CIS AWS Benchmark des fondations - AWS Security Hub
CIS AWS Foundations Benchmark v3.0.0CIS AWS Foundations Benchmark v1.4.0CIS AWS Foundations Benchmark v1.2.0Comparaison des versions pour CIS AWS Foundations Benchmark

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CIS AWS Benchmark des fondations

Le Center for Internet Security (CIS) AWS Foundations Benchmark sert d'ensemble de meilleures pratiques de configuration de sécurité pour AWS. Ces meilleures pratiques reconnues par l'industrie vous fournissent des procédures claires de step-by-step mise en œuvre et d'évaluation. Qu'il s'agisse de systèmes d'exploitation, de services cloud ou d'appareils réseau, les contrôles de ce benchmark vous aident à protéger les systèmes spécifiques utilisés par votre entreprise.

AWS Security Hub prend en charge CIS AWS Foundations Benchmark v3.0.0, 1.4.0 et v1.2.0.

Cette page répertorie les contrôles de sécurité pris en charge par chaque version et fournit une comparaison des versions.

CIS AWS Foundations Benchmark v3.0.0

Security Hub prend en charge la version 3.0.0 du CIS AWS Foundations Benchmark.

Security Hub a satisfait aux exigences de certification des logiciels de CIS sécurité et a obtenu la certification des logiciels CIS de sécurité pour les CIS tests de performance suivants :

  • CISBenchmark for CIS AWS Foundations Benchmark, v3.0.0, niveau 1

  • CISBenchmark for CIS AWS Foundations Benchmark, v3.0.0, niveau 2

Contrôles applicables à CIS AWS Foundations Benchmark v3.0.0

[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS

[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée

[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3

[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs

[EC2.7] le chiffrement EBS par défaut doit être activé

[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389

[EC2.53] les groupes EC2 de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants

[EC2.54] les groupes EC2 de sécurité ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants

[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

[IAM.2] IAM les utilisateurs ne doivent pas avoir IAM de politiques associées

[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

[IAM.9] MFA doit être activé pour l'utilisateur root

[IAM.15] Assurez-vous que la politique IAM de mot de passe exige une longueur de mot de passe minimale de 14 ou plus

[IAM.16] Assurez-vous que la politique de IAM mot de passe empêche la réutilisation des mots de passe

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec Support

[IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées

[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé

[KMS.4] AWS KMS La rotation des touches doit être activée

[RDS.2] Les RDS instances de base de données doivent interdire l'accès public, tel que déterminé par la PubliclyAccessible configuration

[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données

[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL

[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

[S3.20] La suppression des compartiments S3 à usage général devrait être activée MFA

[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets

[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets

CIS AWS Foundations Benchmark v1.4.0

Security Hub prend en charge la version 1.4.0 du CIS AWS Foundations Benchmark.

Contrôles applicables à CIS AWS Foundations Benchmark v1.4.0

[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée

[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3

[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

[CloudWatch.4] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications IAM de politique

[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour CloudTrail AWS Config changements de durée

[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent pour AWS Management Console échecs d'authentification

[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client

[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3

[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour AWS Config modifications de configuration

[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité

[CloudWatch.11] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès au réseau () NACL

[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau

[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage

[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications VPC

[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs

[EC2.7] le chiffrement EBS par défaut doit être activé

[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389

[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

[IAM.9] MFA doit être activé pour l'utilisateur root

[IAM.15] Assurez-vous que la politique IAM de mot de passe exige une longueur de mot de passe minimale de 14 ou plus

[IAM.16] Assurez-vous que la politique de IAM mot de passe empêche la réutilisation des mots de passe

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec Support

[IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées

[KMS.4] AWS KMS La rotation des touches doit être activée

[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL

[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

[S3.20] La suppression des compartiments S3 à usage général devrait être activée MFA

Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

Security Hub prend en charge la version 1.2.0 du CIS AWS Foundations Benchmark.

Security Hub a satisfait aux exigences de certification des logiciels de CIS sécurité et a obtenu la certification des logiciels CIS de sécurité pour les CIS tests de performance suivants :

  • CISBenchmark for CIS AWS Foundations Benchmark, v1.2.0, niveau 1

  • CISBenchmark for CIS AWS Foundations Benchmark, v1.2.0, niveau 2

Contrôles applicables à CIS AWS Foundations Benchmark v1.2.0

[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée

[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3

[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

[CloudWatch.2] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les API appels non autorisés

[CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA

[CloudWatch.4] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications IAM de politique

[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour CloudTrail AWS Config changements de durée

[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent pour AWS Management Console échecs d'authentification

[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client

[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3

[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour AWS Config modifications de configuration

[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité

[CloudWatch.11] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès au réseau () NACL

[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau

[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage

[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications VPC

[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs

[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

[IAM.2] IAM les utilisateurs ne doivent pas avoir IAM de politiques associées

[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

[IAM.9] MFA doit être activé pour l'utilisateur root

[IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule

[IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule

[IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole

[IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre

[IAM.15] Assurez-vous que la politique IAM de mot de passe exige une longueur de mot de passe minimale de 14 ou plus

[IAM.16] Assurez-vous que la politique de IAM mot de passe empêche la réutilisation des mots de passe

[IAM.17] Assurez-vous que la politique IAM de mot de passe expire les mots de passe dans un délai de 90 jours ou moins

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec Support

[KMS.4] AWS KMS La rotation des touches doit être activée

Comparaison des versions pour CIS AWS Foundations Benchmark

Cette section résume les différences entre les versions 3.0.0, v1.4.0 et v1.2.0 du Center for Internet Security (CIS) AWS Foundations Benchmark.

Security Hub prend en charge chacune de ces versions du CIS AWS Foundations Benchmark, mais nous vous recommandons d'utiliser la version 3.0.0 pour rester au fait des meilleures pratiques en matière de sécurité. Vous pouvez activer plusieurs versions de la norme en même temps. Pour obtenir des instructions sur les normes habilitantes, voirActivation d'une norme de sécurité dans Security Hub. Si vous souhaitez passer à la version 3.0.0, activez-la d'abord avant de désactiver une ancienne version. Cela permet d'éviter les failles dans vos contrôles de sécurité. Si vous utilisez l'intégration de Security Hub avec la version 3.0.0 AWS Organizations et que vous souhaitez activer par lots la version 3.0.0 sur plusieurs comptes, nous vous recommandons d'utiliser une configuration centralisée.

Cartographie des contrôles en CIS fonction des exigences dans chaque version

Découvrez les contrôles pris en charge par chaque version du CIS AWS Foundations Benchmark.

ID et titre du contrôle CISExigence v3.0.0 CISExigence v1.4.0 CISExigence v1.2.0

[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS

1.2

1.2

1,18

[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

3.1

3.1

2.1

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

3,5

3.7

2.7

[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée

3.2

3.2

2.2

[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

Non pris en charge : cette exigence CIS a été supprimée

3.4

2,4

[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

Non pris en charge : cette exigence CIS a été supprimée

3.3

2.3

[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3

3.4

3.6

2.6

[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

Non pris en charge — vérification manuelle

4.3

3.3

[CloudWatch.2] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les API appels non autorisés

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

3.1

[CloudWatch.3] Assurez-vous qu'un filtre métrique et une alarme de journal existent pour la connexion à la console de gestion sans MFA

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

3.2

[CloudWatch.4] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications IAM de politique

Non pris en charge — vérification manuelle

4,4

3.4

[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour CloudTrail AWS Config changements de durée

Non pris en charge — vérification manuelle

4,5

3,5

[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent pour AWS Management Console échecs d'authentification

Non pris en charge — vérification manuelle

4.6

3.6

[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client

Non pris en charge — vérification manuelle

4,7

3.7

[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3

Non pris en charge — vérification manuelle

4.8

3.8

[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour AWS Config modifications de configuration

Non pris en charge — vérification manuelle

4,9

3.9

[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité

Non pris en charge — vérification manuelle

4,10

3,10

[CloudWatch.11] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès au réseau () NACL

Non pris en charge — vérification manuelle

4,11

3,11

[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau

Non pris en charge — vérification manuelle

4,12

3,12

[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage

Non pris en charge — vérification manuelle

4,13

3.13

[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications VPC

Non pris en charge — vérification manuelle

4,14

3,14

[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

3.3

3,5

2,5

[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

5.4

5.3

4.3

[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs

3.7

3.9

2.9

[EC2.7] le chiffrement EBS par défaut doit être activé

2.2.1

2.2.1

Non pris en charge

[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

5.6

Non pris en charge

Non pris en charge

[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

Non pris en charge — remplacé par les exigences 5.2 et 5.3

Non pris en charge — remplacé par les exigences 5.2 et 5.3

4.1

[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

Non pris en charge — remplacé par les exigences 5.2 et 5.3

Non pris en charge — remplacé par les exigences 5.2 et 5.3

4.2

[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389

5.1

5.1

Non pris en charge

[EC2.53] les groupes EC2 de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants

5.2

Non pris en charge

Non pris en charge

[EC2.54] les groupes EC2 de sécurité ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants

5.3

Non pris en charge

Non pris en charge

[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

2.4.1

Non pris en charge

Non pris en charge

[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

Non pris en charge

1.16

1,22

[IAM.2] IAM les utilisateurs ne doivent pas avoir IAM de politiques associées

1.15

Non pris en charge

1.16

[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

1.14

1.14

1.4

[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

1.4

1.4

1.12

[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

1.10

1.10

1.2

[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

1.6

1.6

1.14

[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

Non pris en charge — voir [IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées plutôt

Non pris en charge — voir [IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées plutôt

1.3

[IAM.9] MFA doit être activé pour l'utilisateur root

1.5

1.5

1.13

[IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule

Non pris en charge : cette exigence CIS a été supprimée

Non pris en charge : cette exigence CIS a été supprimée

1.5

[IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule

Non pris en charge : cette exigence CIS a été supprimée

Non pris en charge : cette exigence CIS a été supprimée

1.6

[IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole

Non pris en charge : cette exigence CIS a été supprimée

Non pris en charge : cette exigence CIS a été supprimée

1,7

[IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre

Non pris en charge : cette exigence CIS a été supprimée

Non pris en charge : cette exigence CIS a été supprimée

1.8

[IAM.15] Assurez-vous que la politique IAM de mot de passe exige une longueur de mot de passe minimale de 14 ou plus

1.8

1.8

1.9

[IAM.16] Assurez-vous que la politique de IAM mot de passe empêche la réutilisation des mots de passe

1.9

1.9

1.10

[IAM.17] Assurez-vous que la politique IAM de mot de passe expire les mots de passe dans un délai de 90 jours ou moins

Non pris en charge : cette exigence CIS a été supprimée

Non pris en charge : cette exigence CIS a été supprimée

1.11

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec Support

1,17

1,17

1.2

[IAM.20] Évitez d'utiliser l'utilisateur root

Non pris en charge : cette exigence CIS a été supprimée

Non pris en charge : cette exigence CIS a été supprimée

1.1

[IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées

1.12

1.12

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

1,19

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

1,22

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé

1,20

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

[KMS.4] AWS KMS La rotation des touches doit être activée

3.6

3.8

2,8

[Macie.1] Amazon Macie devrait être activé

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

[RDS.2] Les RDS instances de base de données doivent interdire l'accès public, tel que déterminé par la PubliclyAccessible configuration

2.3.3

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données

2.3.1

2.3.1

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées

2.3.2

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

2.1.4

2.1.5

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL

2.1.1

2.1.2

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

2.1.4

2.1.5

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

[S3.20] La suppression des compartiments S3 à usage général devrait être activée MFA

2.1.2

2.1.3

Non pris en charge — cette exigence CIS a été ajoutée dans les versions ultérieures

ARNspour CIS AWS Foundations Benchmark

Lorsque vous activez une ou plusieurs versions de CIS AWS Foundations Benchmark, vous commencez à recevoir les résultats au format AWS Security Finding (ASFF). DansASFF, chaque version utilise le nom de ressource Amazon suivant (ARN) :

CIS AWS Foundations Benchmark v3.0.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0

CIS AWS Foundations Benchmark v1.4.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0

CIS AWS Foundations Benchmark v1.2.0

arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

Vous pouvez utiliser le GetEnabledStandardsfonctionnement du Security Hub API pour déterminer si ARN une norme est activée.

Les valeurs précédentes sont pourStandardsArn. Toutefois, StandardsSubscriptionArn fait référence à la ressource d'abonnement standard créée par Security Hub lorsque vous vous abonnez à une norme en appelant BatchEnableStandardsdans une région.

Note

Lorsque vous activez une version de CIS AWS Foundations Benchmark, Security Hub peut mettre jusqu'à 18 heures pour générer des résultats pour les contrôles qui utilisent la même règle AWS Config liée au service que les contrôles activés dans d'autres normes activées. Pour plus d'informations sur le calendrier de génération des résultats de contrôle, consultezPlanification de l'exécution des vérifications de sécurité.

Les champs de recherche diffèrent si vous activez les résultats de contrôle consolidés. Pour plus d’informations sur ces différences, consultez Impact de la consolidation sur ASFF les domaines et les valeurs. Pour les résultats du contrôle des échantillons, voirExemples de résultats de contrôle dans Security Hub.

CISexigences qui ne sont pas prises en charge dans Security Hub

Comme indiqué dans le tableau précédent, Security Hub ne prend pas en charge toutes les CIS exigences de toutes les versions du CIS AWS Foundations Benchmark. La plupart des exigences non prises en charge ne peuvent être évaluées que manuellement en examinant l'état de vos AWS ressources.