CIS AWS Tolok Ukur Yayasan - AWS Security Hub
CIS AWS Tolok Ukur Yayasan v3.0.0CIS AWS Tolok Ukur Yayasan v1.4.0CIS AWS Tolok Ukur Yayasan v1.2.0Perbandingan versi untuk CIS AWS Foundations Benchmark

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CIS AWS Tolok Ukur Yayasan

Pusat Keamanan Internet (CIS) AWS Foundations Benchmark berfungsi sebagai seperangkat praktik terbaik konfigurasi keamanan untuk AWS. Praktik terbaik yang diterima industri ini memberi Anda prosedur step-by-step implementasi, dan penilaian yang jelas. Mulai dari sistem operasi hingga layanan cloud dan perangkat jaringan, kontrol dalam tolok ukur ini membantu Anda melindungi sistem spesifik yang digunakan organisasi Anda.

AWS Security Hub mendukung CIS AWS Foundations Benchmark v3.0.0, 1.4.0, dan v1.2.0.

Halaman ini mencantumkan kontrol keamanan yang didukung setiap versi dan memberikan perbandingan versi.

CIS AWS Tolok Ukur Yayasan v3.0.0

Security Hub mendukung versi 3.0.0 dari CIS AWS Foundations Benchmark.

Security Hub telah memenuhi persyaratan Sertifikasi Perangkat Lunak CIS Keamanan dan telah diberikan Sertifikasi Perangkat Lunak CIS Keamanan untuk CIS Tolok Ukur berikut:

  • CISBenchmark untuk Tolok Ukur CIS AWS Yayasan, v3.0.0, Level 1

  • CISBenchmark untuk Tolok Ukur CIS AWS Yayasan, v3.0.0, Level 2

Kontrol yang berlaku untuk CIS AWS Foundations Benchmark v3.0.0

[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS

[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis

[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat

[CloudTrail.4] validasi file CloudTrail log harus diaktifkan

[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3

[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya

[EC2.2] Grup keamanan VPC default tidak boleh mengizinkan lalu lintas masuk atau keluar

[EC2.6] VPC flow logging harus diaktifkan di semua VPCs

[EC2.7] enkripsi EBS default harus diaktifkan

[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389

[EC2.53] grup EC2 keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh

[EC2.54] grup EC2 keamanan tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh

[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS

[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan

[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang

[IAM.4] kunci akses pengguna IAM root seharusnya tidak ada

[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol

[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root

[IAM.9] MFA harus diaktifkan untuk pengguna root

[IAM.15] Pastikan kebijakan IAM kata sandi memerlukan panjang kata sandi minimum 14 atau lebih

[IAM.16] Pastikan kebijakan IAM kata sandi mencegah penggunaan kembali kata sandi

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support

[IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus

[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus

[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess

[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan

[KMS.4] rotasi AWS KMS tombol harus diaktifkan

[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible

[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat

[RDS.13] upgrade versi minor RDS otomatis harus diaktifkan

[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok

[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk digunakan SSL

[S3.8] Bucket tujuan umum S3 harus memblokir akses publik

[S3.20] Bucket tujuan umum S3 seharusnya telah mengaktifkan penghapusan MFA

[S3.22] Bucket tujuan umum S3 harus mencatat peristiwa penulisan tingkat objek

[S3.23] Bucket tujuan umum S3 harus mencatat peristiwa pembacaan tingkat objek

CIS AWS Tolok Ukur Yayasan v1.4.0

Security Hub mendukung v1.4.0 dari CIS AWS Foundations Benchmark.

Kontrol yang berlaku untuk CIS AWS Foundations Benchmark v1.4.0

[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis

[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat

[CloudTrail.4] validasi file CloudTrail log harus diaktifkan

[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch

[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik

[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3

[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”

[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan IAM kebijakan

[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk CloudTrail AWS Config perubahan urasi

[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk AWS Management Console kegagalan otentikasi

[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan

[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3

[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk AWS Config perubahan konfigurasi

[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan

[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan () NACL

[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan pada gateway jaringan

[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute

[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC

[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya

[EC2.2] Grup keamanan VPC default tidak boleh mengizinkan lalu lintas masuk atau keluar

[EC2.6] VPC flow logging harus diaktifkan di semua VPCs

[EC2.7] enkripsi EBS default harus diaktifkan

[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389

[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh

[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang

[IAM.4] kunci akses pengguna IAM root seharusnya tidak ada

[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol

[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root

[IAM.9] MFA harus diaktifkan untuk pengguna root

[IAM.15] Pastikan kebijakan IAM kata sandi memerlukan panjang kata sandi minimum 14 atau lebih

[IAM.16] Pastikan kebijakan IAM kata sandi mencegah penggunaan kembali kata sandi

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support

[IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus

[KMS.4] rotasi AWS KMS tombol harus diaktifkan

[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat

[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok

[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk digunakan SSL

[S3.8] Bucket tujuan umum S3 harus memblokir akses publik

[S3.20] Bucket tujuan umum S3 seharusnya telah mengaktifkan penghapusan MFA

Pusat Keamanan Internet (CIS) Tolok Ukur AWS Yayasan v1.2.0

Security Hub mendukung versi 1.2.0 dari CIS AWS Foundations Benchmark.

Security Hub telah memenuhi persyaratan Sertifikasi Perangkat Lunak CIS Keamanan dan telah diberikan Sertifikasi Perangkat Lunak CIS Keamanan untuk CIS Tolok Ukur berikut:

  • CISBenchmark untuk Tolok Ukur CIS AWS Yayasan, v1.2.0, Level 1

  • CISBenchmark untuk Tolok Ukur CIS AWS Yayasan, v1.2.0, Level 2

Kontrol yang berlaku untuk CIS AWS Foundations Benchmark v1.2.0

[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis

[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat

[CloudTrail.4] validasi file CloudTrail log harus diaktifkan

[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch

[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik

[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3

[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”

[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan yang tidak sah API

[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA

[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan IAM kebijakan

[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk CloudTrail AWS Config perubahan urasi

[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk AWS Management Console kegagalan otentikasi

[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan

[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3

[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk AWS Config perubahan konfigurasi

[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan

[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan () NACL

[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan pada gateway jaringan

[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute

[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC

[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya

[EC2.2] Grup keamanan VPC default tidak boleh mengizinkan lalu lintas masuk atau keluar

[EC2.6] VPC flow logging harus diaktifkan di semua VPCs

[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22

[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389

[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh

[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan

[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang

[IAM.4] kunci akses pengguna IAM root seharusnya tidak ada

[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol

[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root

[IAM.8] Kredensi IAM pengguna yang tidak digunakan harus dihapus

[IAM.9] MFA harus diaktifkan untuk pengguna root

[IAM.11] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf besar

[IAM.12] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf kecil

[IAM.13] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu simbol

[IAM.14] Pastikan kebijakan IAM kata sandi membutuhkan setidaknya satu nomor

[IAM.15] Pastikan kebijakan IAM kata sandi memerlukan panjang kata sandi minimum 14 atau lebih

[IAM.16] Pastikan kebijakan IAM kata sandi mencegah penggunaan kembali kata sandi

[IAM.17] Pastikan kebijakan IAM kata sandi kedaluwarsa kata sandi dalam waktu 90 hari atau kurang

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support

[KMS.4] rotasi AWS KMS tombol harus diaktifkan

Perbandingan versi untuk CIS AWS Foundations Benchmark

Bagian ini merangkum perbedaan antara Center for Internet Security (CIS) AWS Foundations Benchmark v3.0.0, v1.4.0, dan v1.2.0.

Security Hub mendukung setiap versi Tolok Ukur CIS AWS Yayasan ini, tetapi sebaiknya gunakan v3.0.0 untuk tetap mengikuti praktik terbaik keamanan. Anda dapat mengaktifkan beberapa versi standar secara bersamaan. Untuk petunjuk tentang mengaktifkan standar, lihatMengaktifkan standar keamanan di Security Hub. Jika Anda ingin memutakhirkan ke v3.0.0, aktifkan terlebih dahulu sebelum menonaktifkan versi yang lebih lama. Ini mencegah celah dalam pemeriksaan keamanan Anda. Jika Anda menggunakan integrasi Security Hub dengan AWS Organizations dan ingin mengaktifkan batch v3.0.0 di beberapa akun, sebaiknya gunakan konfigurasi pusat.

Pemetaan kontrol ke CIS persyaratan di setiap versi

Memahami kontrol mana yang mendukung setiap versi CIS AWS Foundations Benchmark.

Kontrol ID dan judul CISpersyaratan v3.0.0 CISpersyaratan v1.4.0 CISpersyaratan v1.2.0

[Akun.1] Informasi kontak keamanan harus disediakan untuk Akun AWS

1.2

1.2

1.18

[CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis

3.1

3.1

2.1

[CloudTrail.2] CloudTrail harus mengaktifkan enkripsi saat istirahat

3.5

3.7

2.7

[CloudTrail.4] validasi file CloudTrail log harus diaktifkan

3.2

3.2

2.2

[CloudTrail.5] CloudTrail jalur harus diintegrasikan dengan Amazon Logs CloudWatch

Tidak didukung - CIS menghapus persyaratan ini

3.4

2.4

[CloudTrail.6] Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik

Tidak didukung - CIS menghapus persyaratan ini

3.3

2.3

[CloudTrail.7] Pastikan pencatatan akses bucket S3 diaktifkan pada bucket CloudTrail S3

3.4

3.6

2.6

[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”

Tidak didukung - pemeriksaan manual

4.3

3.3

[CloudWatch.2] Pastikan filter metrik log dan alarm ada untuk panggilan yang tidak sah API

Tidak didukung - pemeriksaan manual

Tidak didukung - pemeriksaan manual

3.1

[CloudWatch.3] Pastikan filter metrik log dan alarm ada untuk login Konsol Manajemen tanpa MFA

Tidak didukung - pemeriksaan manual

Tidak didukung - pemeriksaan manual

3.2

[CloudWatch.4] Pastikan filter metrik log dan alarm ada untuk perubahan IAM kebijakan

Tidak didukung - pemeriksaan manual

4.4

3.4

[CloudWatch.5] Pastikan filter metrik log dan alarm ada untuk CloudTrail AWS Config perubahan urasi

Tidak didukung - pemeriksaan manual

4.5

3.5

[CloudWatch.6] Pastikan filter metrik log dan alarm ada untuk AWS Management Console kegagalan otentikasi

Tidak didukung - pemeriksaan manual

4.6

3.6

[CloudWatch.7] Pastikan filter metrik log dan alarm ada untuk menonaktifkan atau menjadwalkan penghapusan kunci yang dikelola pelanggan

Tidak didukung - pemeriksaan manual

4.7

3.7

[CloudWatch.8] Pastikan filter metrik log dan alarm ada untuk perubahan kebijakan bucket S3

Tidak didukung - pemeriksaan manual

4.8

3.8

[CloudWatch.9] Pastikan filter metrik log dan alarm ada untuk AWS Config perubahan konfigurasi

Tidak didukung - pemeriksaan manual

4.9

3.9

[CloudWatch.10] Pastikan filter metrik log dan alarm ada untuk perubahan grup keamanan

Tidak didukung - pemeriksaan manual

4.10

3.10

[CloudWatch.11] Pastikan filter metrik log dan alarm ada untuk perubahan pada Daftar Kontrol Akses Jaringan () NACL

Tidak didukung - pemeriksaan manual

4.11

3.11

[CloudWatch.12] Pastikan filter metrik log dan alarm ada untuk perubahan pada gateway jaringan

Tidak didukung - pemeriksaan manual

4.12

3.12

[CloudWatch.13] Pastikan filter metrik log dan alarm ada untuk perubahan tabel rute

Tidak didukung - pemeriksaan manual

4.13

3.13

[CloudWatch.14] Pastikan filter metrik log dan alarm ada untuk perubahan VPC

Tidak didukung - pemeriksaan manual

4.14

3.14

[Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya

3.3

3.5

2.5

[EC2.2] Grup keamanan VPC default tidak boleh mengizinkan lalu lintas masuk atau keluar

5.4

5.3

4.3

[EC2.6] VPC flow logging harus diaktifkan di semua VPCs

3.7

3.9

2.9

[EC2.7] enkripsi EBS default harus diaktifkan

2.2.1

2.2.1

Tidak didukung

[EC2.8] EC2 instance harus menggunakan Layanan Metadata Instance Versi 2 () IMDSv2

5.6

Tidak didukung

Tidak didukung

[EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22

Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3

Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3

4.1

[EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389

Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3

Tidak didukung - digantikan oleh persyaratan 5.2 dan 5.3

4.2

[EC2.21] Jaringan ACLs seharusnya tidak mengizinkan masuknya dari 0.0.0.0/0 ke port 22 atau port 3389

5.1

5.1

Tidak didukung

[EC2.53] grup EC2 keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port administrasi server jarak jauh

5.2

Tidak didukung

Tidak didukung

[EC2.54] grup EC2 keamanan tidak boleh mengizinkan masuknya dari: :/0 ke port administrasi server jarak jauh

5.3

Tidak didukung

Tidak didukung

[EFS.1] Sistem File Elastis harus dikonfigurasi untuk mengenkripsi data file saat istirahat menggunakan AWS KMS

2.4.1

Tidak didukung

Tidak didukung

[IAM.1] IAM kebijakan tidak boleh mengizinkan hak administratif “*” penuh

Tidak didukung

1.16

1.22

[IAM.2] IAM pengguna tidak boleh memiliki IAM kebijakan yang dilampirkan

1.15

Tidak didukung

1.16

[IAM.3] Kunci akses IAM pengguna harus diputar setiap 90 hari atau kurang

1.14

1.14

1.4

[IAM.4] kunci akses pengguna IAM root seharusnya tidak ada

1.4

1.4

1.12

[IAM.5] MFA harus diaktifkan untuk semua IAM pengguna yang memiliki kata sandi konsol

1.10

1.10

1.2

[IAM.6] Perangkat keras MFA harus diaktifkan untuk pengguna root

1.6

1.6

1.14

[IAM.8] Kredensi IAM pengguna yang tidak digunakan harus dihapus

Tidak didukung — lihat [IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus sebagai gantinya

Tidak didukung — lihat [IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus sebagai gantinya

1.3

[IAM.9] MFA harus diaktifkan untuk pengguna root

1.5

1.5

1.13

[IAM.11] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf besar

Tidak didukung - CIS menghapus persyaratan ini

Tidak didukung - CIS menghapus persyaratan ini

1.5

[IAM.12] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu huruf kecil

Tidak didukung - CIS menghapus persyaratan ini

Tidak didukung - CIS menghapus persyaratan ini

1.6

[IAM.13] Pastikan kebijakan IAM kata sandi memerlukan setidaknya satu simbol

Tidak didukung - CIS menghapus persyaratan ini

Tidak didukung - CIS menghapus persyaratan ini

1.7

[IAM.14] Pastikan kebijakan IAM kata sandi membutuhkan setidaknya satu nomor

Tidak didukung - CIS menghapus persyaratan ini

Tidak didukung - CIS menghapus persyaratan ini

1.8

[IAM.15] Pastikan kebijakan IAM kata sandi memerlukan panjang kata sandi minimum 14 atau lebih

1.8

1.8

1.9

[IAM.16] Pastikan kebijakan IAM kata sandi mencegah penggunaan kembali kata sandi

1.9

1.9

1.10

[IAM.17] Pastikan kebijakan IAM kata sandi kedaluwarsa kata sandi dalam waktu 90 hari atau kurang

Tidak didukung - CIS menghapus persyaratan ini

Tidak didukung - CIS menghapus persyaratan ini

1.11

[IAM.18] Memastikan peran dukungan telah dibuat untuk mengelola insiden dengan AWS Support

1.17

1.17

1.2

[IAM.20] Hindari penggunaan pengguna root

Tidak didukung - CIS menghapus persyaratan ini

Tidak didukung - CIS menghapus persyaratan ini

1.1

[IAM.22] kredensi IAM pengguna yang tidak digunakan selama 45 hari harus dihapus

1.12

1.12

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

[IAM.26] SSL TLS Kedaluwarsa/sertifikat yang dikelola IAM harus dihapus

1.19

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

[IAM.27] IAM identitas seharusnya tidak memiliki kebijakan yang dilampirkan AWSCloudShellFullAccess

1.22

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

[IAM.28] IAM Access Analyzer penganalisis akses eksternal harus diaktifkan

1.20

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

[KMS.4] rotasi AWS KMS tombol harus diaktifkan

3.6

3.8

2.8

[Macie.1] Amazon Macie harus diaktifkan

Tidak didukung - pemeriksaan manual

Tidak didukung - pemeriksaan manual

Tidak didukung - pemeriksaan manual

[RDS.2] Instans RDS DB harus melarang akses publik, sebagaimana ditentukan oleh konfigurasi PubliclyAccessible

2.3.3

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

[RDS.3] Instans RDS DB harus mengaktifkan enkripsi saat istirahat

2.3.1

2.3.1

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

[RDS.13] upgrade versi minor RDS otomatis harus diaktifkan

2.3.2

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

[S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok

2.1.4

2.1.5

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

[S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk digunakan SSL

2.1.1

2.1.2

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

[S3.8] Bucket tujuan umum S3 harus memblokir akses publik

2.1.4

2.1.5

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

[S3.20] Bucket tujuan umum S3 seharusnya telah mengaktifkan penghapusan MFA

2.1.2

2.1.3

Tidak didukung - CIS menambahkan persyaratan ini di versi yang lebih baru

ARNsuntuk Tolok Ukur CIS AWS Yayasan

Ketika Anda mengaktifkan satu atau beberapa versi CIS AWS Foundations Benchmark, Anda akan mulai menerima temuan dalam AWS Security Finding Format (ASFF). DiASFF, setiap versi menggunakan Amazon Resource Name (ARN) berikut:

CIS AWS Tolok Ukur Yayasan v3.0.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0

CIS AWS Tolok Ukur Yayasan v1.4.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0

CIS AWS Tolok Ukur Yayasan v1.2.0

arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

Anda dapat menggunakan GetEnabledStandardspengoperasian Security Hub API untuk mengetahui standar ARN yang diaktifkan.

Nilai-nilai sebelumnya adalah untuk. StandardsArn Namun, StandardsSubscriptionArn mengacu pada sumber daya langganan standar yang dibuat Security Hub saat Anda berlangganan standar dengan menelepon BatchEnableStandardsdi suatu wilayah.

catatan

Saat Anda mengaktifkan versi CIS AWS Foundations Benchmark, Security Hub dapat memakan waktu hingga 18 jam untuk menghasilkan temuan untuk kontrol yang menggunakan aturan AWS Config terkait layanan yang sama dengan kontrol yang diaktifkan dalam standar lain yang diaktifkan. Untuk informasi lebih lanjut tentang jadwal untuk menghasilkan temuan kontrol, lihatJadwal untuk menjalankan pemeriksaan keamanan.

Menemukan bidang berbeda jika Anda mengaktifkan temuan kontrol konsolidasi. Untuk informasi selengkapnya tentang metrik ini, lihat Dampak konsolidasi pada ASFF bidang dan nilai. Untuk temuan kontrol sampel, lihatTemuan kontrol sampel di Security Hub.

CISpersyaratan yang tidak didukung di Security Hub

Seperti disebutkan dalam tabel sebelumnya, Security Hub tidak mendukung setiap CIS persyaratan di setiap versi Tolok Ukur CIS AWS Yayasan. Banyak persyaratan yang tidak didukung hanya dapat dievaluasi secara manual dengan meninjau status sumber daya Anda. AWS