verwendung AWS KMS zur Verschlüsselung von Themen wird als bewährte Sicherheitsmethode nicht mehr empfohlen. Diese Steuerung ist immer noch Teil von NIST SP 800-53 Rev. 5. |
| 8. April 2024 | [ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein | Der Steuerelementtitel wurde von Application Load Balancer Balancer-Löschschutz aktiviert in Application, Gateway und Network Load Balancer sollten den Löschschutz aktiviert haben geändert. Dieses Steuerelement bewertet derzeit Application, Gateway und Network Load Balancer. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln. |
| 22. März 2024 | [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten Sicherheitsrichtlinie verschlüsselt werden TLS | Der Titel des Steuerelements wurde von Verbindungen zu OpenSearch Domänen sollten mit TLS 1.2 verschlüsselt werden in Verbindungen zu OpenSearch Domänen sollten mit der neuesten TLS Sicherheitsrichtlinie verschlüsselt werden geändert. Bisher überprüfte das Steuerelement nur, ob für Verbindungen zu OpenSearch Domänen TLS 1.2 verwendet wurde. Das Steuerelement stellt jetzt PASSED fest, ob OpenSearch Domänen mit der neuesten TLS Sicherheitsrichtlinie verschlüsselt wurden. Der Titel und die Beschreibung des Steuerelements wurden aktualisiert, um das aktuelle Verhalten widerzuspiegeln. |
| 22. März 2024 | [ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS Sicherheitsrichtlinie verschlüsselt werden | Der Titel des Steuerelements wurde von Connections zu Elasticsearch-Domains geändert und sollte mit TLS 1.2 verschlüsselt werden. Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS Sicherheitsrichtlinie verschlüsselt werden. Bisher überprüfte das Steuerelement nur, ob für Verbindungen zu Elasticsearch-Domains 1.2 verwendet wurde. TLS Das Steuerelement stellt nun PASSED fest, ob Elasticsearch-Domains mit der neuesten TLS Sicherheitsrichtlinie verschlüsselt wurden. Der Titel und die Beschreibung des Steuerelements wurden aktualisiert, um das aktuelle Verhalten widerzuspiegeln. |
| 12. März 2024 | [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein | Der Titel sollte von der Einstellung „Öffentlichen Zugriff blockieren“ auf die Einstellung „Öffentlichen Zugriff blockieren“ in S3-Allzweck-Buckets geändert werden. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren | Der geänderte Titel von S3-Buckets sollte den öffentlichen Lesezugriff auf S3-Buckets verbieten. Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren | Der geänderte Titel von S3-Buckets sollte den öffentlichen Schreibzugriff auf S3-Buckets verbieten. Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.5] Für S3-Allzweck-Buckets sollten Nutzungsanfragen erforderlich sein SSL | Die Änderung des Titels von S3-Buckets sollte Anfragen zur Verwendung von Secure Socket Layer erfordern, zu S3-Allzweck-Buckets sollten Nutzungsanfragen erfordern. SSL Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten | Der geänderte Titel von S3-Berechtigungen, die anderen AWS-Konten in Bucket-Richtlinien gewährt wurden, sollte auf S3-Allzweck-Bucket-Richtlinien beschränkt werden, sollten den Zugriff auf andere einschränken AWS-Konten. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden | Bei der Änderung des Titels von S3-Buckets sollte die regionsübergreifende Replikation aktiviert sein, sodass S3-Buckets für allgemeine Zwecke die regionsübergreifende Replikation verwenden sollten. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden | Bei der Änderung des Titels von S3-Buckets sollte die regionsübergreifende Replikation aktiviert sein, sodass S3-Buckets für allgemeine Zwecke die regionsübergreifende Replikation verwenden sollten. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren | Der Titel sollte von der Einstellung S3-Zugriff blockieren auf Bucket-Ebene zu S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein | Der Titel wurde von der Protokollierung des S3-Bucket-Serverzugriffs aktiviert in die Serverzugriffsprotokollierung sollte für S3-Allzweck-Buckets aktiviert sein geändert. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben | Bei der Änderung des Titels von S3-Buckets mit aktivierter Versionierung sollten Lebenszyklusrichtlinien so konfiguriert sein, dass S3-Allzweck-Buckets mit aktivierter Versionierung Lifecycle-Konfigurationen haben sollten. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein | Bei der Änderung des Titels von S3-Buckets sollten Ereignisbenachrichtigungen aktiviert sein, bei S3-Buckets für allgemeine Zwecke sollten Ereignisbenachrichtigungen aktiviert sein. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden | Der geänderte Titel aus den S3-Zugriffskontrolllisten (ACLs) sollte nicht zur Verwaltung des Benutzerzugriffs auf Buckets verwendet werden. Er ACLssollte auch nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben | Bei der Änderung des Titels von S3-Buckets sollten die Lebenszyklusrichtlinien so konfiguriert sein, dass S3-Allzweck-Buckets Lifecycle-Konfigurationen haben sollten. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein | Bei der Änderung des Titels von S3-Buckets sollte Versionierung verwendet werden, bei S3-Buckets für allgemeine Zwecke sollte die Versionierung aktiviert sein. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein | Der geänderte Titel von S3-Buckets sollte so konfiguriert werden, dass Object Lock verwendet wird. Für S3-Allzweck-Buckets sollte Object Lock aktiviert sein. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys | Der Titel wurde von S3-Buckets sollten im Ruhezustand mit AWS KMS keys verschlüsselt werden in S3-Buckets für allgemeine Zwecke geändert. AWS KMS keys Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 7. März 2024 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt nodejs20.x und ruby3.3 als Parameter. |
| 22. Februar 2024 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt dotnet8 als Parameter. |
| 5. Februar 2024 | [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen | Security Hub hat die älteste unterstützte Version von Kubernetes, auf der der EKS Amazon-Cluster ausgeführt werden kann, aktualisiert, um ein bestehendes Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.25 |
| 10. Januar 2024 | [CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten | Der geänderte Titel CodeBuild GitHub oder das Bitbucket-Quell-Repository URLs sollte in das CodeBuild Bitbucket-Quell-Repository geändert werden und URLs darf keine vertraulichen Anmeldeinformationen enthalten. OAuth Security Hub hat die Erwähnung von entferntOAuth, da auch andere Verbindungsmethoden sicher sein können. Security Hub hat die Erwähnung von entfernt GitHub , da es nicht mehr möglich ist, ein persönliches Zugriffstoken oder einen Benutzernamen und ein Passwort im GitHub Quell-Repository zu habenURLs. |
| 8. Januar 2024 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt go1.x und nicht mehr java8 als Parameter, da es sich dabei um ausgemusterte Laufzeiten handelt. |
| 29. Dezember 2023 | [RDS.8] Für RDS DB-Instances sollte der Löschschutz aktiviert sein | RDS.8 prüft, ob für eine RDS Amazon-DB-Instance, die eine der unterstützten Datenbank-Engines verwendet, der Löschschutz aktiviert ist. Security Hub unterstützt jetzt custom-oracle-eeoracle-ee-cdb, und oracle-se2-cdb als Datenbank-Engines. |
| 22. Dezember 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt java21 und python3.12 als Parameter. Security Hub unterstützt nicht mehr ruby2.7 als Parameter. |
| 15. Dezember 2023 | Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein | CloudFront.1 prüft, ob für eine CloudFront Amazon-Distribution ein Standard-Root-Objekt konfiguriert ist. Security Hub hat den Schweregrad dieser Kontrolle von CRITICAL auf herabgesetzt, HIGH da das Hinzufügen des standardmäßigen Stammobjekts eine Empfehlung ist, die von der Anwendung und den spezifischen Anforderungen des Benutzers abhängt. |
| 05. Dezember 2023 | [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen | Der Titel des Steuerelements wurde von Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 auf Port 22 zulassen in Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 22 zulassen geändert. |
| 05. Dezember 2023 | [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen | Der Kontrolltitel wurde von „Sicherstellen, dass keine Sicherheitsgruppen den Zugriff von 0.0.0.0/0 auf Port 3389 zulassen“ in „Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen“ geändert. |
| 05. Dezember 2023 | [RDS.9] RDS DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch | Der Kontrolltitel wurde von „Datenbankprotokollierung sollte aktiviert sein“ in „DB-Instances sollten Protokolle in Logs veröffentlichen“ geändert. RDS CloudWatch Security Hub hat festgestellt, dass dieses Steuerelement nur prüft, ob Protokolle in Amazon CloudWatch Logs veröffentlicht werden, und nicht, ob RDS Protokolle aktiviert sind. Die Steuerung stellt PASSED fest, ob RDS DB-Instances so konfiguriert sind, dass sie CloudWatch Protokolle in Logs veröffentlichen. Der Titel des Steuerelements wurde aktualisiert, um das aktuelle Verhalten widerzuspiegeln. |
| 05. Dezember 2023 | [EKS.8] Bei EKS Clustern sollte die Audit-Protokollierung aktiviert sein | Diese Kontrolle prüft, ob Amazon EKS Amazon-Clustern die Audit-Protokollierung aktiviert ist. Die AWS Config Regel, die Security Hub zur Auswertung dieser Kontrolle verwendet, wurde von eks-cluster-logging-enabled zu geänderteks-cluster-log-enabled. |
| 17. November 2023 | [EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen | EC2.19 überprüft, ob uneingeschränkter eingehender Datenverkehr für eine Sicherheitsgruppe über die angegebenen Ports zugänglich ist, die als risikoreich eingestuft werden. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. |
| 16. November 2023 | [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein | Der Titel des Steuerelements wurde von „CloudWatch Alarme sollte eine Aktion für den ALARM Status konfigurieren“ zu „ CloudWatch Alarme sollten bestimmte Aktionen konfiguriert haben“ geändert. |
| 16. November 2023 | [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden | Der geänderte Kontrolltitel aus CloudWatch Protokollgruppen sollte mindestens ein Jahr lang aufbewahrt werden, während CloudWatch Protokollgruppen für einen bestimmten Zeitraum aufbewahrt werden sollten. |
| 16. November 2023 | [Lambda.5] VPC Lambda-Funktionen sollten in mehreren Availability Zones funktionieren | Der Steuertitel wurde von VPCLambda-Funktionen sollten in mehr als einer Availability Zone funktionieren, zu VPCLambda-Funktionen sollten in mehreren Availability Zones funktionieren. |
| 16. November 2023 | [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben | Der Titel des Steuerelements wurde von „Die Protokollierung auf Anfrage- und Feldebene AWS AppSync sollte aktiviert sein“ in „Die Protokollierung auf Feldebene sollte aktiviert sein“ geändert.AWS AppSync |
| 16. November 2023 | [EMR.1] EMR Amazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben | Der Kontrolltitel wurde von Amazon Elastic MapReduce Cluster-Masterknoten sollten keine öffentlichen IP-Adressen haben zu EMRAmazon-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben. |
| 16. November 2023 | [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein | Der geänderte Kontrolltitel von OpenSearch Domains sollte in a VPC stehen und OpenSearchDomains sollten nicht öffentlich zugänglich sein. |
| 16. November 2023 | [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein | Der geänderte Titel des Steuerelements von Elasticsearch-Domänen sollte in A stehen VPC und Elasticsearch-Domänen sollten nicht öffentlich zugänglich sein. |
| 31. Oktober 2023 | [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein | ES.4 prüft, ob Elasticsearch-Domains so konfiguriert sind, dass sie Fehlerprotokolle an Amazon CloudWatch Logs senden. Die Kontrolle ergab zuvor einen PASSED Befund für eine Elasticsearch-Domain, deren Logs so konfiguriert sind, dass sie an Logs gesendet werden. CloudWatch Security Hub hat das Steuerelement aktualisiert, sodass nur Ergebnisse für PASSED eine Elasticsearch-Domain generiert werden, die so konfiguriert ist, dass sie CloudWatch Fehlerprotokolle an Logs sendet. Das Steuerelement wurde außerdem aktualisiert, sodass Elasticsearch-Versionen, die keine Fehlerprotokolle unterstützen, von der Auswertung ausgeschlossen werden. |
| 16. Oktober 2023 | [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen | EC2.13 prüft, ob Sicherheitsgruppen uneingeschränkten Eingangszugriff auf Port 22 zulassen. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. |
| 16. Oktober 2023 | [EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen | EC2.14 überprüft, ob Sicherheitsgruppen uneingeschränkten Zugriff auf Port 3389 zulassen. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. |
| 16. Oktober 2023 | [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen | EC2.18 überprüft, ob die verwendeten Sicherheitsgruppen uneingeschränkten eingehenden Datenverkehr zulassen. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. |
| 16. Oktober 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt python3.11 als Parameter. |
| 04. Oktober 2023 | [S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden | Security Hub hat den Parameter ReplicationType mit dem Wert von hinzugefügt, CROSS-REGION um sicherzustellen, dass bei S3-Buckets die regionsübergreifende Replikation aktiviert ist und nicht die Replikation derselben Region. |
| 27. September 2023 | [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen | Security Hub hat die älteste unterstützte Version von Kubernetes, auf der der EKS Amazon-Cluster ausgeführt werden kann, aktualisiert, um ein bestehendes Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.24 |
| 20. September 2023 | CloudFront.2 — Bei CloudFront Distributionen sollte die Origin-Zugriffsidentität aktiviert sein | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Folgen Sie stattdessen der Anleitung unter [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden. Die Zugriffskontrolle von Origin ist derzeit die bewährte Methode im Bereich Sicherheit. Diese Kontrolle wird innerhalb von 90 Tagen aus der Dokumentation entfernt. |
| 20. September 2023 | [EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden | Security Hub hat dieses Steuerelement aus AWS Foundational Security Best Practices (FSBP) und SP 800-53 Rev. 5 des National Institute of Standards and Technology (NIST) entfernt. Es ist immer noch Teil des Service-Managed Standard:. AWS Control Tower Dieses Steuerelement führt zu einer bestandenen Feststellung, ob Sicherheitsgruppen an EC2 Instances oder an eine elastic network interface angehängt sind. In bestimmten Anwendungsfällen stellen nicht verknüpfte Sicherheitsgruppen jedoch kein Sicherheitsrisiko dar. Sie können andere EC2 Steuerelemente wie EC2 .2, EC2 .13, EC2 .14, EC2 .18 und .19 verwenden, um Ihre Sicherheitsgruppen zu überwachen. EC2 |
| 20. September 2023 | EC2EC2.29 — Instances sollten in einem gestartet werden VPC | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Amazon EC2 hat EC2 -Classic-Instances auf a migriert. VPC Dieses Steuerelement wird innerhalb von 90 Tagen aus der Dokumentation entfernt. |
| 20. September 2023 | S3.4 — Bei S3-Buckets sollte die serverseitige Verschlüsselung aktiviert sein | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Amazon S3 bietet jetzt Standardverschlüsselung mit S3-verwalteten Schlüsseln (SS3-S3) für neue und bestehende S3-Buckets. Die Verschlüsselungseinstellungen für bestehende Buckets, die mit SS3 -S3 oder SS3 - serverseitiger Verschlüsselung verschlüsselt sind, sind unverändert. KMS Dieses Steuerelement wird in 90 Tagen aus der Dokumentation entfernt. |
| 14. September 2023 | [EC2.2] VPC Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen | Der Titel des Steuerelements wurde von Die VPC Standardsicherheitsgruppe sollte keinen eingehenden und ausgehenden Verkehr zulassen in die VPCStandardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen geändert. |
| 14. September 2023 | [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein | Der Steuerelementtitel wurde von Virtuell MFA für den Root-Benutzer geändert und MFA sollte für den Root-Benutzer aktiviert werden. |
|
14. September 2023 |
[RDS.19] Bestehende Abonnements für RDS Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden | Der Titel des Steuerelements wurde von Ein Abonnement für RDS Ereignisbenachrichtigungen sollte für kritische Clusterereignisse konfiguriert werden in Bestehende Abonnements für RDS Ereignisbenachrichtigungen sollten für kritische Clusterereignisse konfiguriert werden geändert. |
| 14. September 2023 | [RDS.20] Bestehende Abonnements für RDS Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden | Der Titel des Steuerelements wurde von Ein Abonnement für RDS Ereignisbenachrichtigungen sollte für kritische Datenbankinstanzereignisse konfiguriert werden in Bestehende Abonnements für RDS Ereignisbenachrichtigungen sollten für kritische Datenbankinstanzereignisse konfiguriert werden geändert. |
| 14. September 2023 | [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten | Der Titel des Steuerelements wurde von „Eine WAF regionale Regel sollte mindestens eine Bedingung haben“ in „AWS WAF Klassische regionale Regeln müssen mindestens eine Bedingung haben“ geändert. |
| 14. September 2023 | [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben | Der Kontrolltitel wurde von „Eine WAF regionale Regelgruppe sollte mindestens eine Regel haben“ in „AWS WAF Klassische regionale Regelgruppen“ geändert, die mindestens eine Regel haben sollten. |
| 14. September 2023 | [WAF.4] Das AWS WAF klassische regionale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten | Der Steuerelementtitel wurde von A WAF Regional web ACL sollte mindestens eine Regel oder Regelgruppe haben in AWS WAF Classic Regional web ACLs sollte mindestens eine Regel oder Regelgruppe haben geändert. |
| 14. September 2023 | [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben | Der Titel des Steuerelements wurde von Eine WAF globale Regel sollte mindestens eine Bedingung haben in AWS WAF Klassische globale Regeln müssen mindestens eine Bedingung haben geändert. |
| 14. September 2023 | [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben | Der Titel des Steuerelements wurde von „Eine WAF globale Regelgruppe sollte mindestens eine Regel haben“ zu „AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben“ geändert. |
| 14. September 2023 | [WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten | Der Titel des Steuerelements wurde von Ein WAF globales Web ACL sollte mindestens eine Regel oder Regelgruppe haben zu AWS WAF Klassisches globales Web ACLs sollte mindestens eine Regel oder Regelgruppe haben geändert. |
| 14. September 2023 | [WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben | Der Titel des Steuerelements wurde von Ein WAFv2 Web ACL sollte mindestens eine Regel oder Regelgruppe haben zu AWS WAF Web ACLs sollte mindestens eine Regel oder Regelgruppe haben geändert. |
| 14. September 2023 | [WAF.11] Die AWS WAF ACL Webprotokollierung sollte aktiviert sein | Der Titel des Steuerelements wurde von AWS WAF ACLv2-Webprotokollierung sollte aktiviert zu AWS WAF ACLWebprotokollierung sollte aktiviert werden geändert. |
|
20. Juli 2023 |
S3.4 — Bei S3-Buckets sollte die serverseitige Verschlüsselung aktiviert sein | S3.4 prüft, ob für einen Amazon S3 S3-Bucket entweder die serverseitige Verschlüsselung aktiviert ist oder ob die S3-Bucket-Richtlinie PutObject Anfragen ohne serverseitige Verschlüsselung explizit ablehnt. Security Hub hat diese Steuerung aktualisiert und umfasst nun eine serverseitige Dual-Layer-Verschlüsselung mit KMS Schlüsseln (DSSE-KMS). Wenn ein S3-Bucket mit SSE -S3, - oder SSE DSSE - KMS verschlüsselt ist, gibt das Steuerelement ein passendes Ergebnis aus. KMS |
| 17. Juli 2023 | [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys | S3.17 prüft, ob ein Amazon S3 S3-Bucket mit einem verschlüsselt ist. AWS KMS key Security Hub hat diese Steuerung aktualisiert und umfasst nun eine serverseitige Dual-Layer-Verschlüsselung mit KMS Schlüsseln (DSSE-KMS). Wenn ein S3-Bucket mit SSE - KMS oder DSSE - KMS verschlüsselt ist, gibt das Steuerelement ein passendes Ergebnis zurück. |
| 9. Juni 2023 | [EKS.2] EKS Cluster sollten auf einer unterstützten Kubernetes-Version laufen | EKS.2 prüft, ob ein EKS Amazon-Cluster auf einer unterstützten Kubernetes-Version läuft. Die älteste unterstützte Version ist jetzt. 1.23 |
| 9. Juni 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt ruby3.2 als Parameter. |
| 5. Juni 2023 | [APIGateway.5] API REST API Gateway-Cache-Daten sollten im Ruhezustand verschlüsselt werden | APIGateway.5.prüft, ob alle Methoden in Amazon API REST API Gateway-Stufen im Ruhezustand verschlüsselt sind. Security Hub hat das Steuerelement aktualisiert, sodass die Verschlüsselung einer bestimmten Methode nur ausgewertet wird, wenn das Caching für diese Methode aktiviert ist. |
| 18. Mai 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt java17 als Parameter. |
| 18. Mai 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt nicht mehr nodejs12.x als Parameter. |
| 23. April 2023 | [ECS.10] ECS Fargate-Dienste sollten auf der neuesten Version der Fargate-Plattform laufen | ECS.10 prüft, ob die Amazon ECS Fargate-Dienste die neueste Version der Fargate-Plattform ausführen. Kunden können Amazon ECS ECS direkt oder mithilfe von bereitstellen CodeDeploy. Security Hub hat dieses Steuerelement aktualisiert, sodass bei der Bereitstellung von ECS Fargate-Diensten CodeDeploy die Ergebnisse „Bestanden“ angezeigt werden. |
| 20. April 2023 | [S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten | S3.6 prüft, ob eine Bucket-Richtlinie von Amazon Simple Storage Service (Amazon S3) verhindert, dass Prinzipale AWS-Konten anderer Benutzer verweigerte Aktionen für Ressourcen im S3-Bucket ausführen. Security Hub hat die Steuerung aktualisiert, um Bedingungen in einer Bucket-Richtlinie zu berücksichtigen. |
| 18. April 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt python3.10 als Parameter. |
| 18. April 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt nicht mehr dotnetcore3.1 als Parameter. |
| 17. April 2023 | [RDS.11] Für RDS Instances sollten automatische Backups aktiviert sein | RDS.11 überprüft, ob für RDS Amazon-Instances automatische Backups aktiviert sind, wobei die Aufbewahrungsdauer für Backups mindestens sieben Tage beträgt. Security Hub hat diese Kontrolle aktualisiert, um Read Replicas von der Evaluierung auszuschließen, da nicht alle Engines automatische Backups auf Read Replicas unterstützen. Darüber hinaus bietet RDS es nicht die Möglichkeit, bei der Erstellung von Read Replicas einen Aufbewahrungszeitraum für Backups anzugeben. Read Replicas werden standardmäßig mit einer Aufbewahrungsdauer für Backups erstellt. 0 |
