本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于亚马逊的 Security Hub 控件 EC2
这些 AWS Security Hub 控制措施评估亚马逊弹性计算云 (Amazon EC2) 服务和资源。
这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[EC2.1] Amazon EBS 快照不应公开恢复
相关要求:PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/7.2.1、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3(7)、、(21)、、(11)、(16)、(20)、(21) NIST.800-53.r5 AC-3、(20)、(21)、(3) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4(4) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7(9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
类别:保护 > 安全网络配置
严重性:严重
资源类型:AWS::::Account
AWS Config 规则:ebs-snapshot-public-restorable-check
计划类型:定期
参数:无
此控件检查 Amazon Elastic Block Store 快照是否非公开。如果任何人都可以恢复 Amazon EBS 快照,则控制失败。
EBS 快照用于将 EBS 卷上的数据在特定时间点备份到 Amazon S3。您可以使用快照还原 EBS 卷的先前状态。与公众共享快照几乎是不允许的。通常,公开共享快照的决定要么是决策错误,要么是没有完全理解其含义。此检查有助于确保所有此类共享都是完全经过规划并且是有意进行的。
修复
要将公有 EBS 快照设为私有,请参阅 Amazon EC2 用户指南中的共享快照。在操作、修改权限中,选择私有。
[EC2.2] VPC 默认安全组不应允许入站或出站流量
相关要求:PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/2.1、CIS 基金会基准 v1.2.0/4.3、CIS 基金会基准 v1.4.0/5.3、CIS AWS 基金会基准 v3.0.0/5.4、、(21)、(11)、(16)、(21)、(4)、(5) AWS AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:vpc-default-security-group-closed
计划类型:已触发变更
参数:无
此控件检查 VPC 的默认安全组是否允许入站或出站流量。如果安全组允许入站或出站流量,则控制失败。
默认安全组的规则允许来自分配给相同安全组的网络接口(及其关联实例)的所有出站和入站流量。我们建议您不要使用默认安全组。由于无法删除默认安全组,因此您应更改默认安全组规则设置以限制入站和出站流量。如果意外为 EC2 实例等资源配置了默认安全组,这可以防止意外流量。
修复
要修复此问题,请先创建新的最低权限安全组。有关说明,请参阅 Amazon VPC 用户指南中的创建安全组。然后,将新的安全组分配给您的 EC2 实例。有关说明,请参阅 Amazon EC2 用户指南中的更改实例的安全组。
将新安全组分配给资源后,从默认安全组中删除所有入站和出站规则。有关说明,请参阅《Amazon VPC 用户指南》中的配置安全组规则。
[EC2.3] 附加的 Amazon EBS 卷应在静态状态下进行加密
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI-7 (6)
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::EC2::Volume
AWS Config 规则:encrypted-volumes
计划类型:已触发变更
参数:无
该控制检查处于连接状态的 EBS 卷是否已加密。要通过此检查,EBS 卷必须处于使用中并加密。如果 EBS 卷未挂载,则不需要接受此检查。
为了增加 EBS 卷中敏感数据的安全性,您应该启用静态 EBS 加密。Amazon EBS 加密提供了直接用于 EBS 资源的加密解决方案,无需您构建、维护和保护自己的密钥管理基础设施。它在创建加密卷和快照时使用 KMS 密钥。
要了解有关亚马逊 EBS 加密的更多信息,请参阅亚马逊 EC2 用户指南中的亚马逊 EBS 加密。
修复
没有直接对现有未加密卷或快照进行加密的方法。您只能在新的卷或快照创建时对其进行加密。
如果您启用了默认加密,Amazon EBS 使用您用于 Amazon EBS 加密的默认密钥对生成的新卷或快照实施加密。即使您未启用默认加密,也可以在创建单个卷或快照时启用加密。在这两种情况下,您都可以覆盖 Amazon EBS 加密的默认密钥并选择对称的客户管理密钥。
有关更多信息,请参阅亚马逊 EC2 用户指南中的创建 Amazon EBS 卷和复制 Amazon EBS 快照。
[EC2.4] 应在指定时间段后移除已停止的 EC2 实例
相关要求: NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)
类别:识别 > 清单
严重性:中
资源类型:AWS::EC2::Instance
AWS Config 规则:ec2-stopped-instance
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
在生成失败的查找结果之前,允许 EC2 实例处于停止状态的天数。 |
整数 |
|
|
此控件可检查 Amazon EC2 实例的停止时间是否超过允许的天数。如果 EC2 实例停止的时间超过允许的最大时间段,则控制失败。除非您为允许的最大时间段提供自定义参数值,否则 Security Hub 将使用默认值即 30 天。
当一个 EC2 实例在很长一段时间内没有运行时,就会造成安全风险,因为该实例没有得到积极维护(分析、修补、更新)。如果稍后启动,则由于缺乏适当的维护,可能会导致您的 AWS 环境出现意外问题。要在一段时间内安全地将 EC2 实例保持在非活动状态,请定期启动实例进行维护,然后在维护后将其停止。理想情况下,这应是一个自动化的过程。
修复
要终止非活动 EC2 实例,请参阅 Amazon EC2 用户指南中的终止实例。
[EC2.6] 应全部启用 VPC 流量记录 VPCs
相关要求:独联体 AWS 基金会基准 v1.2.0/2.9、CIS 基金会基准 v1.4.0/3.9、CIS AWS 基金会基准 v3.0.0/3.7、PCI DSS v3.2.1/10.3.3、PCI DSS v3.2.1/10.3.4、PCI DSS v3.2.1/10.3.5、PCI DSS v3.2.1/10.3.6、(26)、nist.800-53.r5 SI-7 (8) AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
类别:识别 > 日志记录
严重性:中
资源类型:AWS::EC2::VPC
AWS Config 规则:vpc-flow-logs-enabled
计划类型:定期
参数:
-
trafficType:REJECT(不可自定义)
此控件检查是否已找到并启用了 Amazon VPC 流日志 VPCs。流量类型设置为 Reject。如果您的账户中未启用 VPC 流日志, VPCs 则控制失败。
注意
此控件不会检查是否通过 Amazon Security Lake 为 AWS 账户启用了 Amazon VPC 流日志。
通过 VPC 流日志功能,您可以捕获有关进出 VPC 中网络接口的 IP 地址流量的信息。创建流日志后,可以在 CloudWatch 日志中查看和检索其数据。为了降低成本,您还可以将流日志发送到 Amazon S3。
Security Hub 建议您为的拒绝数据包启用流量记录。 VPCs流日志提供了对穿过 VPC 的网络流量的可见性,并且可以检测异常流量或在安全工作流程期间提供见解。
默认情况下,记录包括 IP 地址流的不同组件的值,包括源、目标和协议。有关日志字段的更多信息和描述,请参阅 Amazon VPC 用户指南中的 VPC 流日志。
修复
要创建 VPC 流日志,请参阅 Amazon VPC 用户指南中的创建流日志。打开 Amazon VPC 控制台后,选择您的 VPCs。对于筛选条件,选择拒绝或全部。
[EC2.7] 应启用 EBS 默认加密
相关要求:独联体 AWS 基金会基准 v1.4.0/2.2.1、CIS AWS 基金会基准 v3.0.0/2.2.1、(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、8、8 NIST.800-53.r5 CA-9 (1)、(10)、nist. NIST.800-53.r5 SC-2 800-53.r5 SI- NIST.800-53.r5 SC-2 7 (6) NIST.800-53.r5 SC-7
类别:保护 > 数据保护 > 加密 data-at-rest
严重性:中
资源类型:AWS::::Account
AWS Config 规则:ec2-ebs-encryption-by-default
计划类型:定期
参数:无
此控件检查亚马逊弹性区块存储 (Amazon EBS) 卷是否默认启用账户级加密。如果未为 EBS 卷启用账户级别加密,则控制失败。
为账户启用加密后,Amazon EBS 卷和快照副本将进行静态加密。这为数据增加了一层额外的保护。有关更多信息,请参阅 Amazon EC2 用户指南中的默认加密。
修复
要为 Amazon EBS 卷配置默认加密,请参阅亚马逊 EC2 用户指南中的默认加密。
[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2
相关要求:CIS AWS 基金会基准 v3.0.0/5.6、、 NIST.800-53.r5 AC-3 (15)、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3、、PCI DSS v4.0.1/2.2.6 NIST.800-53.r5 AC-6
类别:保护 > 网络安全
严重性:高
资源类型:AWS::EC2::Instance
AWS Config 规则:ec2-imdsv2-check
计划类型:已触发变更
参数:无
此控件检查您的 EC2 实例元数据版本是否配置了实例元数据服务版本 2 (IMDSv2)。如果设置HttpTokens为 “必需”,则控制通过 IMDSv2。如果设置为,HttpTokens则控制失败optional。
您可以使用实例元数据来配置或管理正在运行的实例。IMDS 提供对临时的、经常轮换的凭证的访问权限。这些凭证消除了手动或以编程方式对实例进行硬编码或分发敏感凭证的需要。IMDS 在本地连接到每个 EC2 实例。它在特殊的“链路本地地址”IP 地址 169.254.169.254。该 IP 地址只能由实例上运行的软件访问。
IMDS 版本 2 为以下类型的漏洞添加了新的保护。这些漏洞可用于尝试访问 IMDS。
-
打开网站应用程序防火墙
-
打开反向代理
-
服务器端请求伪造 (SSRF) 漏洞
-
打开第 3 层防火墙和网络地址转换(NAT)
Security Hub 建议您使用配置您的 EC2 实例 IMDSv2。
修复
要使用配置 EC2 实例 IMDSv2,请参阅 Amazon EC2 用户指南 IMDSv2中的推荐请求路径。
[EC2.9] Amazon EC2 实例不应有公共地址 IPv4
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:高
资源类型:AWS::EC2::Instance
AWS Config 规则:ec2-instance-no-public-ip
计划类型:已触发变更
参数:无
此控件检查 EC2 实例是否具有公有 IP 地址。如果该publicIp字段存在于 EC2 实例配置项目中,则控件将失败。此控件仅适用于 IPv4 地址。
公共 IPv4 地址是可通过互联网访问的 IP 地址。如果您使用公有 IP 地址启动实例,则可以通过 Internet 访问您的 EC2 实例。私有 IPv4 地址是无法通过互联网访问的 IP 地址。您可以使用私有 IPv4 地址在同一 VPC 或您连接的私有网络中的 EC2 实例之间进行通信。
IPv6 地址是全球唯一的,因此可以从互联网访问。但是,默认情况下,所有子网的 IPv6 寻址属性都设置为 false。有关更多信息 IPv6,请参阅 Amazon VPC 用户指南中的您的 VPC 中的 IP 地址。
如果您有合法的用例来维护具有公有 IP 地址的 EC2 实例,则可以禁止通过此控件发现的结果。有关前端架构选项的更多信息,请参阅AWS 架构博客
修复
使用非默认 VPC,以便默认情况下实例不会被分配公有 IP 地址。
当您在默认 VPC 中启动 EC2 实例时,会为其分配一个公有 IP 地址。当您在非默认 VPC 中启动 EC2 实例时,子网配置决定其是否接收公有 IP 地址。子网具有一个属性,用于确定子网中的新 EC2 实例是否从公有地址池接收公有 IP IPv4 地址。
您可以取消自动分配的公有 IP 地址与您的实例的关联。 EC2 有关更多信息,请参阅 Amazon EC2 用户指南中的公用 IPv4 地址和外部 DNS 主机名。
[EC2.10] EC2 应将亚马逊配置为使用为亚马逊 EC2 服务创建的 VPC 终端节点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全网络配置 > API 私有访问
严重性:中
资源类型:AWS::EC2::VPC
AWS Config 规则:service-vpc-endpoint-enabled
计划类型:定期
参数:
-
serviceName:ec2(不可自定义)
此控件检查是否为每个 VPC 创建 EC2 了 Amazon 服务终端节点。如果 VPC 没有为 Amazon EC2 服务创建 VPC 终端节点,则控制失败。
此控件评估单个账户中的资源。它不能描述账户之外的资源。由于而 AWS Config 且 Security Hub 不进行跨账户检查,因此您将看到跨账户共享的FAILED VPCs 结果。Security Hub 建议您隐瞒这些 FAILED 结果。
为了改善您的 VPC 的安全状况,您可以将 Amazon 配置 EC2 为使用接口 VPC 终端节点。接口终端节点由一项技术提供支持 AWS PrivateLink,该技术使您可以私下访问 Amazon EC2 API 操作。它将您的 VPC 和 Amazon 之间的所有网络流量限制 EC2 到亚马逊网络。由于端点仅在同一区域内受支持,因此您无法在 VPC 和不同区域中的服务之间创建端点。这样可以防止对其他地区进行意外 EC2 的 Amazon API 调用。
要了解有关为亚马逊创建 VPC 终端节点的更多信息 EC2,请参阅亚马逊 EC2 用户指南中的亚马逊 EC2 和接口 VPC 终端节点。
修复
要 EC2 从 Amazon VPC 控制台创建通往亚马逊的接口终端节点,请参阅AWS PrivateLink 指南中的创建 VPC 终端节点。对于服务名称,请选择 com.amazonaws。 region.ec2。
您还可以创建终端节点策略并将其附加到您的 VPC 终端节点,以控制对 Amazon EC2 API 的访问。有关创建 VPC 终端节点策略的说明,请参阅 Amazon EC2 用户指南中的创建终端节点策略。
[EC2.12] EC2 EIPs 应移除未使用的亚马逊
相关要求:PCI DSS v3.2.1/2.4、NIST.800-53.r5 CM-8(1)。
类别:保护 > 安全网络配置
严重性:低
资源类型:AWS::EC2::EIP
AWS Config 规则:eip-attached
计划类型:已触发变更
参数:无
此控件检查分配给 VPC 的弹性 IP (EIP) 地址是否已连接到 EC2 实例或正在使用的弹性网络接口 () ENIs。
查找失败表示您可能有未使用过的东西 EC2 EIPs。
这将帮助您在持卡人数据环境 (CDE) EIPs 中维护准确的资产清单。
修复
要释放未使用的 EIP,请参阅 Amazon EC2 用户指南中的释放弹性 IP 地址。
[EC2.13] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 22
相关要求:CIS AWS 基金会基准 v1.2.0/4.1、PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/2.2、、(21)、(11)、(16)、(21)、 NIST.800-53.r5 AC-4 (21)、(4)、(5) NIST.800-53.r5 AC-4、PCI DSS v4.0.1/1.3.1 NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:restricted-ssh
计划类型:已触发更改且定期进行
参数:无
此控件检查 Amazon EC2 安全组是否允许从 0.0.0.0/0 或:: /0 到端口 22 的入口。如果安全组允许从 0.0.0.0/0 或 ::/0 进入端口 22,则控制失败。
安全组为 AWS 资源提供传入和传出网络流量的有状态筛选。我们建议不要让任何安全组允许对端口 22 进行不受限制的传入访问。删除与 SSH 等远程控制台服务的自由连接可减少服务器暴露的风险。
修复
要禁止进入端口 22,请移除允许与 VPC 关联的每个安全组进行此类访问的规则。有关说明,请参阅 Amazon EC2 用户指南中的更新安全组规则。在 Amazon EC2 控制台中选择安全组后,选择操作、编辑入站规则。删除允许访问端口 22 的规则。
[EC2.14] 安全组不应允许从 0.0.0.0/0 或:: /0 进入端口 3389
相关要求:CIS AWS 基金会基准 v1.2.0/4.2、PCI DSS v4.0.1/1.3.1
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:restricted-common-ports(创建的规则是restricted-rdp)
计划类型:已触发更改且定期进行
参数:无
此控件检查 Amazon EC2 安全组是否允许从 0.0.0.0/0 或:: /0 到端口 3389 的入口。如果安全组允许从 0.0.0.0/0 或 ::/0 进入端口 3389,则控制失败。
安全组为 AWS 资源提供传入和传出网络流量的有状态筛选。我们建议不要让任何安全组允许对端口 3389 进行不受限制的传入访问。删除与 RDP 等远程控制台服务的自由连接可减少服务器暴露的风险。
修复
要禁止进入端口 3389,请移除允许与 VPC 关联的每个安全组进行此类访问的规则。有关说明,请参阅 Amazon VPC 用户指南中的更新安全组规则。在 Amazon VPC 控制台中选择安全组后,选择操作、编辑入站规则。删除允许访问端口 3389 的规则。
[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
类别:保护 > 网络安全
严重性:中
资源类型:AWS::EC2::Subnet
AWS Config 规则:subnet-auto-assign-public-ip-disabled
计划类型:已触发变更
参数:无
此控件检查亚马逊虚拟私有云(Amazon VPC)子网 IPs 中的公有分配是否已MapPublicIpOnLaunch设置为FALSE。如果将该标志设置为 FALSE,则控制通过。
所有子网都有一个属性,用于确定在子网中创建的网络接口是否自动接收公有 IPv4 地址。启动到启用了此属性的子网中的实例会为其主网络接口分配一个公共 IP 地址。
修复
要将子网配置为不分配公有 IP 地址,请参阅 Amazon VPC 用户指南中的修改子网的公有 IPv4 寻址属性。清除 “启用自动分配公共 IPv4 地址” 复选框。
[EC2.16] 应删除未使用的网络访问控制列表
相关要求:nist.800-53.r5 CM-8 (1)、PCI DSS v4.0.1/1.2.7
类别:保护 > 网络安全
严重性:低
资源类型:AWS::EC2::NetworkAcl
AWS Config 规则:vpc-network-acl-unused-check
计划类型:已触发变更
参数:无
此控件检查您的虚拟私有云 (VPC ACLs) 中是否存在任何未使用的网络访问控制列表(网络)。如果网络 ACL 未与某个子网关联,则此控件将失败。此控件不会为未使用的默认网络 ACL 生成调查发现。
此控件检查资源 AWS::EC2::NetworkAcl 的项目配置并确定网络 ACL 的关系。
如果唯一的关系是网络 ACL 的 VPC,则此控件将失败。
如果列出了其他关系,则控件通过。
修复
有关删除未使用的网络 ACL 的说明,请参阅 Amazon VPC 用户指南中的删除网络 ACL。您无法删除默认网络 ACL 或与子网相关联的 ACL。
[EC2.17] Amazon EC2 实例不应使用多个 ENIs
相关要求: NIST.800-53.r5 AC-4(21)
类别:保护 > 网络安全
严重性:低
资源类型:AWS::EC2::Instance
AWS Config 规则:ec2-instance-multiple-eni-check
计划类型:已触发变更
参数:无
此控件检查 EC2 实例是使用多个弹性网络接口 (ENIs) 还是弹性结构适配器 (EFAs)。如果使用单个网络适配器,则此控制通过。该控件包括一个可选的参数列表,用于标识允许的参数 ENIs。如果属于 Amazon EKS 集群的 EC2 实例使用多个 ENI,则此控制也会失败。如果您的 EC2 实例需要在 Amazon EKS 集群中包含多个 ENIs 实例,则可以隐藏这些控制结果。
多个实例 ENIs 可能导致双宿主实例,即具有多个子网的实例。这会增加网络安全的复杂性并引入意外的网络路径和访问。
修复
要将网络接口与 EC2 实例分离,请参阅 A mazon EC2 用户指南中的将网络接口与实例分离。
[EC2.18] 安全组应只允许授权端口不受限制的传入流量
相关要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (5)
类别:保护 > 安全网络配置 > 安全组配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:vpc-sg-open-only-to-authorized-ports
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
授权的 TCP 端口列表 |
IntegerList (最少 1 件商品,最多 32 件商品) |
|
|
|
|
授权的 UDP 端口列表 |
IntegerList (最少 1 件商品,最多 32 件商品) |
|
无默认值 |
此控件检查 Amazon EC2 安全组是否允许来自未经授权的端口不受限制的传入流量。控制状态如下所示确定:
-
如果您使用
authorizedTcpPorts的默认值,则当安全组允许从端口 80 和 443 以外的任何端口传入无限制流量时,则控制失败。 -
如果您为
authorizedTcpPorts或authorizedUdpPorts提供自定义值,则当安全组允许从任何未列出的端口传入无限制流量时,则控制失败。 -
如果不使用任何参数,则对于任何具有不受限制入站流量规则的安全组,则控制失败。
安全组提供对 AWS的传入和传出网络流量的状态筛选。安全组规则应遵循最低权限访问的原则。不受限制的访问(带有 /0 后缀的 IP 地址)增加了黑客 denial-of-service攻击、攻击和数据丢失等恶意活动的机会。除非明确允许某个端口,否则该端口应拒绝不受限制的访问。
修复
要修改安全组,请参阅《Amazon VPC 用户指南》中的使用安全组。
[EC2.19] 安全组不应允许不受限制地访问高风险端口
相关要求: NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (5)
类别:保护 > 受限网络访问
严重性:严重
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:restricted-common-ports(创建的规则是vpc-sg-restricted-common-ports)
计划类型:已触发更改且定期进行
参数:"blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"(不可自定义)
此控件检查被视为高风险的指定端口是否可以访问 Amazon EC2 安全组不受限制的传入流量。如果安全组中的任何规则允许从“0.0.0.0/0”或“::/0”传入这些端口的流量,则控制失败。
安全组为 AWS 资源提供传入和传出网络流量的有状态筛选。不受限制的访问 (0.0.0.0/0) 增加了恶意活动的机会,例如黑客 denial-of-service攻击、攻击和数据丢失。任何安全组都不应允许对以下端口进行不受限制的入口访问:
-
20、21 (FTP)
-
22 (SSH)
-
23 (Telnet)
-
25 (SMTP)
-
110 (POP3)
-
135 (RPC)
-
143 (IMAP)
-
445 (CIFS)
-
1433, 1434 (MSSQL)
-
3000(Go、Node.js 和 Ruby Web 开发框架)
-
3306 (MySQL)
-
3389 (RDP)
-
4333 (ahsp)
-
5000(Python 网络开发框架)
-
5432 (postgresql)
-
5500 (fcp-addr-srvr1)
-
5601(仪表板)OpenSearch
-
8080(代理)
-
8088(传统的 HTTP 端口)
-
8888(备用 HTTP 端口)
-
9200 或 9300 () OpenSearch
修复
要从安全组中删除规则,请参阅 Amazon EC2 用户指南中的从安全组中删除规则。
[EC2.20] VPN 连接的两个 VP AWS Site-to-Site N 隧道都应处于开启状态
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::EC2::VPNConnection
AWS Config 规则:vpc-vpn-2-tunnels-up
计划类型:已触发变更
参数:无
VPN 隧道是一种加密链路,数据可以在其中从客户网络传入 VPN 连接或传出 AWS AWS Site-to-Site VPN 连接。每个 VPN 连接均包括两条 VPN 隧道,可以同时使用这两条隧道来实现高可用性。确保两个 VPN 隧道都已开通 VPN 连接对于确认 VP AWS C 和远程网络之间的安全且高度可用的连接非常重要。
此控件会检查 VPN 提供的两个 V AWS Site-to-Site PN 隧道是否都处于 UP 状态。如果一条或两条隧道都处于关闭状态,则控制失败。
修复
要修改 VPN 隧道选项,请参阅《 Site-to-SiteVPN 用户指南》中的修改 AWS Site-to-Site VPN 隧道选项。
[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
相关要求:独联体 AWS 基金会基准 v1.4.0/5.1、CIS AWS 基金会基准 v3.0.0/5.1、(21)、(1)、 NIST.800-53.r5 AC-4 (21)、(21)、 NIST.800-53.r5 CA-9 (5) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7、PCI DSS v4.0. NIST.800-53.r5 SC-7 1/1.3.1 NIST.800-53.r5 SC-7
类别:保护 > 安全网络配置
严重性:中
资源类型:AWS::EC2::NetworkAcl
AWS Config 规则:nacl-no-unrestricted-ssh-rdp
计划类型:已触发变更
参数:无
此控件可检查网络访问控制列表(网络 ACL)是否允许 SSH/RDP 入口流量不受限制地访问默认 TCP 端口。如果网络 ACL 入站条目允许 TCP 端口 22 或 3389 的源 CIDR 块为“0.0.0.0/0”或“::/0”,则此控件将失败。此控件不会为默认网络 ACL 生成调查发现。
对远程服务器管理端口(例如端口 22 (SSH) 和端口 3389 (RDP))的访问不应公开访问,因为这可能会允许对 VPC 内的资源进行意外访问。
修复
要编辑网络 ACL 流量规则,请参阅 Amazon VPC 用户指南 ACLs中的使用网络。
[EC2.22] 应移除未使用的亚马逊 EC2 安全组
重要
退出特定标准 — Security Hub 于 2023 年 9 月 20 日从《 AWS 基础安全最佳实践》标准和 NIST SP 800-53 Rev. 5 中删除了此控件。此控件仍然是服务管理标准的一部分: AWS Control Tower. 如果安全组已连接到 EC2 实例或 elastic network interface,则此控件会生成通过检索结果。但是,对于某些用例,未附加的安全组不会构成安全风险。您可以使用其他 EC2 控件(例如 EC2 .2、. EC2 13、. EC2 14、. EC2 18 和 EC2 .19)来监控您的安全组。
类别:识别 > 清单
严重性:中
资源类型:AWS::EC2::NetworkInterface、AWS::EC2::SecurityGroup
AWS Config 规则:ec2-security-group-attached-to-eni-periodic
计划类型:定期
参数:无
此控件检查安全组是连接到亚马逊弹性计算云 (Amazon EC2) 实例还是连接到弹性网络接口。如果安全组未与 Amazon EC2 实例或 elastic network 接口关联,则控制失败。
修复
要创建、分配和删除安全组,请参阅 Amazon EC2 用户指南中的安全组。
[EC2.23] Amazon Tr EC2 ansit Gateways 不应自动接受 VPC 连接请求
相关要求: NIST.800-53.r5 AC-4(21)、 NIST.800-53.r5 CA-9 (1)、nist.800-53.r5 CM-2
类别:保护 > 安全网络配置
严重性:高
资源类型:AWS::EC2::TransitGateway
AWS Config 规则:ec2-transit-gateway-auto-vpc-attach-disabled
计划类型:已触发变更
参数:无
此控件检查 EC2 中转网关是否自动接受共享 VPC 附件。对于自动接受共享 VPC 附件请求的中转网关,此控制失败。
开启后,中转网关将 AutoAcceptSharedAttachments 配置为自动接受任何跨账户 VPC 附件请求,无需验证请求或源自哪个账户。为了遵循授权和身份验证的最佳实践,我们建议关闭此功能,以确保仅接受经过授权的 VPC 附件请求。
修复
要修改中转网关,请参阅 Amazon VPC 开发人员指南中的修改中转网关。
[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型
相关要求:NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)
类别:识别 > 漏洞、补丁和版本管理
严重性:中
资源类型:AWS::EC2::Instance
AWS Config 规则:ec2-paravirtual-instance-check
计划类型:已触发变更
参数:无
此控件检查 EC2 实例的虚拟化类型是否为半虚拟化。如果将 EC2 实例virtualizationType的设置为,则控件将失败paravirtual。
Linux Amazon 机器映像 (AMIs) 使用两种虚拟化类型之一:半虚拟化 (PV) 或硬件虚拟机 (HVM)。PV 和 HVM AMIs 之间的主要区别在于它们的启动方式,以及它们能否利用特殊的硬件扩展(CPU、网络和存储)来提高性能。
从历史上看,在许多情况下,PV 来宾的性能都比 HVM 客户机好,但是由于硬件虚拟机虚拟化的增强以及硬件虚拟机的 PV 驱动程序的可用性 AMIs,这种情况已不再如此。有关更多信息,请参阅亚马逊 EC2 用户指南中的 Linux AMI 虚拟化类型。
修复
要将 EC2 实例更新为新的实例类型,请参阅 Amazon EC2 用户指南中的更改实例类型。
[EC2.25] Amazon EC2 启动模板不应将公共分配 IPs 给网络接口
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、、(11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、(4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、 NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:高
资源类型:AWS::EC2::LaunchTemplate
AWS Config 规则:ec2-launch-template-public-ip-disabled
计划类型:已触发变更
参数:无
此控件会检查 Amazon EC2 启动模板是否配置为在启动时为网络接口分配公有 IP 地址。如果将 EC2 启动模板配置为为网络接口分配公有 IP 地址,或者至少有一个具有公有 IP 地址的网络接口,则控制失败。
公共 IP 地址是可通过 Internet 访问的地址。如果您使用公有 IP 地址配置网络接口,则可以从 Internet 访问与这些网络接口关联的资源。 EC2 不应公开访问资源,因为这可能会允许对您的工作负载进行意外访问。
修复
要更新 EC2 启动模板,请参阅 Amazon A EC2 uto Scaling 用户指南中的更改默认网络接口设置。
[EC2.28] 备份计划应涵盖 EBS 卷
类别:恢复 > 弹性 > 启用备份
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2)、nist.800-53.r5 SI-12、nist.800-53.r5 SI-13 (5)
严重性:低
资源类型:AWS::EC2::Volume
AWS Config 规则:ebs-resources-protected-by-backup-plan
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
如果将参数设置为, |
布尔值 |
|
无默认值 |
此控件评估备份计划是否涵盖处于 in-use 状态的 Amazon EBS 卷。如果备份计划不涵盖某个 EBS 卷,则控制失败。如果将backupVaultLockCheck参数设置为true,则仅当 EBS 卷备份到 AWS Backup 锁定的存储库中时,控制才会通过。
备份可帮助您更快地从安全事件中恢复。它们还增强了系统的故障恢复能力。将 Amazon EBS 卷包含在备份计划中可帮助您保护数据免遭意外丢失或删除。
修复
要将 Amazon EBS 卷添加到 AWS Backup 备份计划中,请参阅AWS Backup 开发人员指南中的为备份计划分配资源。
[EC2.33] 应 EC2 标记公交网关附件
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::TransitGatewayAttachment
AWS Config 规则:tagged-ec2-transitgatewayattachment(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon T EC2 ransit Gateway 附件是否具有参数中定义的特定密钥的标签requiredTagKeys。如果中转网关连接没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果中转网关连接没有使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要为 EC2 公交网关附件添加标签,请参阅亚马逊 EC2 用户指南中的为亚马逊 EC2 资源添加标签。
[EC2.34] 应 EC2 标记公交网关路由表
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::TransitGatewayRouteTable
AWS Config 规则:tagged-ec2-transitgatewayroutetable(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon T EC2 ransit Gateway 路由表是否具有参数中定义的特定密钥的标签requiredTagKeys。如果中转网关路由表没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果中转网关路由表未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EC2 公交网关路由表添加标签,请参阅亚马逊 EC2 用户指南中的为亚马逊 EC2 资源添加标签。
[EC2.35] 应标记 EC2 网络接口
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::NetworkInterface
AWS Config 规则:tagged-ec2-networkinterface(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 网络接口是否具有参数中定义的特定密钥的标签requiredTagKeys。如果网络接口没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果网络接口未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EC2 网络接口添加标签,请参阅《亚马逊 EC2 用户指南》中的为亚马逊 EC2 资源添加标签。
[EC2.36] 应标记 EC2 客户网关
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::CustomerGateway
AWS Config 规则:tagged-ec2-customergateway(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 客户网关是否具有参数中定义的特定密钥的标签requiredTagKeys。如果客户网关没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果客户网关未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EC2 客户网关添加标签,请参阅亚马逊 EC2 用户指南中的为您的亚马逊 EC2 资源添加标签。
[EC2.37] 应标记 EC2 弹性 IP 地址
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::EIP
AWS Config 规则:tagged-ec2-eip(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 弹性 IP 地址是否具有参数中定义的特定密钥的标签requiredTagKeys。如果弹性 IP 地址没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果弹性 IP 地址未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要为 EC2 弹性 IP 地址添加标签,请参阅亚马逊 EC2 用户指南中的为亚马逊 EC2 资源添加标签。
应标EC2记 [.38] 个 EC2 实例
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::Instance
AWS Config 规则:tagged-ec2-instance(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 实例是否具有参数中定义的特定密钥的标签requiredTagKeys。如果实例没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果实例未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要为 EC2 实例添加标签,请参阅亚马逊 EC2 用户指南中的为亚马逊 EC2 资源添加标签。
[EC2.39] 应标记 EC2 互联网网关
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::InternetGateway
AWS Config 规则:tagged-ec2-internetgateway(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 互联网网关是否具有参数中定义的特定密钥的标签requiredTagKeys。如果互联网网关没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果互联网网关未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EC2 互联网网关添加标签,请参阅亚马逊 EC2 用户指南中的为亚马逊 EC2 资源添加标签。
[EC2.40] 应标 EC2 记 NAT 网关
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::NatGateway
AWS Config 规则:tagged-ec2-natgateway(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 网络地址转换 (NAT) 网关是否具有参数中定义的特定密钥的标签requiredTagKeys。如果 NAT 网关没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果 NAT 网关未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EC2 NAT 网关添加标签,请参阅亚马逊 EC2 用户指南中的为亚马逊 EC2 资源添加标签。
[EC2.41] ACLs 应标记 EC2 网络
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::NetworkAcl
AWS Config 规则:tagged-ec2-networkacl(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 网络访问控制列表 (网络 ACL) 是否具有参数中定义的特定密钥的标签requiredTagKeys。如果网络 ACL 没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果网络 ACL 未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EC2 网络 ACL 添加标签,请参阅亚马逊 EC2 用户指南中的标记您的亚马逊 EC2 资源。
[EC2.42] 应标记 EC2 路由表
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::RouteTable
AWS Config 规则:tagged-ec2-routetable(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 路由表是否具有参数中定义的特定密钥的标签requiredTagKeys。如果路由表没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果路由表未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EC2 路由表添加标签,请参阅亚马逊 EC2 用户指南中的为亚马逊 EC2 资源添加标签。
[EC2.43] 应标记 EC2 安全组
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:tagged-ec2-securitygroup(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 安全组是否具有参数中定义的特定密钥的标签requiredTagKeys。如果安全组没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果安全组未使用任何键进行标记,则此控件将失效。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EC2 安全组添加标签,请参阅《亚马逊 EC2 用户指南》中的为亚马逊 EC2 资源添加标签。
[EC2.44] 应 EC2 标记子网
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::Subnet
AWS Config 规则:tagged-ec2-subnet(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 子网是否具有参数中定义的特定密钥的标签requiredTagKeys。如果子网没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果子网未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EC2 子网添加标签,请参阅《亚马逊 EC2 用户指南》中的为亚马逊 EC2 资源添加标签。
应EC2标记 [.45] EC2 卷
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::Volume
AWS Config 规则:tagged-ec2-volume(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 卷是否具有参数中定义的特定密钥的标签requiredTagKeys。如果卷没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果卷未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要为 EC2 卷添加标签,请参阅《亚马逊 EC2 用户指南》中的为您的亚马逊 EC2 资源添加标签。
[EC2.46] VPCs 应该给亚马逊贴上标签
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::VPC
AWS Config 规则:tagged-ec2-vpc(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件可检查 Amazon Virtual Private Cloud(Amazon VPC)是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果 Amazon VPC 没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果 Amazon VPC 未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 VPC 添加标签,请参阅亚马逊 EC2 用户指南中的为亚马逊 EC2 资源添加标签。
[EC2.47] 应标记 Amazon VPC 终端节点服务
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::VPCEndpointService
AWS Config 规则:tagged-ec2-vpcendpointservice(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件可检查 Amazon VPC 端点服务是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果端点服务没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果端点服务未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 Amazon VPC 端点服务添加标签,请参阅《AWS PrivateLink 指南》配置端点服务一节中的管理标签。
[EC2.48] 应标记 Amazon VPC 流日志
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::FlowLog
AWS Config 规则:tagged-ec2-flowlog(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件可检查 Amazon VPC 流日志是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果流日志没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果流日志未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 Amazon VPC 流日志添加标签,请参阅《Amazon VPC 用户指南》中的标记流日志。
[EC2.49] 应标记 Amazon VPC 对等连接
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::VPCPeeringConnection
AWS Config 规则:tagged-ec2-vpcpeeringconnection(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件可检查 Amazon VPC 对等连接是否具有带特定键的标签,这些键在 requiredTagKeys 参数中进行定义。如果对等连接没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果对等连接未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 Amazon VPC 对等连接添加标签,请参阅亚马逊 EC2 用户指南中的标记您的亚马逊 EC2 资源。
[EC2.50] 应标 EC2 记 VPN 网关
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::VPNGateway
AWS Config 规则:tagged-ec2-vpngateway(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EC2 VPN 网关是否具有参数中定义的特定密钥的标签requiredTagKeys。如果 VPN 网关没有任何标签键或者未在 requiredTagKeys 参数中指定所有密钥,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果 VPN 网关未使用任何键标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EC2 VPN 网关添加标签,请参阅亚马逊 EC2 用户指南中的为亚马逊 EC2 资源添加标签。
[EC2.51] EC2 客户端 VPN 端点应启用客户端连接日志记录
相关要求: NIST.800-53.r5 AC-2(12)、(4)、(26)、 NIST.800-53.r5 AC-2 (9)、(9)、 NIST.800-53.r5 AC-4 (9)、nist.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7 nist.800-53.r5 SI-4、nist.800-53.r5 SI-4 (20)、nist.800-53.r5 SI-7 (8)、PCI DSS v4.0.1/10.2.1
类别:识别 > 日志记录
严重性:低
资源类型:AWS::EC2::ClientVpnEndpoint
AWS Config 规则:ec2-client-vpn-connection-log-enabled
计划类型:已触发变更
参数:无
此控件检查 AWS Client VPN 端点是否启用了客户端连接日志记录。如果端点未启用客户端连接日志记录,则控制失败。
客户端 VPN 端点允许远程客户端安全地连接到 AWS中虚拟私有云(VPC)中的资源。连接日志允许您跟踪 VPN 端点上的用户活动并提供可见性。启用连接日志记录时,可以在日志组中指定日志流的名称。如果未指定日志流,Client VPN 服务会为您创建一个日志流。
修复
要启用连接日志记录,请参阅《AWS Client VPN 管理员指南》中的为现有 Client VPN 端点启用连接日志记录。
[EC2.52] 应 EC2 标记中转网关
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::EC2::TransitGateway
AWS Config 规则:tagged-ec2-transitgateway(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 |
No default value
|
此控件检查 Amazon EC2 公交网关是否具有参数中定义的特定密钥的标签requiredTagKeys。如果中转网关没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果中转网关未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EC2 公交网关添加标签,请参阅亚马逊 EC2 用户指南中的为亚马逊 EC2 资源添加标签。
[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口
相关要求:CIS AWS 基金会基准 v3.0.0/5.2、PCI DSS v4.0.1/1.3.1
类别:保护 > 安全网络配置 > 安全组配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:vpc-sg-port-restriction-check
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
IP 版本 |
字符串 |
不可自定义 |
|
|
|
应拒绝入口流量的端口列表 |
IntegerList |
不可自定义 |
|
此控件检查 Amazon EC2 安全组是否允许从 0.0.0.0/0 进入远程服务器管理端口(端口 22 和 3389)。如果安全组允许从 0.0.0.0/0 进入端口 22 或 3389,则此控件将失败。
安全组对流向资源的入口和出口网络流量提供状态过滤。 AWS 我们建议任何安全组都不应允许使用 TDP(6)、UDP(17)或 ALL(-1)协议对远程服务器管理端口进行不受限制的入口访问,例如 SSH 到端口 22,RDP 到端口 3389。允许对这些端口进行公共访问会增加资源攻击面和资源泄露的风险。
修复
要更新 EC2 安全组规则以禁止进入指定端口的流量,请参阅 Amazon EC2 用户指南中的更新安全组规则。在 Amazon EC2 控制台中选择安全组后,选择操作、编辑入站规则。删除允许访问端口 22 或 3389 的规则。
[EC2.54] EC2 安全组不应允许从:: /0 进入远程服务器管理端口
相关要求:CIS AWS 基金会基准 v3.0.0/5.3、PCI DSS v4.0.1/1.3.1
类别:保护 > 安全网络配置 > 安全组配置
严重性:高
资源类型:AWS::EC2::SecurityGroup
AWS Config 规则:vpc-sg-port-restriction-check
计划类型:定期
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
IP 版本 |
字符串 |
不可自定义 |
|
|
|
应拒绝入口流量的端口列表 |
IntegerList |
不可自定义 |
|
此控件检查 Amazon EC2 安全组是否允许从:: /0 进入远程服务器管理端口(端口 22 和 3389)。如果安全组允许从 ::/0 进入端口 22 或 3389,则此控件将失败。
安全组对流向资源的入口和出口网络流量提供状态过滤。 AWS 我们建议任何安全组都不应允许使用 TDP(6)、UDP(17)或 ALL(-1)协议对远程服务器管理端口进行不受限制的入口访问,例如 SSH 到端口 22,RDP 到端口 3389。允许对这些端口进行公共访问会增加资源攻击面和资源泄露的风险。
修复
要更新 EC2 安全组规则以禁止进入指定端口的流量,请参阅 Amazon EC2 用户指南中的更新安全组规则。在 Amazon EC2 控制台中选择安全组后,选择操作、编辑入站规则。删除允许访问端口 22 或 3389 的规则。
[EC2.55] VPCs 应配置用于 ECR API 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | 字符串 | 不可自定义 | ecr.api |
vpcIds
|
可选 | 用逗号分隔的 VPC 终端节点的 Amazon V IDs PC 列表。如果提供,则如果serviceName参数中指定的服务没有这些 VPC 终端节点,则控制失败。 |
StringList | 使用一个或多个 VPC 进行自定义 IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否具有用于 Amazon ECR API 的接口 VPC 终端节点。如果 VPC 没有用于 ECR API 的接口 VPC 终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私密访问 PrivateLink 由 VPC 或本地提供支持的服务,无需使用公共服务 IPs,也无需流量通过 Internet 进行传输。
修复
要配置 VPC 终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口 VPC 终端节点访问和。
[EC2.56] VPCs 应配置 Docker Registry 的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | 字符串 | 不可自定义 | ecr.dkr |
vpcIds
|
可选 | 用逗号分隔的 VPC 终端节点的 Amazon V IDs PC 列表。如果提供,则如果serviceName参数中指定的服务没有这些 VPC 终端节点,则控制失败。 |
StringList | 使用一个或多个 VPC 进行自定义 IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否有 Docker Registry 的接口 VPC 终端节点。如果 VPC 没有用于 Docker Registry 的接口 VPC 终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私密访问 PrivateLink 由 VPC 或本地提供支持的服务,无需使用公共服务 IPs,也无需流量通过 Internet 进行传输。
修复
要配置 VPC 终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口 VPC 终端节点访问和。
[EC2.57] VPCs 应使用 Systems Manager 的接口端点进行配置
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | 字符串 | 不可自定义 | ssm |
vpcIds
|
可选 | 用逗号分隔的 VPC 终端节点的 Amazon V IDs PC 列表。如果提供,则如果serviceName参数中指定的服务没有这些 VPC 终端节点,则控制失败。 |
StringList | 使用一个或多个 VPC 进行自定义 IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否有接口 VPC 终端节点 AWS Systems Manager。如果 VPC 没有用于 Systems Manager 的接口 VPC 终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私密访问 PrivateLink 由 VPC 或本地提供支持的服务,无需使用公共服务 IPs,也无需流量通过 Internet 进行传输。
修复
要配置 VPC 终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口 VPC 终端节点访问和。
[EC2.58] VPCs 应配置 Systems Manager 事件管理器联系人的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | 字符串 | 不可自定义 | ssm-contacts |
vpcIds
|
可选 | 用逗号分隔的 VPC 终端节点的 Amazon V IDs PC 列表。如果提供,则如果serviceName参数中指定的服务没有这些 VPC 终端节点,则控制失败。 |
StringList | 使用一个或多个 VPC 进行自定义 IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否具有用于 AWS Systems Manager 事件管理员联系人的接口 VPC 终端节点。如果 VPC 没有用于 Systems Manager 事件管理器联系人的接口 VPC 终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私密访问 PrivateLink 由 VPC 或本地提供支持的服务,无需使用公共服务 IPs,也无需流量通过 Internet 进行传输。
修复
要配置 VPC 终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口 VPC 终端节点访问和。
[EC2.60] VPCs 应配置 Systems Manager 事件管理器的接口端点
相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)
类别:保护 > 安全访问管理 > 访问控制
严重性:中
资源类型:AWS::EC2::VPC、AWS::EC2::VPCEndpoint
AWS Config 规则:vpc-endpoint-enabled
计划类型:定期
参数:
| 参数 | 必需 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|---|
serviceNames
|
必需 | 控件评估的服务的名称 | 字符串 | 不可自定义 | ssm-incidents |
vpcIds
|
可选 | 用逗号分隔的 VPC 终端节点的 Amazon V IDs PC 列表。如果提供,则如果serviceName参数中指定的服务没有这些 VPC 终端节点,则控制失败。 |
StringList | 使用一个或多个 VPC 进行自定义 IDs | 无默认值 |
此控件检查您管理的虚拟私有云 (VPC) 是否具有用于 AWS Systems Manager 事件管理器的接口 VPC 终端节点。如果 VPC 没有用于 Systems Manager 事件管理器的接口 VPC 终端节点,则控制失败。此控件评估单个账户中的资源。
AWS PrivateLink 使客户能够以高度可用和可扩展的方式访问托管 AWS 在上的服务,同时将所有网络流量保持在 AWS 网络内。服务用户可以私密访问 PrivateLink 由 VPC 或本地提供支持的服务,无需使用公共服务 IPs,也无需流量通过 Internet 进行传输。
修复
要配置 VPC 终端节点,请参阅AWS PrivateLink 指南中的AWS 服务 使用接口 VPC 终端节点访问和。
[EC2.170] EC2 启动模板应使用实例元数据服务版本 2 () IMDSv2
相关要求:PCI DSS v4.0.1/2.6
类别:保护 > 网络安全
严重性:低
资源类型:AWS::EC2::LaunchTemplate
AWS Config 规则:ec2-launch-template-imdsv2-check
计划类型:已触发变更
参数:无
此控件检查 Amazon EC2 启动模板是否配置了实例元数据服务版本 2 (IMDSv2)。如果设置为,HttpTokens则控制失败optional。
在支持的软件版本上运行资源可确保最佳性能、安全性和对最新功能的访问。定期更新可防止漏洞,这有助于确保稳定高效的用户体验。
修复
要要求使用 IMDSv2 EC2 启动模板,请参阅 Amazon EC2 用户指南中的配置实例元数据服务选项。
[EC2.171] EC2 VPN 连接应启用日志记录
相关要求:CIS AWS 基金会基准 v3.0.0/5.3、PCI DSS v4.0.1/10.4.2
类别:识别 > 日志记录
严重性:中
资源类型:AWS::EC2::VPNConnection
AWS Config 规则:ec2-vpn-connection-logging-enabled
计划类型:已触发变更
参数:无
此控件会检查 AWS Site-to-Site VPN 连接是否为两条隧道都启用 CloudWatch 了 Amazon Logs。如果 Site-to-Site VPN 连接没有为两条隧道启用 CloudWatch 日志,则控制失败。
AWS Site-to-Site VPN 日志可让您更深入地了解 Site-to-Site VPN 部署。使用此功能,您可以访问 Site-to-Site VPN 连接日志,这些日志提供有关 IP 安全 (IPsec) 隧道建立、互联网密钥交换 (IKE) 协商和失效对等体检测 (DPD) 协议消息的详细信息。 Site-to-SiteVPN 日志可以发布到 CloudWatch 日志。此功能为客户提供了一种统一的方式来访问和分析其所有 Site-to-Site VPN 连接的详细日志。
修复
要在 EC2 VPN 连接上启用隧道日志记录,请参阅《AWS Site-to-Site VPN 用户指南》中的AWS Site-to-Site VPN 日志。
[EC2.172] EC2 VPC 阻止公共访问设置应阻止互联网网关流量
类别:保护 > 安全网络配置 > 不公开访问的资源
严重性:中
资源类型:AWS::EC2::VPCBlockPublicAccessOptions
AWS Config 规则:ec2-vpc-bpa-internet-gateway-blocked(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
|
|
VPC BPA 选项模式的字符串值。 |
枚举 |
|
无默认值 |
此控件检查是否将 Amazon EC2 VPC 阻止公共访问 (BPA) 设置配置为阻止所有亚马逊 VPCs 的互联网网关流量。 AWS 账户如果 VPC BPA 设置未配置为阻止互联网网关流量,则控制失败。要使控制通过,InternetGatewayBlockMode必须将 VPC BPA 设置为block-bidirectional或block-ingress。如果提供了参数,则仅当vpcBpaInternetGatewayBlockMode的 VPC BPA 值与参数InternetGatewayBlockMode匹配时,控制才会通过。
在中为您的账户配置 VPC BPA 设置后, AWS 区域 您可以阻止该区域中的资源 VPCs 和子网通过互联网网关和仅限出口 Internet 的网关访问或访问您在该区域拥有的子网。如果您需要特定的 VPCs 子网才能访问或通过互联网访问,则可以通过配置 VPC BPA 排除来将其排除。有关创建和删除排除项的说明,请参阅 Amazon VPC 用户指南中的创建和删除排除项。
修复
要在账户级别启用双向 BPA,请参阅 Amazon V P C 用户指南中的为您的账户启用 BPA 双向模式。要启用仅限入口的 BPA,请参阅将 VP C B PA 模式更改为仅限入口。要在组织级别启用 VPC BPA,请参阅在组织级别启用 VPC BPA。
