Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Registro delle modifiche per i controlli del Security Hub
Il seguente registro delle modifiche tiene traccia delle modifiche sostanziali ai controlli di AWS Security Hub sicurezza esistenti, che possono comportare modifiche allo stato generale di un controllo e allo stato di conformità dei risultati. Per informazioni su come Security Hub valuta lo stato del controllo, vedereValutazione dello stato di conformità e dello stato di controllo in Security Hub. Le modifiche possono richiedere alcuni giorni dopo la loro immissione in questo registro per avere effetto su tutte le Regioni AWS aree in cui il controllo è disponibile.
Questo registro tiene traccia delle modifiche avvenute dall'aprile 2023.
Seleziona un controllo per visualizzare ulteriori dettagli al riguardo. Le modifiche al titolo vengono annotate nella descrizione dettagliata di ogni controllo per 90 giorni.
| Data di modifica | ID e titolo del controllo | Descrizione della modifica |
|---|---|---|
| 11 ottobre 2024 | ElastiCache controlli | Titoli di controllo modificati per ElastiCache .3, ElastiCache .4, ElastiCache .5 e .7. ElastiCache I titoli non menzionano più Redis OSS perché i controlli si applicano anche a Valkey. ElastiCache |
| 27 settembre 2024 | [ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide | Il titolo di controllo modificato da Application Load Balancer deve essere configurato per eliminare le intestazioni http su Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide. |
| 19 agosto 2024 | Modifiche al titolo alla versione DMS 1.2 e controlli ElastiCache | Sono stati modificati i titoli di controllo per le versioni da DMS .12 e da ElastiCache .1 a .7. ElastiCache Abbiamo modificato questi titoli per riflettere un cambio di nome nel servizio Amazon ElastiCache (RedisOSS). |
| 15 agosto 2024 | [Configurazione 1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | Questo controllo verifica se AWS Config è abilitato, utilizza il ruolo collegato al servizio e registra le risorse per i controlli abilitati. Security Hub ha aggiunto un parametro di controllo personalizzato denominatoincludeConfigServiceLinkedRoleCheck. Impostando questo parametro sufalse, è possibile scegliere di non verificare se AWS Config utilizza il ruolo collegato al servizio. |
| 31 luglio 2024 | [IoT.1] AWS IoT Device Defender i profili di sicurezza devono essere etichettati | Il titolo di controllo modificato dai profili AWS IoT Core di sicurezza deve essere taggato ai profili AWS IoT Device Defender di sicurezza devono essere etichettati. |
| 29 luglio 2024 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub non supporta più nodejs16.x come parametro. |
| 29 luglio 2024 | [EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (EKSAmazon) viene eseguito su una versione di Kubernetes supportata. La versione più vecchia supportata è. 1.28 |
| 25 giugno 2024 | [Configurazione 1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | Questo controllo verifica se AWS Config è abilitato, utilizza il ruolo collegato al servizio e registra le risorse per i controlli abilitati. Security Hub ha aggiornato il titolo del controllo per riflettere ciò che il controllo valuta. |
| 14 giugno 2024 | [RDS.34] Aurora I SQL miei cluster DB dovrebbero pubblicare i log di controllo in Logs CloudWatch | Questo controllo verifica se un cluster Amazon Aurora My SQL DB è configurato per pubblicare log di audit su Amazon Logs. CloudWatch Security Hub ha aggiornato il controllo in modo da non generare risultati per i cluster DB Aurora Serverless v1. |
| 11 giugno 2024 | [EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (EKSAmazon) viene eseguito su una versione di Kubernetes supportata. La versione più vecchia supportata è. 1.27 |
| 10 giugno 2024 | [Configurazione 1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | Questo controllo verifica se AWS Config è abilitato e la registrazione AWS Config delle risorse è attivata. In precedenza, il controllo produceva un PASSED risultato solo se si configurava la registrazione per tutte le risorse. Security Hub ha aggiornato il controllo per produrre un PASSED risultato quando la registrazione è attivata per le risorse necessarie per i controlli abilitati. Il controllo è stato inoltre aggiornato per verificare se viene utilizzato il ruolo AWS Config collegato al servizio, che fornisce le autorizzazioni per registrare le risorse necessarie. |
| 8 maggio 2024 | [S3.20] I bucket generici S3 dovrebbero avere l'opzione di cancellazione abilitata MFA | Questo controllo verifica se un bucket con versione generica di Amazon S3 ha l'autenticazione a più fattori (), l'eliminazione abilitata. MFA In precedenza, il controllo produceva una FAILED ricerca di bucket con una configurazione del ciclo di vita. Tuttavia, l'MFAeliminazione con controllo delle versioni non può essere abilitata su un bucket con una configurazione del ciclo di vita. Security Hub ha aggiornato il controllo per non produrre risultati per i bucket con una configurazione del ciclo di vita. La descrizione del controllo è stata aggiornata per riflettere il comportamento corrente. |
| 2 maggio 2024 | [EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata | Security Hub ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il EKS cluster Amazon per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.26 |
| 30 aprile 2024 | [CloudTrail.3] Almeno un CloudTrail trail deve essere abilitato | Il titolo di controllo modificato da CloudTrail dovrebbe essere abilitato a Dovrebbe essere abilitato almeno un CloudTrail percorso. Questo controllo attualmente produce un PASSED risultato se un Account AWS ha almeno un CloudTrail percorso abilitato. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento attuale. |
| 29 aprile 2024 | [AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare controlli di integrità ELB | Il titolo di controllo modificato dai gruppi Auto Scaling associati a un Classic Load Balancer dovrebbe utilizzare i controlli dello stato del bilanciamento del carico, mentre i gruppi di Auto Scaling associati a un sistema di bilanciamento del carico dovrebbero utilizzare controlli di integrità. ELB Questo controllo attualmente valuta Application, Gateway, Network e Classic Load Balancer. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento corrente. |
| 19 aprile 2024 | [CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura | Il controllo verifica se AWS CloudTrail è abilitato e configurato con almeno un percorso multiregionale che include eventi di gestione di lettura e scrittura. In precedenza, il controllo generava erroneamente PASSED i risultati quando un account aveva CloudTrail abilitato e configurato almeno un percorso multiregionale, anche se nessun trail includeva eventi di gestione di lettura e scrittura. Il controllo ora genera un PASSED risultato solo quando CloudTrail è abilitato e configurato con almeno un percorso multiregionale che acquisisce gli eventi di gestione di lettura e scrittura. |
| 10 aprile 2024 | [Athena.1] I gruppi di lavoro Athena devono essere crittografati quando sono inattivi | Security Hub ha ritirato questo controllo e lo ha rimosso da tutti gli standard. I gruppi di lavoro Athena inviano i log ai bucket Amazon Simple Storage Service (Amazon S3). Amazon S3 ora fornisce la crittografia predefinita con chiavi gestite S3 (SS3-S3) su bucket S3 nuovi ed esistenti. |
| 10 aprile 2024 | [AutoScaling.4] La configurazione di avvio del gruppo Auto Scaling non deve avere un limite di hop di risposta ai metadati superiore a 1 | Security Hub ha ritirato questo controllo e lo ha rimosso da tutti gli standard. I limiti degli hop di risposta ai metadati per le istanze di Amazon Elastic Compute Cloud EC2 (Amazon) dipendono dal carico di lavoro. |
| 10 aprile 2024 | [CloudFormation.1] gli CloudFormation stack devono essere integrati con Simple Notification Service () SNS | Security Hub ha ritirato questo controllo e lo ha rimosso da tutti gli standard. L'integrazione degli AWS CloudFormation stack con SNS gli argomenti di Amazon non è più una best practice di sicurezza. Sebbene l'integrazione di CloudFormation stack importanti con SNS gli argomenti possa essere utile, non è necessaria per tutti gli stack. |
| 10 aprile 2024 | [CodeBuild.5] gli ambienti di CodeBuild progetto non dovrebbero avere la modalità privilegiata abilitata | Security Hub ha ritirato questo controllo e lo ha rimosso da tutti gli standard. L'attivazione della modalità privilegiata in un CodeBuild progetto non comporta un rischio aggiuntivo per l'ambiente del cliente. |
| 10 aprile 2024 | [IAM.20] Evita l'uso dell'utente root | Security Hub ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Lo scopo di questo controllo è coperto da un altro controllo,[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root». |
| 10 aprile 2024 | [SNS.2] La registrazione dello stato di consegna deve essere abilitata per i messaggi di notifica inviati a un argomento | Security Hub ha ritirato questo controllo e lo ha rimosso da tutti gli standard. La registrazione dello stato di consegna SNS degli argomenti non è più una procedura consigliata in materia di sicurezza. Sebbene la registrazione dello stato di consegna per SNS argomenti importanti possa essere utile, non è necessaria per tutti gli argomenti. |
| 10 aprile 2024 | [S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita | Security Hub ha rimosso questo controllo da AWS Foundational Security Best Practices v1.0.0 e Service-Managed Standard:. AWS Control Tower Lo scopo di questo controllo è coperto da altri due controlli: e. [S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato Questo controllo fa ancora parte dell'NISTSP 800-53 Rev. 5. |
| 10 aprile 2024 | [S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate | Security Hub ha rimosso questo controllo da AWS Foundational Security Best Practices v1.0.0 e Service-Managed Standard:. AWS Control Tower Sebbene in alcuni casi le notifiche di eventi per i bucket S3 siano utili, questa non è una best practice di sicurezza universale. Questo controllo fa ancora parte di NIST SP 800-53 Rev. 5. |
| 10 aprile 2024 | [SNS.1] SNS gli argomenti devono essere crittografati quando sono inattivi utilizzando AWS KMS | Security Hub ha rimosso questo controllo da AWS Foundational Security Best Practices v1.0.0 e Service-Managed Standard:. AWS Control Tower Per impostazione predefinita, SNS crittografa gli argomenti inattivi con la crittografia del disco. Per ulteriori informazioni, consulta Crittografia dei dati. L'utilizzo AWS KMS per crittografare gli argomenti non è più consigliato come best practice di sicurezza. Questo controllo fa ancora parte di NIST SP 800-53 Rev. 5. |
| 8 aprile 2024 | [ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata | Il titolo di controllo modificato dalla protezione da eliminazione di Application Load Balancer deve essere abilitato a Application, Gateway e Network Load Balancer dovrebbe avere la protezione da eliminazione abilitata. Questo controllo attualmente valuta Application, Gateway e Network Load Balancer. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento attuale. |
| 22 marzo 2024 | [Opensearch.8] Le connessioni ai domini devono essere crittografate utilizzando la politica di OpenSearch sicurezza più recente TLS | Il titolo di controllo modificato da Connessioni ai OpenSearch domini deve essere crittografato utilizzando TLS 1.2 a Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la politica di sicurezza più recente TLS. In precedenza, il controllo controllava solo se le connessioni ai OpenSearch domini utilizzavano la versione 1.2. TLS Il controllo ora rileva se i OpenSearch domini sono crittografati utilizzando la politica di TLS sicurezza più recente. PASSED Il titolo e la descrizione del controllo sono stati aggiornati per riflettere il comportamento corrente. |
| 22 marzo 2024 | [ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la politica di sicurezza più recente TLS | Il titolo di controllo modificato da Connections a Elasticsearch domain deve essere crittografato utilizzando TLS 1.2 a Connections to Elasticsearch domain deve essere crittografato utilizzando la politica di sicurezza più recente. TLS In precedenza, il controllo controllava solo se le connessioni ai domini Elasticsearch utilizzavano la versione 1.2. TLS Il controllo ora determina se i domini Elasticsearch sono crittografati utilizzando la politica di sicurezza più recente. PASSED TLS Il titolo e la descrizione del controllo sono stati aggiornati per riflettere il comportamento corrente. |
| 12 marzo 2024 | [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate | Il titolo modificato dall'impostazione S3 Block Public Access deve essere abilitato ai bucket generici S3 devono avere le impostazioni di accesso pubblico a blocchi abilitate. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura | La modifica del titolo dei bucket S3 dovrebbe vietare l'accesso pubblico in lettura ai bucket S3 generici e dovrebbe bloccare l'accesso pubblico in lettura. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.3] I bucket generici S3 dovrebbero bloccare l'accesso pubblico in scrittura | La modifica del titolo dei bucket S3 dovrebbe proibire l'accesso pubblico in scrittura ai bucket S3 generici e dovrebbe bloccare l'accesso pubblico in scrittura. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.5] I bucket generici S3 devono richiedere l'utilizzo di richieste SSL | Il titolo modificato dai bucket S3 dovrebbe richiedere richieste di utilizzo di Secure Socket Layer, mentre i bucket S3 per uso generico dovrebbero richiedere l'utilizzo di richieste. SSL Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS | Il titolo modificato dalle autorizzazioni S3 concesse ad altre politiche Account AWS in bucket dovrebbe essere limitato alle policy dei bucket per uso generico di S3 dovrebbero limitare l'accesso ad altri. Account AWS Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni | Il titolo modificato dai bucket S3 dovrebbe avere la replica tra regioni abilitata, mentre i bucket S3 per uso generico dovrebbero utilizzare la replica tra regioni. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni | Il titolo modificato dai bucket S3 dovrebbe avere la replica tra regioni abilitata, mentre i bucket S3 per uso generico dovrebbero utilizzare la replica tra regioni. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico | Il titolo modificato dall'impostazione S3 Block Public Access deve essere abilitato a livello di bucket, mentre i bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata | Il titolo modificato da S3 bucket La registrazione degli accessi al server deve essere abilitata a La registrazione degli accessi al server deve essere abilitata per i bucket S3 per uso generico. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita | Il titolo modificato dai bucket S3 con il controllo delle versioni abilitato dovrebbe avere politiche del ciclo di vita configurate in base ai bucket S3 per uso generico con il controllo delle versioni abilitato dovrebbero avere configurazioni del ciclo di vita. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate | Il titolo modificato dai bucket S3 dovrebbe avere le notifiche degli eventi abilitate, mentre i bucket S3 per uso generico dovrebbero avere le notifiche degli eventi abilitate. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3 | Il titolo modificato dagli elenchi di controllo degli accessi S3 (ACLs) non deve essere utilizzato per gestire l'accesso degli utenti ai bucket né per ACLs gestire l'accesso degli utenti ai bucket S3 per uso generico. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.13] I bucket S3 per uso generico devono avere configurazioni del ciclo di vita | Il titolo modificato dai bucket S3 dovrebbe avere politiche del ciclo di vita configurate in base ai bucket S3 per uso generico e i bucket S3 dovrebbero avere configurazioni del ciclo di vita. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato | Il titolo modificato dai bucket S3 dovrebbe utilizzare il controllo delle versioni, mentre i bucket S3 per uso generico dovrebbero avere il controllo delle versioni abilitato. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.15] I bucket generici S3 devono avere Object Lock abilitato | Il titolo modificato dai bucket S3 deve essere configurato per utilizzare Object Lock, mentre i bucket per uso generico S3 devono avere Object Lock abilitato. Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys | Il titolo modificato dai bucket S3 deve essere crittografato con i bucket AWS KMS keys inattivi con i bucket S3 per uso generico. AWS KMS keys Security Hub ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 7 marzo 2024 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub ora supporta nodejs20.x e ruby3.3 come parametro. |
| 22 febbraio 2024 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub ora supporta dotnet8 come parametro. |
| 5 febbraio 2024 | [EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata | Security Hub ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il EKS cluster Amazon per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.25 |
| 10 gennaio 2024 | [CodeBuild.1] L'archivio dei sorgenti di CodeBuild Bitbucket non URLs deve contenere credenziali riservate | Il titolo modificato da CodeBuild GitHub o utilizzato dal repository di origine Bitbucket in L'archivio di origine di CodeBuild Bitbucket URLs non deve OAuth contenere credenziali sensibili. URLs Security Hub ha rimosso la menzione OAuth perché anche altri metodi di connessione possono essere sicuri. Security Hub ha rimosso la menzione GitHub perché non è più possibile avere un token di accesso personale o un nome utente e una password nell'archivio URLs dei GitHub sorgenti. |
| 8 gennaio 2024 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub non supporta più go1.x e java8 come parametri perché si tratta di runtime ritirati. |
| 29 dicembre 2023 | [RDS.8] Le istanze RDS DB devono avere la protezione da eliminazione abilitata | RDS.8 verifica se un'istanza Amazon RDS DB che utilizza uno dei motori di database supportati ha la protezione da eliminazione abilitata. Security Hub ora supporta custom-oracle-ee e oracle-se2-cdb come motori di database. oracle-ee-cdb |
| 22 dicembre 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub ora supporta java21 e python3.12 come parametri. Security Hub non supporta più ruby2.7 come parametro. |
| 15 dicembre 2023 | CloudFront Le distribuzioni [CloudFront.1] devono avere un oggetto root predefinito configurato | CloudFront.1 verifica se una CloudFront distribuzione Amazon ha un oggetto root predefinito configurato. Security Hub ha ridotto la gravità di questo controllo da CRITICAL a HIGH perché l'aggiunta dell'oggetto root predefinito è una raccomandazione che dipende dall'applicazione dell'utente e dai requisiti specifici. |
| 5 dicembre 2023 | [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22 | Il titolo di controllo modificato dai gruppi di sicurezza non dovrebbe consentire l'ingresso da 0.0.0.0/0 alla porta 22 ai gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22. |
| 5 dicembre 2023 | [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389 | Titolo di controllo modificato da Assicura che i gruppi di sicurezza non consentano l'ingresso dalla porta 0.0.0.0/0 alla porta 3389 a I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389. |
| 5 dicembre 2023 | [RDS.9] Le istanze RDS DB devono pubblicare i log in Logs CloudWatch | Il titolo di controllo modificato da Database logging deve essere abilitato alle istanze DB che devono pubblicare i log in Logs. RDS CloudWatch Security Hub ha rilevato che questo controllo verifica solo se i log sono pubblicati su Amazon CloudWatch Logs e non verifica se i RDS log sono abilitati. Il controllo rileva se le istanze RDS DB sono configurate per pubblicare log su Logs. PASSED CloudWatch Il titolo del controllo è stato aggiornato per riflettere il comportamento corrente. |
| 5 dicembre 2023 | [EKS.8] i EKS cluster dovrebbero avere la registrazione di controllo abilitata | Questo controllo verifica se i EKS cluster Amazon hanno la registrazione di controllo abilitata. La AWS Config regola utilizzata da Security Hub per valutare questo controllo è stata modificata da eks-cluster-logging-enabled aeks-cluster-log-enabled. |
| 17 novembre 2023 | [EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio | EC2.19 verifica se il traffico in entrata senza restrizioni per un gruppo di sicurezza è accessibile alle porte specificate considerate ad alto rischio. Security Hub ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. FAILED |
| 16 novembre 2023 | [CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate | Il titolo di controllo modificato relativo CloudWatch agli allarmi dovrebbe avere un'azione configurata per lo stato, mentre gli allarmi dovrebbero avere delle ALARM azioni specificate configurate. CloudWatch |
| 16 novembre 2023 | [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato | Il titolo di controllo modificato dei gruppi di CloudWatch log deve essere conservato per almeno 1 anno, mentre i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato. |
| 16 novembre 2023 | [Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità | Il titolo di controllo modificato dalle funzioni VPC Lambda deve funzionare in più di una zona di disponibilità, mentre le funzioni VPC Lambda devono funzionare in più zone di disponibilità. |
| 16 novembre 2023 | [AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata | La modifica del titolo di controllo da AWS AppSync dovrebbe avere la registrazione a livello di richiesta e di campo attivata o dovrebbe avere la registrazione a livello di campo abilitata.AWS AppSync |
| 16 novembre 2023 | [EMR.1] I nodi primari EMR del cluster Amazon non devono avere indirizzi IP pubblici | Il titolo di controllo modificato dai nodi master MapReduce del cluster Amazon Elastic non dovrebbe avere indirizzi IP pubblici, mentre i nodi primari del EMR cluster Amazon non dovrebbero avere indirizzi IP pubblici. |
| 16 novembre 2023 | I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico | Il titolo di controllo modificato relativo ai OpenSearch domini dovrebbe essere in VPC a). OpenSearchI domini non dovrebbero essere accessibili al pubblico. |
| 16 novembre 2023 | [ES.2] I domini Elasticsearch non devono essere accessibili al pubblico | Il titolo di controllo modificato dai domini Elasticsearch dovrebbe essere in a i domini Elasticsearch non dovrebbero essere accessibili VPC al pubblico. |
| 31 ottobre 2023 | [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch | ES.4 verifica se i domini Elasticsearch sono configurati per inviare log di errore ad Amazon Logs. CloudWatch Il controllo in precedenza produceva una PASSED ricerca per un dominio Elasticsearch con tutti i log configurati per l'invio a Logs. CloudWatch Security Hub ha aggiornato il controllo per produrre un PASSED risultato solo per un dominio Elasticsearch configurato per inviare i log degli errori ai registri. CloudWatch Il controllo è stato inoltre aggiornato per escludere dalla valutazione le versioni di Elasticsearch che non supportano i log degli errori. |
| 16 ottobre 2023 | [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22 | EC2.13 verifica se i gruppi di sicurezza consentono l'accesso illimitato in ingresso alla porta 22. Security Hub ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. FAILED |
| 16 ottobre 2023 | [EC2.14] I gruppi di sicurezza non devono consentire l'accesso da 0.0.0.0/0 o: :/0 alla porta 3389 | EC2.14 verifica se i gruppi di sicurezza consentono l'accesso illimitato in ingresso alla porta 3389. Security Hub ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. FAILED |
| 16 ottobre 2023 | [EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate | EC2.18 verifica se i gruppi di sicurezza in uso consentono il traffico in entrata senza restrizioni. Security Hub ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. FAILED |
| 16 ottobre 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub ora supporta python3.11 come parametro. |
| 4 ottobre 2023 | [S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni | Security Hub ha aggiunto il parametro ReplicationType con un valore pari CROSS-REGION a per garantire che nei bucket S3 sia abilitata la replica tra regioni anziché la replica nella stessa regione. |
| 27 settembre 2023 | [EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata | Security Hub ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il EKS cluster Amazon per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.24 |
| 20 settembre 2023 | CloudFront.2 — le CloudFront distribuzioni devono avere l'identità di accesso all'origine abilitata | Security Hub ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Altrimenti, consulta [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine. Il controllo degli accessi Origin è l'attuale best practice di sicurezza. Questo controllo verrà rimosso dalla documentazione entro 90 giorni. |
| 20 settembre 2023 | [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi | Security Hub ha rimosso questo controllo da AWS Foundational Security Best Practices (FSBP) e National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Fa ancora parte di Service-Managed Standard:. AWS Control Tower Questo controllo restituisce un risultato positivo se i gruppi di sicurezza sono collegati a EC2 istanze o a un'interfaccia di rete elastica. Tuttavia, in alcuni casi d'uso, i gruppi di sicurezza non collegati non rappresentano un rischio per la sicurezza. Puoi utilizzare altri EC2 controlli, ad esempio EC2 .2, EC2 .13, EC2 .14, EC2 .18 e.19, per monitorare i tuoi gruppi di sicurezza. EC2 |
| 20 settembre 2023 | EC2.29: le istanze devono essere avviate in un EC2 VPC | Security Hub ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Amazon EC2 ha migrato le istanze EC2 -Classic a. VPC Questo controllo verrà rimosso dalla documentazione entro 90 giorni. |
| 20 settembre 2023 | S3.4 — I bucket S3 devono avere la crittografia lato server abilitata | Security Hub ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Amazon S3 ora fornisce la crittografia predefinita con chiavi gestite S3 (SS3-S3) su bucket S3 nuovi ed esistenti. Le impostazioni di crittografia sono invariate per i bucket esistenti crittografati con -S3 o - crittografia lato server. SS3 SS3 KMS Questo controllo verrà rimosso dalla documentazione tra 90 giorni. |
| 14 settembre 2023 | [EC2.2] i gruppi di sicurezza VPC predefiniti non devono consentire il traffico in entrata o in uscita | Titolo di controllo modificato da Il gruppo di sicurezza VPC predefinito non dovrebbe consentire il traffico in entrata e in uscita, mentre i gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita. |
| 14 settembre 2023 | [IAM.9] MFA deve essere abilitato per l'utente root | Il titolo di controllo modificato da Virtual MFA deve essere abilitato per l'utente root e MFAdeve essere abilitato per l'utente root. |
|
14 settembre 2023 |
[RDS.19] Gli abbonamenti esistenti per la notifica RDS degli eventi devono essere configurati per gli eventi critici del cluster | Titolo di controllo modificato da Un abbonamento per le notifiche di RDS eventi deve essere configurato per gli eventi critici del cluster a Gli abbonamenti di notifica degli RDS eventi esistenti devono essere configurati per gli eventi critici del cluster. |
| 14 settembre 2023 | [RDS.20] Le sottoscrizioni esistenti per le notifiche di RDS eventi devono essere configurate per gli eventi critici delle istanze di database | Titolo di controllo modificato da Una sottoscrizione per le notifiche di RDS eventi deve essere configurata per gli eventi critici delle istanze di database a Le sottoscrizioni di notifica degli RDS eventi esistenti devono essere configurate per gli eventi critici delle istanze di database. |
| 14 settembre 2023 | [WAF.2] AWS WAF Le regole regionali classiche devono avere almeno una condizione | Il titolo di controllo modificato da Una regola WAF regionale dovrebbe avere almeno una condizione a Le regole regionali AWS WAF classiche dovrebbero avere almeno una condizione. |
| 14 settembre 2023 | [WAF.3] AWS WAF I gruppi di regole regionali classici devono avere almeno una regola | Il titolo di controllo modificato da A WAF dovrebbe contenere almeno una regola al gruppo di regole regionali AWS WAF classico i gruppi di regole regionali dovrebbero avere almeno una regola. |
| 14 settembre 2023 | [WAF.4] AWS WAF Il sito Web regionale classico ACLs deve avere almeno una regola o un gruppo di regole | Il titolo di controllo modificato da A WAF Regional Web ACL dovrebbe avere almeno una regola o un gruppo di regole a AWS WAF Classic Regional Web ACLs dovrebbe avere almeno una regola o un gruppo di regole. |
| 14 settembre 2023 | [WAF.6] AWS WAF Le regole globali classiche devono avere almeno una condizione | Il titolo di controllo modificato da Una regola WAF globale dovrebbe avere almeno una condizione a Le regole globali AWS WAF classiche dovrebbero avere almeno una condizione. |
| 14 settembre 2023 | [WAF.7] AWS WAF I gruppi di regole globali classici dovrebbero avere almeno una regola | Il titolo di controllo modificato da Un gruppo di regole WAF globale dovrebbe avere almeno una regola a I gruppi di regole globali AWS WAF Classic dovrebbero avere almeno una regola. |
| 14 settembre 2023 | [WAF.8] AWS WAF Il Web globale classico ACLs dovrebbe avere almeno una regola o un gruppo di regole | Titolo di controllo modificato da Un Web WAF globale ACL dovrebbe avere almeno una regola o un gruppo di regole a Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole. |
| 14 settembre 2023 | [WAF.10] AWS WAF il web ACLs dovrebbe avere almeno una regola o un gruppo di regole | Il titolo di controllo modificato da Un WAFv2 Web ACL deve avere almeno una regola o un gruppo di regole, mentre il AWS WAF Web ACLs deve avere almeno una regola o un gruppo di regole. |
| 14 settembre 2023 | [WAF.11] AWS WAF la ACL registrazione web dovrebbe essere abilitata | Il titolo di controllo modificato dalla ACLregistrazione web AWS WAF v2 deve essere attivato, quindi la ACLregistrazione AWS WAF web deve essere abilitata. |
|
20 luglio 2023 |
S3.4 — I bucket S3 devono avere la crittografia lato server abilitata | S3.4 verifica se un bucket Amazon S3 ha la crittografia lato server abilitata o se la policy del bucket S3 nega esplicitamente le richieste senza crittografia lato server. PutObject Security Hub ha aggiornato questo controllo per includere la crittografia lato server a doppio livello con KMS chiavi (DSSE-KMS). Il controllo produce un risultato superato quando un bucket S3 viene crittografato con SSE -S3, - o -. SSE KMS DSSE KMS |
| 17 luglio 2023 | [S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys | S3.17 verifica se un bucket Amazon S3 è crittografato con un. AWS KMS key Security Hub ha aggiornato questo controllo per includere la crittografia lato server a doppio livello con KMS chiavi (DSSE-KMS). Il controllo produce un risultato superato quando un bucket S3 viene crittografato con SSE - o -. KMS DSSE KMS |
| 9 giugno 2023 | [EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata | EKS.2 verifica se un EKS cluster Amazon è in esecuzione su una versione di Kubernetes supportata. La versione più vecchia supportata è ora. 1.23 |
| 9 giugno 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub ora supporta ruby3.2 come parametro. |
| 5 giugno 2023 | [APIGateway.5] I dati REST API della cache del API gateway devono essere crittografati quando sono inattivi | APIGateway.5.verifica se tutti i metodi REST API nelle fasi di Amazon API Gateway sono crittografati a riposo. Security Hub ha aggiornato il controllo per valutare la crittografia di un particolare metodo solo quando la memorizzazione nella cache è abilitata per quel metodo. |
| 18 maggio 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub ora supporta java17 come parametro. |
| 18 maggio 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub non supporta più nodejs12.x come parametro. |
| 23 aprile 2023 | [ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate | ECS.10 verifica se i servizi Amazon ECS Fargate eseguono l'ultima versione della piattaforma Fargate. I clienti possono implementare Amazon ECS ECS direttamente o utilizzando CodeDeploy. Security Hub ha aggiornato questo controllo per produrre risultati Passed CodeDeploy da utilizzare per distribuire i servizi ECS Fargate. |
| 20 aprile 2023 | [S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS | S3.6 verifica se una policy sui bucket di Amazon Simple Storage Service (Amazon S3) impedisce ai principali di eseguire azioni Account AWS negate sulle risorse nel bucket S3. Security Hub ha aggiornato il controllo per tenere conto dei condizionali in una policy bucket. |
| 18 aprile 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub ora supporta python3.10 come parametro. |
| 18 aprile 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub non supporta più dotnetcore3.1 come parametro. |
| 17 aprile 2023 | [RDS.11] RDS le istanze devono avere i backup automatici abilitati | RDS.11 verifica se RDS sulle istanze Amazon sono abilitati i backup automatici, con un periodo di conservazione dei backup maggiore o uguale a sette giorni. Security Hub ha aggiornato questo controllo per escludere le repliche di lettura dalla valutazione, poiché non tutti i motori supportano backup automatici sulle repliche di lettura. Inoltre, RDS non offre la possibilità di specificare un periodo di conservazione dei backup durante la creazione di repliche di lettura. Le repliche di lettura vengono create con un periodo di conservazione dei backup impostato 0 per impostazione predefinita. |
