本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CIS AWS 基金会基准
Internet Security (CIS) AWS Foundations Benchmark 是一组安全配置最佳实践 AWS。这些业界认可的最佳实践为您提供了清晰的 step-by-step实施和评估程序。从操作系统到云服务和网络设备,此基准测试中的控件可帮助您保护组织使用的特定系统。
AWS Security Hub 支持 Found CIS AWS ations Benchmark v3.0.0、1.4.0 和 v1.2.0。
本页列出了每个版本支持的安全控件,并提供了版本对比。
CIS AWS 基金会基准测试 v3.0.0
Security Hub 支持 Foundations CIS AWS 基准测试的 3.0.0 版。
Security Hub 已满足CIS安全软件认证要求,并已获得以下CIS基准测试CIS的安全软件认证:
-
CISCIS AWS 基础基准测试基准,v3.0.0,第 1 级
-
CISCIS AWS 基础基准测试基准,v3.0.0,第 2 级
适用于 Foundations CIS AWS 基准测试 v3.0.0 的控件
[Account.1] 应为 AWS 账户 提供安全联系人信息。
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录
[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2
[EC2.21] 网络ACLs不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口
[EC2.54] EC2 安全组不应允许从:: /0 进入远程服务器管理端口
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS
[IAM.3] IAM 用户的访问密钥应每 90 天或更短时间轮换一次
MFA应为所有拥有控制台密码的IAM用户启用 [IAM.5]
[IAM.15] 确保IAM密码策略要求的最小密码长度为 14 或更大
[IAM.18] 确保已创建支持角色来管理事件 Support
[IAM.22] 应移除在 45 天内未使用的IAM用户凭证
[IAM.26] IAM 应移除已过期 SSL /中管理的TLS证书
[IAM.27] IAM 身份不应附加 AWSCloudShellFullAccess 政策
[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于 PubliclyAccessible 配置
CIS AWS 基金会基准测试 v1.4.0
Security Hub 支持 Foundations CIS AWS 基准测试的 v1.4.0。
适用于CIS AWS 基础基准测试 v1.4.0 的控件
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
[PCI.CW.1] 应具有有关“根”用户使用的日志指标筛选条件和警报
[CloudWatch.4] 确保存在关于 IAM policy 更改的日志指标筛选条件和警报
[CloudWatch.5] 确保存在针对 CloudTrail AWS Config 配置更改的日志指标筛选条件和警报
[CloudWatch.6] 确保存在关于 AWS Management Console 身份验证失败的日志指标筛选条件和警报
[CloudWatch.7] 确保存在日志指标筛选条件和警报,用于禁用或计划删除客户托管式密钥
[CloudWatch.8] 确保针对 S3 存储桶策略更改存在日志指标筛选条件和警报
[CloudWatch.9] 确保存在关于 AWS Config 配置更改的日志指标筛选条件和警报
[CloudWatch.10] 确保存在关于安全组更改的日志指标筛选条件和警报
[CloudWatch.11] 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报
[CloudWatch.12] 确保存在关于网络网关更改的日志指标筛选条件和警报
[CloudWatch.13] 确保存在关于路由表更改的日志指标筛选条件和警报
[CloudWatch.14] 确保存在关于 VPC 更改的日志指标筛选条件和警报
AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录
[EC2.21] 网络ACLs不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[IAM.1] IAM 策略不应允许完全的 “*” 管理权限
[IAM.3] IAM 用户的访问密钥应每 90 天或更短时间轮换一次
MFA应为所有拥有控制台密码的IAM用户启用 [IAM.5]
[IAM.15] 确保IAM密码策略要求的最小密码长度为 14 或更大
[IAM.18] 确保已创建支持角色来管理事件 Support
[IAM.22] 应移除在 45 天内未使用的IAM用户凭证
互联网安全中心 (CIS) AWS 基础基准 v1.2.0
Security Hub 支持 Foundations CIS AWS 基准测试的 1.2.0 版。
Security Hub 已满足CIS安全软件认证要求,并已获得以下CIS基准测试CIS的安全软件认证:
-
CISCIS AWS 基础基准测试基准,v1.2.0,第 1 级
-
CISCIS AWS 基础基准测试基准,v1.2.0,第 2 级
适用于CIS AWS 基础基准测试 v1.2.0 的控件
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问
[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录
[PCI.CW.1] 应具有有关“根”用户使用的日志指标筛选条件和警报
[CloudWatch.2] 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报
[CloudWatch.3] 确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报
[CloudWatch.4] 确保存在关于 IAM policy 更改的日志指标筛选条件和警报
[CloudWatch.5] 确保存在针对 CloudTrail AWS Config 配置更改的日志指标筛选条件和警报
[CloudWatch.6] 确保存在关于 AWS Management Console 身份验证失败的日志指标筛选条件和警报
[CloudWatch.7] 确保存在日志指标筛选条件和警报,用于禁用或计划删除客户托管式密钥
[CloudWatch.8] 确保针对 S3 存储桶策略更改存在日志指标筛选条件和警报
[CloudWatch.9] 确保存在关于 AWS Config 配置更改的日志指标筛选条件和警报
[CloudWatch.10] 确保存在关于安全组更改的日志指标筛选条件和警报
[CloudWatch.11] 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报
[CloudWatch.12] 确保存在关于网络网关更改的日志指标筛选条件和警报
[CloudWatch.13] 确保存在关于路由表更改的日志指标筛选条件和警报
[CloudWatch.14] 确保存在关于 VPC 更改的日志指标筛选条件和警报
AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录
[EC2.13] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22
[EC2.14] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 3389
[IAM.1] IAM 策略不应允许完全的 “*” 管理权限
[IAM.3] IAM 用户的访问密钥应每 90 天或更短时间轮换一次
MFA应为所有拥有控制台密码的IAM用户启用 [IAM.5]
[IAM.15] 确保IAM密码策略要求的最小密码长度为 14 或更大
[IAM.17] 确保IAM密码策略在 90 天或更短时间内使密码过期
[IAM.18] 确保已创建支持角色来管理事件 Support
CIS AWS 基础基准测试的版本比较
本节总结了互联网安全中心 (CIS) AWS Foundations Benchmark v3.0.0、v1.4.0 和 v1.2.0 之间的区别。
Security Hub 支持这些版本的 Foundations CIS AWS 基准测试,但我们建议使用 v3.0.0 来了解最新的安全最佳实践。您可以同时启用多个版本的标准。有关启用控件的说明,请参阅在 Security Hub 中启用安全标准。如果要升级到 v3.0.0,请在禁用旧版本之前先将其启用。这样可以防止您的安全检查出现漏洞。如果您将 Security Hub 集成与多个账户一起使用, AWS Organizations 并希望在多个账户中批量启用 v3.0.0,我们建议使用集中配置。
将控件映射到每个版本中的CIS需求
了解每个版本的《CIS AWS 基础基准》支持哪些控件。
| 控件 ID 和标题 | CISv3.0.0 要求 | CISv1.4.0 要求 | CISv1.2.0 要求 |
|---|---|---|---|
|
1.2 |
1.2 |
1.18 |
|
|
3.1 |
3.1 |
2.1 |
|
|
3.5 |
3.7 |
2.7 |
|
|
3.2 |
3.2 |
2.2 |
|
|
不支持 — CIS 已删除此要求 |
3.4 |
2.4 |
|
|
不支持 — CIS 已删除此要求 |
3.3 |
2.3 |
|
|
3.4 |
3.6 |
2.6 |
|
|
不支持 – 手动检查 |
4.3 |
3.3 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
3.1 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
3.2 |
|
|
不支持 – 手动检查 |
4.4 |
3.4 |
|
|
[CloudWatch.5] 确保存在针对 CloudTrail AWS Config 配置更改的日志指标筛选条件和警报 |
不支持 – 手动检查 |
4.5 |
3.5 |
|
[CloudWatch.6] 确保存在关于 AWS Management Console 身份验证失败的日志指标筛选条件和警报 |
不支持 – 手动检查 |
4.6 |
3.6 |
|
不支持 – 手动检查 |
4.7 |
3.7 |
|
|
不支持 – 手动检查 |
4.8 |
3.8 |
|
|
不支持 – 手动检查 |
4.9 |
3.9 |
|
|
不支持 – 手动检查 |
4.10 |
3.10 |
|
|
不支持 – 手动检查 |
4.11 |
3.11 |
|
|
不支持 – 手动检查 |
4.12 |
3.12 |
|
|
不支持 – 手动检查 |
4.13 |
3.13 |
|
|
不支持 – 手动检查 |
4.14 |
3.14 |
|
|
3.3 |
3.5 |
2.5 |
|
|
5.4 |
5.3 |
4.3 |
|
|
3.7 |
3.9 |
2.9 |
|
|
2.2.1 |
2.2.1 |
不支持 |
|
|
5.6 |
不支持 |
不支持 |
|
|
不支持 – 替换为要求 5.2 和 5.3 |
不支持 – 替换为要求 5.2 和 5.3 |
4.1 |
|
|
不支持 – 替换为要求 5.2 和 5.3 |
不支持 – 替换为要求 5.2 和 5.3 |
4.2 |
|
|
5.1 |
5.1 |
不支持 |
|
|
5.2 |
不支持 |
不支持 |
|
|
5.3 |
不支持 |
不支持 |
|
|
2.4.1 |
不支持 |
不支持 |
|
|
不支持 |
1.16 |
1.22 |
|
|
1.15 |
不支持 |
1.16 |
|
|
1.14 |
1.14 |
1.4 |
|
|
1.4 |
1.4 |
1.12 |
|
|
1.10 |
1.10 |
1.2 |
|
|
1.6 |
1.6 |
1.14 |
|
|
不支持 – 改为参阅 [IAM.22] 应移除在 45 天内未使用的IAM用户凭证 |
不支持 – 改为参阅 [IAM.22] 应移除在 45 天内未使用的IAM用户凭证 |
1.3 |
|
|
1.5 |
1.5 |
1.13 |
|
|
不支持 — CIS 已删除此要求 |
不支持 — CIS 已删除此要求 |
1.5 |
|
|
不支持 — CIS 已删除此要求 |
不支持 — CIS 已删除此要求 |
1.6 |
|
|
不支持 — CIS 已删除此要求 |
不支持 — CIS 已删除此要求 |
1.7 |
|
|
不支持 — CIS 已删除此要求 |
不支持 — CIS 已删除此要求 |
1.8 |
|
|
1.8 |
1.8 |
1.9 |
|
|
1.9 |
1.9 |
1.10 |
|
|
不支持 — CIS 已删除此要求 |
不支持 — CIS 已删除此要求 |
1.11 |
|
|
1.17 |
1.17 |
1.2 |
|
|
不支持 — CIS 已删除此要求 |
不支持 — CIS 已删除此要求 |
1.1 |
|
|
1.12 |
1.12 |
不支持-在更高版本中CIS添加了此要求 |
|
|
1.19 |
不支持-在更高版本中CIS添加了此要求 |
不支持-在更高版本中CIS添加了此要求 |
|
|
1.22 |
不支持-在更高版本中CIS添加了此要求 |
不支持-在更高版本中CIS添加了此要求 |
|
|
1.20 |
不支持-在更高版本中CIS添加了此要求 |
不支持-在更高版本中CIS添加了此要求 |
|
|
3.6 |
3.8 |
2.8 |
|
|
不支持 – 手动检查 |
不支持 – 手动检查 |
不支持 – 手动检查 |
|
|
2.3.3 |
不支持-在更高版本中CIS添加了此要求 |
不支持-在更高版本中CIS添加了此要求 |
|
|
2.3.1 |
2.3.1 |
不支持-在更高版本中CIS添加了此要求 |
|
|
2.3.2 |
不支持-在更高版本中CIS添加了此要求 |
不支持-在更高版本中CIS添加了此要求 |
|
|
2.1.4 |
2.1.5 |
不支持-在更高版本中CIS添加了此要求 |
|
|
2.1.1 |
2.1.2 |
不支持-在更高版本中CIS添加了此要求 |
|
|
2.1.4 |
2.1.5 |
不支持-在更高版本中CIS添加了此要求 |
|
|
2.1.2 |
2.1.3 |
不支持-在更高版本中CIS添加了此要求 |
ARNsCIS AWS 基金会基准测试
当你启用一个或多个版本的 Found CIS AWS ations Benchmark 时,你将开始以 AWS 安全调查结果格式 (ASFF) 接收调查结果。在中ASFF,每个版本都使用以下 Amazon 资源名称 (ARN):
- CIS AWS 基金会基准测试 v3.0.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0- CIS AWS 基金会基准测试 v1.4.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0- CIS AWS 基金会基准测试 v1.2.0
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
你可以使用 GetEnabledStandards运行 Security Hub API 以找ARN出已启用的标准。
前面的值与 StandardsArn 对应。但是,StandardsSubscriptionArn是指 Security Hub 在您通过调用订阅标准时创建的标准订阅资源 BatchEnableStandards在一个区域中。
注意
启用某个版本的 Foundations Benchmark 时,Security Hub 最多可能需要 18 小时才能为使用与其他已启用标准中的已启用控件相同的 AWS Config 服务关联规则的控件生成调查结果。CIS AWS 有关生成控件调查发现的时间表的更多信息,请参阅有关运行安全检查的计划。
如果您启用了整合的控件调查发现,则调查发现字段会有所不同。有关这些区别的更多信息,请参阅 合并对ASFF字段和值的影响。有关控件调查发现样本,请参阅Security Hub 中的示例控件调查发现。
CISSecurity Hub 不支持的要求
如上表所述,Security Hub 并不支持每个版本的 Foundations CIS AWS 基准测试中的所有CIS要求。许多不受支持的要求只能通过查看 AWS 资源的状态手动评估。
