本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CIS AWS Foundations Benchmark v1.4 Level 2 操作最佳实践
合规包提供了一个通用合规框架,旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板,合规包并不是为了完全确保遵守特定的治理或合规标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。
下面提供了互联网安全中心 (CIS) Amazon Web Services Foundation v1.4 Level 2 与 AWS 托管 Config 规则/AWS Config 流程检查之间的映射示例。每条 Config 规则都适用于特定的 AWS 资源,并与一个或多个 CIS Amazon Web Services Foundation v1.4 Level 2 控制相关。一个 CIS Amazon Web Services Foundation v1.4 Level 2 控制可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。
有关流程检查的更多信息,请参阅 process-checks。
AWS 区域:支持合规包的所有 AWS 区域(区域支持),AWS GovCloud(美国东部)、AWS GovCloud(美国东部)和中东(巴林)除外
| 控制 ID | 控制描述 | AWS Config 规则 | 指南 |
|---|---|---|---|
| 1.1 | 维护最新的联系人详细信息 | account-contact-details-configured(流程检查) | 确保 AWS 账户的联系人电子邮件和电话号码是最新的,并映射到组织中的多个人员。在控制台的“我的账户”部分,确保在“联系信息”部分指定了正确的信息。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.2 | 确保注册安全联系人信息 | account-security-contact-configured(流程检查) | 确保贵组织安全团队的联系电子邮件和电话号码是最新的。在 AWS 管理控制台的“我的账户”部分,确保在“安全”部分指定了正确的信息。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.4 | 确保不存在“root”用户访问密钥 | 通过检查根用户的 AWS Identity and Access Management (IAM) 角色是否拥有访问密钥,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户来帮助纳入最少功能原则。 | |
| 1.5 | 确保为“root”用户启用 MFA | 通过确保为根用户启用 MFA,来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户进行 MFA,可以减少 AWS 账户被盗的事件。 | |
| 1.6 | 确保为“root”用户账户启用硬件 MFA | 通过确保为根用户启用硬件 MFA,来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户进行 MFA,可以减少 AWS 账户被盗的事件。 | |
| 1.7 | 无需使用“root”用户执行管理和日常任务 | root-account-regular-use(流程检查) | 确保避免在日常任务中使用根账户。在 IAM 中,运行凭证报告以检查上次使用根用户的时间。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.8 | 确保 IAM 密码策略要求最短长度不低于 14 | 身份和凭证是根据组织 IAM 密码策略颁发、管理和验证的。它们符合或超过 NIST SP 800-63 和针对密码强度的 AWS 基础安全最佳实践标准规定的要求。此规则允许您为 IAM 密码策略选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础安全最佳实践值:90)。实际值应反映贵组织的策略。 | |
| 1.9 | 确保 IAM 密码策略阻止重复使用密码 | 身份和凭证是根据组织 IAM 密码策略颁发、管理和验证的。它们符合或超过 NIST SP 800-63 和针对密码强度的 AWS 基础安全最佳实践标准规定的要求。此规则允许您为 IAM 密码策略选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础安全最佳实践值:90)。实际值应反映贵组织的策略。 | |
| 1.10 | 确保为拥有控制台密码的所有用户启用多重身份验证 (MFA) | 通过确保为所有拥有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA,来管理对 AWS 云中资源的访问。MFA 在登录凭证之上添加一层额外的保护。通过要求用户进行 MFA,您可以减少账户被盗事件,防止未经授权的用户访问敏感数据。 | |
| 1.11 | 在初始用户设置期间,不要为具有控制台密码的所有用户设置访问密钥 | iam-user-console-and-api-access-at-creation(流程检查) | 在初始用户设置期间,确保不要为具有控制台密码的所有用户设置访问密钥。对于所有具有控制台访问权限的用户,请将用户的“创建时间”与访问密钥“创建”日期进行比较。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.12 | 确保禁用 45 天或更长时间未使用的凭证 | AWS Identity and Access Management (IAM) 可以通过检查指定时间段内未使用的 IAM 密码和访问密钥,来帮助您获得访问权限和授权。如果发现这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能违反最低权限原则。此规则要求您为 maxCredentialUsageAge(CIS 标准值:45)设置一个值。实际值应反映贵组织的策略。 | |
| 1.13 | 确保只有一个有效的访问密钥可供任何一个用户使用 | iam-user-single-access-key(流程检查) | 确保只有一个有效的访问密钥可供任何一个用户使用。对于所有用户,请检查 IAM 中每个用户的“安全凭证”选项卡中是否只使用了一个活动密钥。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.14 | 确保访问密钥每 90 天或更短时间轮换一次 | 通过确保按照组织政策轮换 IAM 访问密钥,对授权的设备、用户和流程的凭证进行审核。定期更改访问密钥是一种安全最佳实践。它会缩短访问密钥的有效期,并降低密钥泄露时对业务的影响。此规则需要访问密钥轮换值(配置默认值:90)。实际值应反映贵组织的策略。 | |
| 1.15 | 确保用户只能通过组获得权限 | 此规则可确保仅将 AWS Identity and Access Management (IAM) 策略附加到组或角色,以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| 1.15 | 确保用户只能通过组获得权限 | 确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制系统和资产访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委托权限管理。 | |
| 1.15 | 确保用户只能通过组获得权限 | AWS Identity and Access Management (IAM) 可通过确保用户至少属于一个组来帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。 | |
| 1.16 | 确保未附加允许完全“*:*”管理权限的 IAM 策略 | AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,限制策略包含 "Effect": "Allow" with "Action": "*" over "Resource": "*"。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。 | |
| 1.17 | 确保已创建支持角色来管理与 AWS Support 相关的事件 | AWS Identity and Access Management (IAM) 可以确保将 IAM 策略分配给相应的用户、角色或组,从而帮助您管理访问权限和授权。限制这些策略还包括最低权限和职责分离原则。此规则要求将 policyARN 设置为 arn:aws:iam::aws:policy/AWSSupportAccess,以便使用 AWS Support 进行事件管理。 | |
| 1.18 | 确保从实例访问 AWS 资源时使用 IAM 实例角色 | EC2 实例配置文件将 IAM 角色传递给 EC2 实例。将实例配置文件附加到您的实例可以帮助实现最低权限和权限管理。 | |
| 1.19 | 确保移除存储在 AWS IAM 中的所有过期 SSL/TLS 证书 | iam-expired-certificates(流程检查) | 确保移除存储在 IAM 中的所有过期 SSL/TLS 证书。在安装了 AWS CLI 的命令行中运行“AWS iam list-server-certificates”命令,并确定是否有任何过期的服务器证书。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.20 | 确保启用 AWS IAM Access Analyzer | iam-access-analyzer-enabled(流程检查) | 确保启用 IAM Access Analyzer。在控制台的 IAM 部分中,选择 Access Analyzer 并确保将“状态”设置为“活动”。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.21 | 确保通过身份联合验证或 AWS Organizations(适用于多账户环境)对用户进行集中管理 | account-part-of-organizations | 在 AWS Organizations 中集中管理 AWS 账户有助于确保账户合规。缺乏集中式账户管理可能会导致账户配置不一致,从而可能泄露资源和敏感数据。 |
| 2.1.1 | 确保所有 S3 存储桶都采用静态加密 | 为了帮助保护静态数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用加密以帮助保护这些数据。 | |
| 2.1.2 | 确保 S3 存储桶策略已设置为拒绝 HTTP 请求 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| 2.1.3 | 确保在 S3 存储桶上启用 MFA 删除 | Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保存在同一 Amazon S3 存储桶中。向 S3 存储桶添加多重身份验证 (MFA) 删除需要额外的身份验证因素,才能更改存储桶的版本状态或删除对象版本。MFA 删除可以在安全凭据泄露或未经授权的访问被批准的情况下增加一层安全保护。 | |
| 2.1.5 | 确保 S3 存储桶配置“阻止公开访问权限(存储桶设置)” | 通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。 | |
| 2.1.5 | 确保 S3 存储桶配置“阻止公开访问权限(存储桶设置)” | 通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。 | |
| 2.2.1 | 确保已启用 EBS 卷加密 | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。 | |
| 2.2.1 | 确保已启用 EBS 卷加密 | 为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于这些卷中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| 2.3.1 | 确保已为 RDS 实例启用加密 | 确保为 Amazon Relational Database Service (Amazon RDS) 快照启用加密。由于可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| 2.3.1 | 确保已为 RDS 实例启用加密 | 为了帮助保护静态数据,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例启用了加密。由于 Amazon RDS 实例中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。 | |
| 3.1 | 确保在所有区域启用 CloudTrail | AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将来自所有 AWS 区域的日志文件传输到您的 S3 存储桶。此外,当 AWS 推出新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您无需采取任何措施,即可收到包含新区域的 API 活动的日志文件。 | |
| 3.2 | 确保启用 CloudTrail 日志文件验证 | 利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 交付后是否被修改、删除或更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。 | |
| 3.3 | 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 | 通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。 | |
| 3.3 | 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 | 通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。 | |
| 3.3 | 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 | 通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。 | |
| 3.4 | 确保 CloudTrail 跟踪与 CloudWatch Logs 集成 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据可提供您的 AWS 账户中 API 调用活动的详细信息。 | |
| 3.5 | 确保在所有区域启用 AWS Config | config-enabled-all-regions(流程检查) | 确保在所有 AWS 区域启用 AWS Config 在控制台的 AWS Config 部分,对于每个启用的区域,请确保 AWS Config 记录器配置正确。确保至少在一个区域启用全局 AWS 资源记录。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 3.6 | 确保在 CloudTrail S3 存储桶上启用 S3 存储桶访问日志记录 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录可提供一种监控网络中是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录,来监控事件。每条访问日志记录都提供有关单个访问请求的详细信息。这些详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| 3.7 | 确保使用 KMS CMK 对 CloudTrail 日志进行静态加密 | 由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 AWS CloudTrail 跟踪启用了加密。 | |
| 3.8 | 确保为客户创建的 CMK 启用轮换 | 启用密钥轮换,以确保密钥在加密周期结束后立即进行轮换。 | |
| 3.9 | 确保在所有 VPC 中启用 VPC 流日志记录 | VPC 流日志详细记录进出 Amazon Virtual Private Cloud (Amazon VPC) 网络接口的 IP 流量信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| 3.10 | 确保已为 S3 存储桶启用写入事件的对象级日志记录 | 收集 Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。 | |
| 3.11 | 确保已为 S3 存储桶启用读取事件的对象级日志记录 | 收集 Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。 | |
| 4.1 | 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报 | alarm-unauthorized-api-calls(流程检查) | 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报 有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.2 | 确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报 | alarm-sign-in-without-mfa(流程检查) | 确保存在关于无多重身份验证 (MFA) 的 AWS 管理控制台登录的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.3 | 确保存在关于使用“根”账户的日志指标筛选条件和警报 | alarm-root-account-use(进程检查) | 确保存在关于使用根账户的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.4 | 确保存在关于 IAM 策略更改的日志指标筛选条件和警报 | alarm-iam-policy-change(流程检查) | 确保存在关于 IAM 策略更改的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.5 | 确保存在关于 CloudTrail 配置更改的日志指标筛选条件和警报 | alarm-cloudtrail-config-change(流程检查) | 确保存在关于 AWS CloudTrail 配置更改的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.6 | 确保存在关于 AWS 管理控制台身份验证失败的日志指标筛选条件和警报 | alarm-console-auth-failures(进程检查) | 确保存在关于 AWS 管理控制台身份验证失败的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.7 | 确保存在关于禁用或计划删除客户创建的 CMK 的日志指标筛选条件和警报 | alarm-kms-disable-or-delete-cmk(进程检查) | 确保存在关于禁用或计划删除客户创建的 CMK 的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.8 | 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 | alarm-s3-bucket-policy-change(流程检查) | 确保存在关于 Amazon S3 存储桶策略更改的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.9 | 确保存在关于 AWS Config 配置更改的日志指标筛选条件和警报 | alarm-aws-config-change(进程检查) | 确保存在关于 AWS Config 配置更改的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.10 | 确保存在关于安全组更改的日志指标筛选条件和警报 | alarm-vpc-secrity-group-change(进程检查) | 确保存在关于安全组更改的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.11 | 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报 | alarm-vpc-nacl-change(进程检查) | 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.12 | 确保存在关于网络网关更改的日志指标筛选条件和警报 | alarm-vpc-network-gateway-change(进程检查) | 确保存在关于网络网关更改的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.13 | 确保存在关于路由表更改的日志指标筛选条件和警报 | alarm-vpc-route-table-change(进程检查) | 确保存在关于路由表更改的日志指标筛选条件和警报 有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.14 | 确保存在关于 VPC 更改的日志指标筛选条件和警报 | alarm-vpc-change(进程检查) | 确保存在关于 Amazon Virtual Private Cloud (VPC) 更改的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.15 | 确保存在关于 AWS Organizations 更改的日志指标筛选条件和警报 | alarm-organizations-change(流程检查) | 确保存在关于 AWS Organizations 更改的日志指标筛选条件和警报。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 5.1 | 确保没有网络 ACL 允许从 0.0.0.0/0 进入远程服务器管理端口 | 确保没有网络 ACL 允许远程服务器管理端口的公共入口。在控制台的 VPC 部分,确保有源为“0.0.0.0/0”的网络 ACL,允许使用包括远程服务器管理端口在内的端口或端口范围。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ | |
| 5.2 | 确保没有安全组允许从 0.0.0.0/0 进入远程服务器管理端口 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可对 AWS 资源的入口和出口网络流量进行有状态过滤,从而帮助管理网络访问。不允许您资源上的入口(或远程)流量从 0.0.0.0/0 进入端口 22 有助于限制远程访问。 | |
| 5.2 | 确保没有安全组允许从 0.0.0.0/0 进入远程服务器管理端口 | 通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(CIS 标准值:3389)。实际值应反映贵组织的策略。 | |
| 5.3 | 确保每个 VPC 的默认安全组限制所有流量 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。 | |
| 5.4 | 确保 VPC 对等连接的路由表为“最少访问” | vpc-peering-least-access(进程检查) | 确保 Amazon VPC 对等连接的路由表为“最少访问”。在控制台的 VPC 部分中,检查路由表条目,确保实现对等互连目的所需的最少数量子网或主机可路由。有关该控制审计的更多详情,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
模板
该模板可在 GitHub 上找到:CIS AWS Foundations Benchmark v1.4 Level 2 操作最佳实践
