本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 控件的更改日志
以下更改日志跟踪现有 AWS Security Hub 安全控制措施的重大更改,这些更改可能会导致控制的整体状态及其发现的合规性状态发生变化。有关 Security Hub 如何评估控件状态的信息,请参阅在 Security Hub 中评估合规性状态和控件状态。更改在输入此日志后可能需要几天时间才能影响所有 AWS 区域 可用的控件。
此日志跟踪自 2023 年 4 月以来发生的更改。
选择一个控件,查看更多相关详细信息。标题更改会在 90 天内在每个控件的详细描述中注明。
| 变更日期 | 控件 ID 和标题 | 更改的说明 |
|---|---|---|
| 2024年12月12日 | [RDS.23] RDS 实例不应使用数据库引擎的默认端口 | RDS.23 检查 Amazon Relational Database Service (AmazonRDS) 集群或实例是否使用数据库引擎默认端口以外的端口。我们更新了控件,以便底层 AWS Config 规则返回属于集群NOT_APPLICABLE的RDS实例的结果。 |
| 2024年12月2日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 nodejs22.x 作为参数。 |
| 2024 年 11 月 26 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件检查亚马逊 Elastic Kubernetes Service(EKS亚马逊)集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.29。 |
| 2024 年 11 月 20 日 | AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录 | Config.1 检查 AWS Config 是否已启用,使用服务相关角色,并记录已启用控件的资源。Security Hub 将这种控制的严重性从提高 要获取 Config.1 的 |
| 2024 年 11 月 12 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 python3.13 作为参数。 |
| 2024 年 10 月 11 日 | ElastiCache 控件 | 更改了. ElastiCache 3、 ElastiCache .4、. ElastiCache 5 和 ElastiCache .7 的控件标题。游戏不再提及 Redis,OSS因为这些控件也适用 ElastiCache 于 Valkey。 |
| 2024 年 9 月 27 日 | [ELB.4] 应将 Application Load Balancer 配置为删除无效的 http 标头 | 将控件标题从应将应用程序负载均衡器配置为删除 http 标头更改为应将应用程序负载均衡器配置为删除无效的 http 标头。 |
| 2024 年 8 月 19 日 | 标题更改为 DMS .12 和控件 ElastiCache | 已将 DMS .12 和 .1 的控件标题更改为 ElastiCache ElastiCache .7。我们更改了这些标题,以反映亚马逊 ElastiCache (RedisOSS) 服务中的更名。 |
| 2024 年 8 月 15 日 | AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录 | Config.1 检查 AWS Config 是否已启用,使用服务相关角色,并记录已启用控件的资源。Security Hub 添加了一个名为 includeConfigServiceLinkedRoleCheck 的自定义控件参数。通过将此参数设置为false,您可以选择不检查是否 AWS Config 使用服务相关角色。 |
| 2024 年 7 月 31 日 | [IoT.1] 应标记 AWS IoT Device Defender 安全配置文件 | 将控件标题从应该标记AWS IoT Core 安全配置文件更改为应该标记AWS IoT Device Defender 安全配置文件。 |
| 2024 年 7 月 29 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 不再支持 nodejs16.x 作为参数。 |
| 2024 年 7 月 29 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件检查亚马逊 Elastic Kubernetes Service(EKS亚马逊)集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.28。 |
| 2024 年 6 月 25 日 | AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录 | 此控件检查 AWS Config 是否已启用,使用服务相关角色并记录已启用控件的资源。Security Hub 更新了控件标题以反映控件评估的内容。 |
| 2024 年 6 月 14 日 | [RDS.34] Aurora 我的SQL数据库集群应将审计日志发布到 CloudWatch 日志 | 此控件检查 Amazon Aurora 我的SQL数据库集群是否配置为向亚马逊日志发布审核 CloudWatch 日志。Security Hub 更新了控件,使其不会为 Aurora Serverless v1 数据库集群生成调查发现。 |
| 2024 年 6 月 11 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件检查亚马逊 Elastic Kubernetes Service(EKS亚马逊)集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.27。 |
| 2024 年 6 月 10 日 | AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录 | 此控件检查资源记录 AWS Config 是否已启用, AWS Config 资源记录是否已开启。以前,只有在为所有资源配置了记录时,控件才会生成 PASSED 调查发现。Security Hub 更新了控件,以便在为已启用控件所需的资源开启记录时生成 PASSED 调查发现。控件也已更新,以检查是否使用了 AWS Config 服务相关角色,该角色会提供记录必要资源所需的权限。 |
| 2024 年 5 月 8 日 | [S3.20] S3 通用存储桶应启用删除功能 MFA | 此控件检查 Amazon S3 通用版本存储桶是否启用了多重身份验证 (MFA) 删除。以前,该控件会为具有生命周期配置的存储桶生成 FAILED 调查发现。但是,无法在具有生命周期配置的存储桶上启用带版本控制的MFA删除。Security Hub 更新了控件,不会为具有生命周期配置的存储桶生成任何调查发现。控件描述已更新,以反映当前行为。 |
| 2024 年 5 月 2 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub 更新了支持的最早版本的 Kubernetes,亚马逊EKS集群可以在该版本上运行,从而得出一个通过的调查结果。目前支持的最旧版本是 Kubernetes 1.26。 |
| 2024 年 4 月 30 日 | [CloudTrail.3] 应至少启用一条 CloudTrail 跟踪 | 将控件标题从 “CloudTrail 应启用” 更改为 “至少应启用一条 CloudTrail 跟踪”。如果启用 AWS 账户 了至少一条 CloudTrail 跟踪,则此控件当前会生成PASSED查找结果。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 4 月 29 日 | [AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用运行ELB状况检查 | 将控制标题从与 C lassic Load Balancer 关联的 Auto Scaling 组更改为与负载均衡器关联的 Auto Scaling 组应使用运行状况检查,而与负载均衡器关联的 Auto Scaling 组应使用运行ELB状况检查。此控件目前评估应用程序、网关、网络和经典负载均衡器。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 4 月 19 日 | [CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 | 该控件检查 AWS CloudTrail 是否启用并配置了至少一个包含读写管理事件的多区域跟踪。以前,当账户 CloudTrail 启用并配置了至少一个多区域跟踪时,即使没有跟踪捕获读写管理事件,控件也会错误地生成PASSED调查结果。现在,只有在启用并配置了至少一个捕获读写管理事件的多区域跟踪时 CloudTrail ,该控件才会生成PASSED查找结果。 |
| 2024 年 4 月 10 日 | [Athena.1] Athena 工作组应进行静态加密 | Security Hub 停用了此控件,并将其从所有标准中删除。Athena 工作组将日志发送到 Amazon Simple Storage Service(Amazon S3)存储桶中。Amazon S3 现在在新存储桶和现有 S3 存储桶上使用 SS3 S3 托管密钥 (-S3) 提供默认加密。 |
| 2024 年 4 月 10 日 | [AutoScaling.4] Auto Scaling 组启动配置的元数据响应跳跃限制不应大于 1 | Security Hub 停用了此控件,并将其从所有标准中删除。亚马逊弹性计算云 (AmazonEC2) 实例的元数据响应跳跃限制取决于工作负载。 |
| 2024 年 4 月 10 日 | [CloudFormation.1] CloudFormation 堆栈应与简单通知服务 () SNS 集成 | Security Hub 停用了此控件,并将其从所有标准中删除。将 AWS CloudFormation 堆栈与 Amazon SNS 主题集成不再是一种最佳安全实践。尽管将重要的 CloudFormation 堆栈与SNS主题集成可能很有用,但并非所有堆栈都需要这样做。 |
| 2024 年 4 月 10 日 | [CodeBuild.5] CodeBuild 项目环境不应启用特权模式 | Security Hub 停用了此控件,并将其从所有标准中删除。在 CodeBuild 项目中启用特权模式不会给客户环境带来额外的风险。 |
| 2024 年 4 月 10 日 | [IAM.20] 避免使用 root 用户 | Security Hub 停用了此控件,并将其从所有标准中删除。此控件的目的由另一个控件 [PCI.CW.1] 应具有有关“根”用户使用的日志指标筛选条件和警报 覆盖。 |
| 2024 年 4 月 10 日 | [SNS.2] 应为发送到主题的通知消息启用传送状态记录 | Security Hub 停用了此控件,并将其从所有标准中删除。记录SNS主题的传送状态不再是最佳安全实践。尽管记录重要SNS主题的传送状态可能很有用,但并非所有主题都必须这样做。 |
| 2024 年 4 月 10 日 | [S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置 | Security Hub 从 AWS 基础安全最佳实践 v1.0.0 和服务管理标准:中删除了此控件。 AWS Control Tower此控件的目的由另两个控件覆盖:[S3.13] S3 通用存储桶应具有生命周期配置 和 [S3.14] S3 通用存储桶应启用版本控制。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 10 日 | [S3.11] S3 通用存储桶应启用事件通知 | Security Hub 从 AWS 基础安全最佳实践 v1.0.0 和服务管理标准:中删除了此控件。 AWS Control Tower尽管在某些情况下,S3 存储桶的事件通知很有用,但这不是通用的安全最佳实践。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 10 日 | [SNS.1] 应使用以下方法对SNS主题进行静态加密 AWS KMS | Security Hub 从 AWS 基础安全最佳实践 v1.0.0 和服务管理标准:中删除了此控件。 AWS Control Tower默认情况下,SNS使用磁盘加密对静态主题进行加密。有关更多信息,请参阅数据加密。不再建议 AWS KMS 使用加密主题作为安全最佳实践。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 8 日 | [ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护 | 将控件标题从应启用应用程序负载均衡器删除保护更改为应用程序、网关和网络负载均衡器应启用删除保护。此控件目前评估应用程序、网关和网络负载均衡器。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 3 月 22 日 | [Opensearch.8] 应使用最新的安全 OpenSearch 策略对与域的连接进行加密 TLS | 将控制标题从 OpenSearch 域连接更改为应使用 TLS 1.2 加密到 OpenSearch 域的连接应使用最新的TLS安全策略进行加密。以前,该控件仅检查与 OpenSearch 域的连接是否使用 TLS 1.2。现在,该控件会PASSED发现 OpenSearch 域名是否使用最新的TLS安全策略进行加密。控件标题和描述已更新,以反映当前行为。 |
| 2024 年 3 月 22 日 | [ES.8] 应使用最新的安全策略对与 Elasticsearch 域的连接进行加密 TLS | 控制标题从连接到 Elasticsearch 域名应使用 TLS 1.2 进行加密,改为 Elasticsearch 域的连接应使用最新的安全策略进行加密。TLS以前,该控件仅检查与 Elasticsearch 域的连接是否使用 TLS 1.2。现在,该控件可以PASSED发现 Elasticsearch 域名是否使用最新的TLS安全策略进行加密。控件标题和描述已更新,以反映当前行为。 |
| 2024 年 3 月 12 日 | [S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置 | 将标题从应启用 S3 阻止公共访问权限设置更改为 S3 通用存储桶应启用屏蔽公共访问权限设置。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.2] S3 通用存储桶应阻止公共读取访问权限 | 将标题从 S3 存储桶应禁止公共读取访问权限更改为 S3 通用存储桶应屏蔽公共读取访问权限。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.3] S3 通用存储桶应阻止公共写入访问权限 | 将标题从 S3 存储桶应禁止公共写入访问权限更改为 S3 通用存储桶应阻止公共写入访问权限。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.5] S3 通用存储桶应要求请求才能使用 SSL | 从 S3 存储桶更改后的标题应要求请求使用安全套接字层,改为 S3 通用存储桶,则需要请求才能使用。SSLSecurity Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户 | 从授予其他 AWS 账户 存储桶策略的 S3 权限更改后的标题应仅限于 S3 通用存储桶策略应限制其他存储桶策略的访问权限 AWS 账户。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | 将标题从 S3 存储桶应启用跨区域复制更改为 S3 通用存储桶应使用跨区域复制。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | 将标题从 S3 存储桶应启用跨区域复制更改为 S3 通用存储桶应使用跨区域复制。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.8] S3 通用存储桶应屏蔽公共访问权限 | 将标题从应在存储桶级启用 S3 阻止公共访问权限设置更改为 S3 通用存储桶应阻止公共访问权限。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.9] S3 通用存储桶应启用服务器访问日志记录 | 将标题从应启用 S3 存储桶服务器访问日志记录更改为应为S3 通用存储桶启用服务器访问日志记录。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置 | 将标题从启用版本控制的 S3 存储桶应配置生命周期策略更改为启用版本控制的 S3 通用存储桶应具有生命周期配置。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.11] S3 通用存储桶应启用事件通知 | 将标题从 S3 存储桶应启用事件通知更改为 S3 通用存储桶应启用事件通知。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | ACLs不应使用 [S3.12] 来管理用户对 S3 通用存储桶的访问权限 | 从 S3 访问控制列表 (ACLs) 中更改的标题不应用于管理用户对存储桶的访问权限,ACLs不应用于管理用户对 S3 通用存储桶的访问权限。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.13] S3 通用存储桶应具有生命周期配置 | 将标题从 S3 存储桶应配置生命周期策略更改为 S3 通用存储桶应具有生命周期配置。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.14] S3 通用存储桶应启用版本控制 | 将标题从 S3 存储桶应使用版本控制更改为 S3 通用存储桶应启用版本控制。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.15] S3 通用存储桶应启用对象锁定 | 将标题从应将 S3 存储桶配置为使用对象锁定更改为 S3 通用存储桶应启用对象锁定。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys | 将标题从应使用 AWS KMS keys对 S3 存储桶进行静态加密更改为应使用 AWS KMS keys对 S3 通用存储桶进行静态加密。Security Hub 更改了标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 7 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 nodejs20.x 和 ruby3.3 作为参数。 |
| 2024 年 2 月 22 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 dotnet8 作为参数。 |
| 2024 年 2 月 5 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub 更新了支持的最早版本的 Kubernetes,亚马逊EKS集群可以在该版本上运行,从而得出一个通过的调查结果。目前支持的最旧版本是 Kubernetes 1.25。 |
| 2024 年 1 月 10 日 | [CodeBuild.1] CodeBuild Bitbucket 源存储库URLs不应包含敏感凭证 | 已将标题从 CodeBuild GitHub Bitbucket 源存储库URLs更改为 CodeBuild Bitbucket 源存储库URLs不应包含敏感凭据。OAuthSecurity Hub 删除了提及,OAuth因为其他连接方法也可以是安全的。Security Hub 删除了提及, GitHub 因为 GitHub 源存储库中不再可能有个人访问令牌或用户名和密码URLs。 |
| 2024 年 1 月 8 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 不再支持 go1.x 和 java8 作为参数,因为这些运行时系统都已停用。 |
| 2023 年 12 月 29 日 | [RDS.8] RDS 数据库实例应启用删除保护 | RDS.8 检查使用支持的RDS数据库引擎之一的 Amazon 数据库实例是否启用了删除保护。Security Hub 现在支持 custom-oracle-ee、oracle-ee-cdb、和 oracle-se2-cdb 作为数据库引擎。 |
| 2023 年 12 月 22 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 java21 和 python3.12 作为参数。Security Hub 不再支持 ruby2.7 作为参数。 |
| 2023 年 12 月 15 日 | [CloudFront.1] CloudFront 发行版应配置默认根对象 | CloudFront.1 检查 Amazon CloudFront 分配是否配置了默认根对象。Security Hub 将此控件的严重性从降低CRITICAL到,HIGH因为建议添加默认根对象,具体取决于用户的应用程序和特定要求。 |
| 2023 年 12 月 5 日 | [EC2.13] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22 | 将控件标题从安全组不应允许从 0.0.0.0/0 到端口 22 的入口流量更改为安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量。 |
| 2023 年 12 月 5 日 | [EC2.14] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 3389 | 将控件标题从 确保没有安全组允许从 0.0.0.0/0 到端口 3389 的入口流量更改为 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量。 |
| 2023 年 12 月 5 日 | [RDS.9] RDS 数据库实例应将日志发布到 CloudWatch 日志 | 应将控制标题从数据库日志记录更改为RDS数据库实例应将日志发布到 CloudWatch 日志。Security Hub 发现,此控件仅检查日志是否已发布到 Amazon CloudWatch Logs,而不检查RDS日志是否已启用。如果将RDS数据库实例配置为将日志发布到 CloudWatch 日志,则该控件会生成PASSED结果。控件标题已更新,以反映当前行为。 |
| 2023 年 12 月 5 日 | [EKS.8] EKS 集群应启用审核日志 | 此控件检查 Amazon EKS 集群是否启用了审核日志。Security Hub 用来评估此控件的 AWS Config 规则从更改eks-cluster-logging-enabled为eks-cluster-log-enabled。 |
| 2023 年 11 月 17 日 | [EC2.19] 安全组不应允许不受限制地访问高风险端口 | EC2.19 检查被视为高风险的指定端口是否可以访问安全组不受限制的传入流量。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果此前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 11 月 16 日 | [CloudWatch.15] CloudWatch 警报应配置指定操作 | 将控制标题从CloudWatch 警报更改为应为该ALARM状态配置操作的 CloudWatch 警报应配置指定的操作。 |
| 2023 年 11 月 16 日 | [CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留 | 更改后的控制标题应从CloudWatch 日志组保留至少 1 年,而 CloudWatch 日志组应保留指定时间段。 |
| 2023 年 11 月 16 日 | [Lambda.5] Lambd VPC a 函数应在多个可用区中运行 | 将控制标题从 VPCLambda 函数应在多个可用区中运行更改为 Lambda VPC函数应在多个可用区中运行。 |
| 2023 年 11 月 16 日 | [AppSync.2] AWS AppSync 应该启用字段级日志记录 | 将控件标题从 AWS AppSync 应开启请求级和字段级日志记录更改为 AWS AppSync 应启用字段级日志记录。 |
| 2023 年 11 月 16 日 | [EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址 | 将控制标题从 Amazon Elastic MapReduce 集群主节点不应具有公有 IP 地址更改为 Amazon EMR 集群主节点不应具有公有 IP 地址。 |
| 2023 年 11 月 16 日 | [Opensearch.2] OpenSearch 域名不应向公众开放 | 将控制标题从OpenSearch 域名更改VPC为OpenSearch域名不应公开访问。 |
| 2023 年 11 月 16 日 | [ES.2] Elasticsearch 域名不可供公共访问 | 将控制标题从 Elasticsearch 域名更改为 Elasticsearch 域名不应公开访问。VPC |
| 2023 年 10 月 31 日 | [ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志 | ES.4 检查 Elasticsearch 域是否配置为向亚马逊日志发送错误日志。 CloudWatch 该控件之前对一个 Elasticsearch 域生成了PASSED调查结果,该域将所有日志配置为发送到 CloudWatch 日志。Security Hub 更新了控件,PASSED使其仅针对配置为向日志发送错误日志的 Elasticsearch 域生成查找结果。 CloudWatch 该控件也进行了更新,将不支持错误日志的 Elasticsearch 版本排除在评估之外。 |
| 2023 年 10 月 16 日 | [EC2.13] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22 | EC2.13 检查安全组是否允许对端口 22 进行不受限制的入口访问。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [EC2.14] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 3389 | EC2.14 检查安全组是否允许对端口 3389 进行不受限制的入口访问。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [EC2.18] 安全组应只允许授权端口不受限制的传入流量 | EC2.18 检查正在使用的安全组是否允许不受限制的传入流量。Security Hub 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 python3.11 作为参数。 |
| 2023 年 10 月 4 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | Security Hub 添加了值为 CROSS-REGION 的参数 ReplicationType,以确保 S3 存储桶启用了跨区域复制,而非同区域复制。 |
| 2023 年 9 月 27 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub 更新了支持的最早版本的 Kubernetes,亚马逊EKS集群可以在该版本上运行,从而得出一个通过的调查结果。目前支持的最旧版本是 Kubernetes 1.24。 |
| 2023 年 9 月 20 日 | CloudFront.2 — CloudFront 发行版应启用来源访问身份 | Security Hub 停用了此控件,并将其从所有标准中删除。请改为参阅[CloudFront.13] CloudFront 发行版应使用源站访问控制。“源访问标识”是当前的安全最佳实践。此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 20 日 | [EC2.22] 应移除未使用的亚马逊EC2安全组 | Security Hub 从 AWS 基础安全最佳实践 (FSBP) 和美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5 中删除了此控件。它仍然是服务管理标准的一部分: AWS Control Tower. 如果安全组已连接到EC2实例或 elastic network interface,则此控件会生成通过检索结果。但是,对于某些用例,未附加的安全组不会构成安全风险。您可以使用其他EC2控件(例如 EC2 .2、. EC2 13、. EC2 14、. EC2 18 和 EC2 .19)来监控您的安全组。 |
| 2023 年 9 月 20 日 | EC2.29 — EC2 实例应在中启动 VPC | Security Hub 停用了此控件,并将其从所有标准中删除。Amazon EC2 已将EC2经典实例迁移到. VPC 此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 20 日 | S3.4:S3 存储桶应启用服务器端加密 | Security Hub 停用了此控件,并将其从所有标准中删除。Amazon S3 现在在新存储桶和现有 S3 存储桶上使用 SS3 S3 托管密钥 (-S3) 提供默认加密。使用 SS3-S3 或 SS3-KMS 服务器端加密的现有存储桶的加密设置保持不变。此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 14 日 | [EC2.2] VPC 默认安全组不应允许入站或出站流量 | 将控制标题从VPC默认安全组不应允许入站流量和出站流量更改为VPC默认安全组不应允许入站或出站流量。 |
| 2023 年 9 月 14 日 | MFA应为 root 用户启用 [IAM.9] | MFA应为 root 用户启用从 Virtual 更改为MFA应为 roo t 用户启用控件标题。 |
|
2023 年 9 月 14 日 |
[RDS.19] 应为关键群集RDS事件配置现有的事件通知订阅 | 将控制标题从应为关键群集RDS事件配置事件通知订阅更改为应为关键群集RDS事件配置现有的事件通知订阅。 |
| 2023 年 9 月 14 日 | [RDS.20] 应为关键数据库实例RDS事件配置现有的事件通知订阅 | 将控制标题从应为关键数据库实例RDS事件配置事件通知订阅更改为应为关键数据库实例RDS事件配置现有的事件通知订阅。 |
| 2023 年 9 月 14 日 | [WAF.2] AWS WAF 经典区域规则应至少有一个条件 | 将控制标题从WAF区域规则应至少有一个条件更改为AWS WAF 经典区域规则应至少有一个条件。 |
| 2023 年 9 月 14 日 | [WAF.3] AWS WAF 经典区域规则组应至少有一条规则 | 将控制标题从WAF区域规则组应至少包含一条规则更改为AWS WAF 经典区域规则组应至少包含一条规则。 |
| 2023 年 9 月 14 日 | [WAF.4] AWS WAF 经典区域网站ACLs应至少有一个规则或规则组 | 将控制标题从WAF区域网站ACL应至少有一个规则或规则组更改为AWS WAF 经典区域网站ACLs应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.6] AWS WAF 经典全局规则应至少有一个条件 | 将控件标题从WAF全局规则应至少有一个条件更改为AWS WAF 经典全局规则应至少有一个条件。 |
| 2023 年 9 月 14 日 | [WAF.7] AWS WAF 经典全局规则组应至少有一条规则 | 将控件标题从WAF全局规则组应至少包含一条规则更改为AWS WAF 传统全局规则组应至少包含一条规则。 |
| 2023 年 9 月 14 日 | [WAF.8] AWS WAF 经典全球 Web ACLs 应至少有一个规则或规则组 | 将控件标题从WAF全局网站ACL应至少有一个规则或规则组更改为AWS WAF 经典全局网站ACLs应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组 | 将控件标题从 WAFv2Web ACL 应至少有一个规则或规则组更改为 AWS WAF Web ACLs 应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.11] 应ACL启用 AWS WAF 网络日志记录 | 应将控制标题从AWS WAF v2 网络ACL日志更改为启用AWS WAF 网络ACL日志记录。 |
|
2023 年 7 月 20 日 |
S3.4:S3 存储桶应启用服务器端加密 | S3.4 检查一个 Amazon S3 存储桶是否启用了服务器端加密,或者 S3 存储桶策略是否明确拒绝了没有服务器端加密的 PutObject 请求。Security Hub 更新了此控件,加入了使用KMS密钥 (DSSE-KMS) 的双层服务器端加密。当使用 SSE-S3、-或 SSE DSSE-KMS KMS 加密 S3 存储桶时,该控件会生成通过查找结果。 |
| 2023 年 7 月 17 日 | [S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys | S3.17 检查 Amazon S3 存储桶是否使用了 AWS KMS key加密。Security Hub 更新了此控件,加入了使用KMS密钥 (DSSE-KMS) 的双层服务器端加密。当使用 SSE-KMS 或 DSSE-加密 S3 存储桶时,该控件会生成通过查找结果KMS。 |
| 2023 年 6 月 9 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | EKS.2 检查 Amazon EKS 集群是否在受支持的 Kubernetes 版本上运行。现在是支持的最旧版本。1.23 |
| 2023 年 6 月 9 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 ruby3.2 作为参数。 |
| 2023 年 6 月 5 日 | [APIGateway.5] API 网关RESTAPI缓存数据应在静态时加密 | APIGateway.5. 检查 Amazon Gate API way REST API 阶段中的所有方法是否都处于静态加密状态。Security Hub 更新了控件,使其仅在为特定方法启用缓存时才评估该方法的加密。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 java17 作为参数。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 不再支持 nodejs12.x 作为参数。 |
| 2023 年 4 月 23 日 | [ECS.10] Farg ECS ate 服务应在最新的 Fargate 平台版本上运行 | ECS.10 检查亚马逊 Far ECS gate 服务是否运行最新的 Fargate 平台版本。客户ECS可以通过ECS直接部署 Amazon,也可以使用部署 CodeDeploy。Security Hub 更新了此控件,以便在您使用 CodeDeploy 部署 ECS Fargate 服务时生成通过调查结果。 |
| 2023 年 4 月 20 日 | [S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户 | S3.6 检查亚马逊简单存储服务 (Amazon S3) 存储桶策略是否阻止 AWS 账户 其他人的委托人对 S3 存储桶中的资源执行被拒绝的操作。考虑存储桶策略中的条件,Security Hub 更新了控件。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 现在支持 python3.10 作为参数。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值相匹配。Security Hub 不再支持 dotnetcore3.1 作为参数。 |
| 2023 年 4 月 17 日 | [RDS.11] RDS 实例应启用自动备份 | RDS.11 检查 Amazon RDS 实例是否启用了自动备份,其备份保留期大于或等于七天。Security Hub 更新了此控件,将只读副本排除在评估范围之外,因为并非所有引擎都支持对只读副本进行自动备份。此外,RDS不提供在创建只读副本时指定备份保留期的选项。默认情况下,只读副本创建时的备份保留期为 0。 |
