本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
此控件参考提供了可用 AWS Security Hub 控件的列表,以及指向有关每个控件的更多信息的链接。概览表按控件 ID 按字母顺序显示控件。此处仅包含 Security Hub 正在使用的控件。已停用的控件不在此列表中。该表提供了每个控件的以下信息:
-
安全控制 ID — 此 ID 适用于所有标准,并表示该控件所涉及的 AWS 服务 和资源。无论您的账户中开启还是关闭了整合控制结果 IDs,Security Hub 控制台都会显示安全控制。但是, IDs 只有在您的账户中启用了合并控制结果时,Security Hub 的发现才会引用安全控制。如果在您的账户中关闭了合并控制结果,则控制结果中的某些控制措施 IDs 会因标准而异。有关特定于标准的控制与安全控制 IDs 的映射 IDs,请参阅。整合如何影响控制权 IDs 和所有权
如果您想为安全控件设置自动化,我们建议您根据控件 ID 而不是标题或描述进行筛选。尽管 Security Hub 偶尔会更新控件标题或描述,但控制 IDs 保持不变。
控件 IDs 可能会跳过数字。这些是未来控件的占位符。
-
适用标准——指明控件适用于哪些标准。选择一个控件以查看第三方合规性框架的具体要求。
-
安全控件标题——此标题适用于各类标准。无论账户中开启还是关闭了整合的控件调查发现,Security Hub 控制台都会显示安全控件标题。但是,只有在账户中启用了整合的控件调查发现时,Security Hub 的调查发现才会引用安全控件标题。如果在账户中关闭了整合的控件调查发现,则控件调查发现中的某些控件标题可能会因标准而异。有关特定于标准的控制与安全控制 IDs 的映射 IDs,请参阅。整合如何影响控制权 IDs 和所有权
-
严重性——从安全角度来看,控制的严重性确定了其重要性。有关 Security Hub 如何确定控制严重性的信息,请参阅 控制结果的严重性级别。
-
计划类型——指明何时评估控件。有关更多信息,请参阅 有关运行安全检查的计划。
-
支持自定义参数-指示控件是否支持一个或多个参数的自定义值。选择一个控件以查看参数的详细信息。有关更多信息,请参阅 了解 Security Hub 中的控件参数。
选择一个控件以查看更多详细信息。控件按服务名称的字母顺序列出。
| 安全控件 ID | 安全控件标题 | 适用标准 | 严重性 | 支持自定义参数 | 计划类型 |
|---|---|---|---|---|---|
| Account.1 | 应为以下人员提供安全联系信息 AWS 账户 | CIS AWS Foundations Benchmark v3.0.0, AWS 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | 定期 | |
| Account.2 | AWS 账户 应该是 AWS Organizations 组织的一部分 | NIST SP 800-53 Rev. 5 | HIGH(高) | |
定期 |
| ACM.1 | 导入的证书和 ACM 颁发的证书应在指定时间段后更新 | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 修订版 5 AWS Control Tower,PCI DSS v4.0.1 | 中 | |
变更已触发且定期进行 |
| ACM.2 | 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| ACM.3 | 应标记 ACM 证书 | AWS 资源标签标准 | 低 | 变更已触发 | |
| APIGateway1。 | 应启用 API Gateway REST 和 WebSocket API 执行日志记录 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| APIGateway.2 | API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| APIGateway.3 | API Gateway REST API 阶段应启用 AWS X-Ray 跟踪 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| APIGateway.4 | API Gateway 应与 WAF Web ACL 关联 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| APIGateway.5 | API Gateway REST API 缓存数据应静态加密 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| APIGateway.8 | API Gateway 路由应指定授权类型 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| APIGateway.9 | 应为 API Gateway V2 阶段配置访问日志记录 | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 修订版 5 AWS Control Tower,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| AppConfig1。 | AWS AppConfig 应用程序应该被标记 | AWS 资源标签标准 | 低 | 变更已触发 | |
| AppConfig.2 | AWS AppConfig 应标记配置文件 | AWS 资源标签标准 | 低 | 变更已触发 | |
| AppConfig.3 | AWS AppConfig 应该给环境加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| AppConfig.4 | AWS AppConfig 应标记扩展关联 | AWS 资源标签标准 | 低 | 变更已触发 | |
| AppFlow1。 | 应标记 Amazon AppFlow 流程 | AWS 资源标签标准 | 低 | 变更已触发 | |
| AppRunner1。 | 应标记 App Runner 服务 | AWS 资源标签标准 | 低 | 变更已触发 | |
| AppRunner.2 | 应标记 App Runner VPC 连接器 | AWS 资源标签标准 | 低 | 变更已触发 | |
| AppSync1。 | AWS AppSync API 缓存应在静态状态下进行加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| AppSync.2 | AWS AppSync 应该启用字段级日志记录 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| AppSync.4 | AWS AppSync APIs 应标记 GraphQL | AWS 资源标签标准 | 低 | 变更已触发 | |
| AppSync.5 | AWS AppSync APIs 不应使用 API 密钥对 GraphQL 进行身份验证 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| AppSync.6 | AWS AppSync API 缓存应在传输过程中进行加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| Athena.2 | 应标记 Athena 数据目录 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Athena.3 | 应标记 Athena 工作组 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Athena.4 | Athena 工作组应启用日志记录 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| AutoScaling1。 | 与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查 | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S AWS Control Tower P 800-53 Rev. 5 | 低 | 变更已触发 | |
| AutoScaling.2 | Amazon A EC2 uto Scaling 组应覆盖多个可用区域 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| AutoScaling.3 | Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2) | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 修订版 5 AWS Control Tower,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| Autoscaling.5 | 使用 Auto Scaling 群组启动配置启动的亚马逊 EC2 实例不应具有公有 IP 地址 | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 修订版 5 AWS Control Tower,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| AutoScaling.6 | 自动扩缩组组应在多个可用区中使用多种实例类型 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| AutoScaling.9 | EC2 Auto Scaling 群组应使用 EC2 启动模板 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| AutoScaling.10 | EC2 应标记 Auto Scaling 群组 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Backup.1 | AWS Backup 恢复点应在静态状态下进行加密 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Backup.2 | AWS Backup 应标记恢复点 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Backup.3 | AWS Backup 应给保管库加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Backup.4 | AWS Backup 报告计划应加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Backup.5 | AWS Backup 应标记备份计划 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Batch.1 | AWS Batch 应标记作业队列 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Batch.2 | AWS Batch 应标记调度策略 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Batch.3 | AWS Batch 应标记计算环境 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Batch.1 | AWS Batch 应标记作业队列 | AWS 资源标签标准 | 低 | 变更已触发 | |
| CloudFormation.2 | CloudFormation 堆栈应该被标记 | AWS 资源标签标准 | 低 | 变更已触发 | |
| CloudFront1。 | CloudFront 发行版应配置默认根对象 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| CloudFront.3 | CloudFront 发行版在传输过程中应要求加密 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.4 | CloudFront 发行版应配置源站故障转移 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| CloudFront.5 | CloudFront 发行版应该启用日志记录 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.6 | CloudFront 发行版应启用 WAF | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.7 | CloudFront 发行版应使用自定义 SSL/TLS 证书 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| CloudFront.8 | CloudFront 发行版应使用 SNI 来处理 HTTPS 请求 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| CloudFront.9 | CloudFront 发行版应加密发往自定义来源的流量 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.10 | CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.12 | CloudFront 发行版不应指向不存在的 S3 来源 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| CloudFront.13 | CloudFront 发行版应使用源站访问控制 | AWS 基础安全最佳实践 v1.0.0 | 中 | |
变更已触发 |
| CloudFront.14 | CloudFront 应该给发行版加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| CloudTrail1。 | CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪 | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、服务管理标准:,NIS AWS T SP 800-53 修订版 5 AWS Control Tower | HIGH(高) | 定期 | |
| CloudTrail.2 | CloudTrail 应该启用静态加密 | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.2.0、CIS 基金会基准 v1.4.0 AWS 基础安全最佳实践 v1.0.0、NIS AWS T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务管理标准: AWS Control Tower | 中 | |
定期 |
| CloudTrail.3 | 至少应启用一条 CloudTrail 跟踪 | PCI DSS v3.2.1,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| CloudTrail.4 | CloudTrail 应启用日志文件验证 | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、服务管理标准:、PCI DSS v3.2.1、PCI DSS v4.0.1、CIS 基金会基准 v1.4.0 AWS Control Tower、NIST SP 800-53 Rev. 5 AWS | 低 | |
定期 |
| CloudTrail.5 | CloudTrail 应将跟踪与 Amazon CloudWatch 日志集成 | CIS AWS 基金会基准 v1.2.0、CIS AWS 基金会基准 v1.4.0、 AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务管理标准: AWS Control Tower | 低 | |
定期 |
| CloudTrail.6 | 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 | 独联体 AWS 基金会基准 v1.2.0、CIS AWS 基金会基准测试 v1.4.0、PCI DSS v4.0.1 | 关键 | |
变更已触发且定期进行 |
| CloudTrail.7 | 确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 | 独联体 AWS 基金会基准 v1.2.0、独联体 AWS 基金会基准 v1.4.0、独联体基金会基准 v3.0.0、PCI AWS DSS v4.0.1 | 低 | |
定期 |
| CloudTrail.9 | CloudTrail 路径应该被标记 | AWS 资源标签标准 | 低 | 变更已触发 | |
| CloudWatch1。 | 应具有有关“根”用户使用的日志指标筛选条件和警报 | 独联体 AWS 基金会基准 v1.2.0、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0 AWS | 低 | |
定期 |
| CloudWatch.2 | 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报 | 独联体 AWS 基金会基准测试 v1.2.0 | 低 | |
定期 |
| CloudWatch.3 | 确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报 | 独联体 AWS 基金会基准测试 v1.2.0 | 低 | |
定期 |
| CloudWatch.4 | 确保存在关于 IAM 策略更改的日志指标筛选条件和警报 | 独联体 AWS 基金会基准 v1.2.0,独联体 AWS 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.5 | 确保存在 CloudTrail 配置更改的日志指标筛选器和警报 | 独联体 AWS 基金会基准 v1.2.0,独联体 AWS 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.6 | 确保存在针对 AWS Management Console 身份验证失败的日志指标筛选器和警报 | 独联体 AWS 基金会基准 v1.2.0,独联体 AWS 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.7 | 确保存在日志指标筛选器和警报,用于禁用或计划删除已创建的客户 CMKs | 独联体 AWS 基金会基准 v1.2.0,独联体 AWS 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.8 | 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 | 独联体 AWS 基金会基准 v1.2.0,独联体 AWS 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.9 | 确保存在 AWS Config 配置更改的日志指标筛选器和警报 | 独联体 AWS 基金会基准 v1.2.0,独联体 AWS 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.10 | 确保存在关于安全组更改的日志指标筛选条件和警报 | 独联体 AWS 基金会基准 v1.2.0,独联体 AWS 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.11 | 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报 | 独联体 AWS 基金会基准 v1.2.0,独联体 AWS 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.12 | 确保存在关于网络网关更改的日志指标筛选条件和警报 | 独联体 AWS 基金会基准 v1.2.0,独联体 AWS 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.13 | 确保存在关于路由表更改的日志指标筛选条件和警报 | 独联体 AWS 基金会基准 v1.2.0,独联体 AWS 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.14 | 确保存在关于 VPC 更改的日志指标筛选条件和警报 | 独联体 AWS 基金会基准 v1.2.0,独联体 AWS 基金会基准 v1.4.0 | 低 | |
定期 |
| CloudWatch.15 | CloudWatch 警报应配置指定的操作 | NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| CloudWatch.16 | CloudWatch 日志组应在指定的时间段内保留 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| CloudWatch.17 | CloudWatch 应启用警报操作 | NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| CodeArtifact1。 | CodeArtifact 存储库应该被标记 | AWS 资源标签标准 | 低 | 变更已触发 | |
| CodeBuild1。 | CodeBuild Bitbucket 源存储库 URLs 不应包含敏感凭据 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 关键 | 变更已触发 | |
| CodeBuild.2 | CodeBuild 项目环境变量不应包含明文凭证 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 关键 | |
变更已触发 |
| CodeBuild.3 | CodeBuild 应对 S3 日志进行加密 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准:, AWS Control Tower | 低 | |
变更已触发 |
| CodeBuild.4 | CodeBuild 项目环境应该有日志配置 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| CodeBuild.7 | CodeBuild 报告组导出应进行静态加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| CodeGuruProfiler1。 | CodeGuru 应标记 Profiler 分析组 | AWS 资源标签标准 | 低 | 变更已触发 | |
| CodeGuruReviewer1。 | CodeGuru 应标记 Reviewer 存储库关联 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Cognito1 | Cognito 用户池应激活威胁防护,并使用全功能强制模式进行标准身份验证 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| Config.1 | AWS Config 应该启用并使用服务相关角色进行资源记录 | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、NIS AWS T SP 800-53 修订版 5、PCI DSS v3.2.1 | 关键 | 定期 | |
| Connect.1 | 应标记 Amazon Connect 客户档案对象类型 | AWS 资源标签标准 | 低 | 变更已触发 | |
| DataFirehose1。 | 应静态加密 Firehose 传输流 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| DataSync1。 | DataSync 任务应该启用日志记录 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| Detective.1 | 应标记 Detective 行为图 | AWS 资源标签标准 | 低 | 变更已触发 | |
| DMS.1 | Database Migration Service 复制实例不应公开 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 关键 | |
定期 |
| DMS.2 | 应标记 DMS 证书 | AWS 资源标签标准 | 低 | 变更已触发 | |
| DMS.3 | 应标记 DMS 事件订阅 | AWS 资源标签标准 | 低 | 变更已触发 | |
| DMS.4 | 应标记 DMS 复制实例 | AWS 资源标签标准 | 低 | 变更已触发 | |
| DMS.5 | 应标记 DMS 复制子网组 | AWS 资源标签标准 | 低 | 变更已触发 | |
| DMS.6 | DMS 复制实例应启用自动次要版本升级 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.7 | 目标数据库的 DMS 复制任务应启用日志记录 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.8 | 源数据库的 DMS 复制任务应启用日志记录 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.9 | DMS 端点应使用 SSL | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.10 | Neptune 数据库的 DMS 端点应启用 IAM 授权 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DMS.11 | MongoDB 的 DMS 端点应启用身份验证机制 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DMS.12 | Redis OSS 的 DMS 端点应启用 TLS | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DocumentDB.1 | Amazon DocumentDB 集群应进行静态加密 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| DocumentDB.2 | Amazon DocumentDB 集群应有足够的备份保留期 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| DocumentDB.3 | Amazon DocumentDB 手动集群快照不应公开 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| DocumentDB.4 | Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DocumentDB.5 | Amazon DocumentDB 集群应启用删除保护 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| DynamoDB.1 | DynamoDB 表应根据需求自动扩展容量 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| DynamoDB.2 | DynamoDB 表应该启用恢复功能 point-in-time | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| DynamoDB.3 | DynamoDB Accelerator (DAX) 集群应在静态状态下进行加密 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| DynamoDB.4 | 备份计划中应有 DynamoDB 表 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| DynamoDB.5 | 应标记 DynamoDB 表 | AWS 资源标签标准 | 低 | 变更已触发 | |
| DynamodB.6 | DynamoDB 表应启用删除保护 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| DynamoDB.7 | 应在传输过程中加密 DynamoDB Accelerator 集群 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 定期 | |
| EC21。 | 不应公开还原 EBS 快照 | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S AWS Control Tower P 800-53 Rev. 5 | 关键 | |
定期 |
| EC2.2 | VPC 默认安全组不应允许入站或出站流量 | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、服务管理标准:、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0 AWS Control Tower、NIST SP 800-53 修订版 5 AWS | HIGH(高) | |
变更已触发 |
| EC2.3 | 挂载的 EBS 卷应进行静态加密 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EC2.4 | 应在指定的时间段后移除已停止的 EC2 实例 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| EC2.6 | 应全部启用 VPC 流量记录 VPCs | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、服务管理标准:、PCI DSS v3.2.1、CIS 基金会基准 v1.4.0 AWS Control Tower、NIST SP 800-53 修订版 5 AWS | 中 | |
定期 |
| EC2.7 | EBS 默认加密应该为已启用。 | CIS AWS 基金会基准 v3.0.0, AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,CIS AWS 基金会基准 v1.4.0,NIST SP 800-53 修订版 5 | 中 | |
定期 |
| EC2.8 | EC2 实例应使用实例元数据服务版本 2 (IMDSv2) | CIS AWS Foundations Benchmark v3.0.0, AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
变更已触发 |
| EC2.9 | EC2 实例不应有公共 IPv4 地址 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| EC2.10 | EC2 应将亚马逊配置为使用为亚马逊 EC2 服务创建的 VPC 终端节点 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| EC2.12 | EC2 EIPs 应移除未使用的内容 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| EC2.13 | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 | CIS F AWS oundations Benchmark v1.2.0、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5 | HIGH(高) | 变更已触发且定期进行 | |
| EC2.14 | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 | CIS AWS 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | HIGH(高) | 变更已触发且定期进行 | |
| EC2.15 | EC2 子网不应自动分配公有 IP 地址 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准:, AWS Control Tower | 中 | |
变更已触发 |
| EC2.16 | 应删除未使用的网络访问控制列表 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准:, AWS Control Tower | 低 | |
变更已触发 |
| EC2.17 | EC2 实例不应使用多个 ENIs | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| EC2.18 | 安全组应仅允许授权端口不受限制的传入流量 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| EC2.19 | 安全组不应允许无限制地访问高风险端口 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 关键 | 变更已触发且定期进行 | |
| EC2.20 | VPN 连接的两个 AWS Site-to-Site VPN 隧道都应处于开启状态 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EC2.21 | 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389 | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、 AWS 基础安全最佳实践 v1.0.0、服务管理标准: AWS Control Tower,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| EC2.22 | 应移除未使用的 EC2 安全组 | 服务管理标准: AWS Control Tower | 中 | 定期 | |
| EC2.23 | EC2 中转网关不应自动接受 VPC 连接请求 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| EC2.24 | EC2 不应使用半虚拟化实例类型 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EC2.25 | EC2 启动模板不应将公共分配 IPs 给网络接口 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
变更已触发 |
| EC2.28 | EBS 卷应包含在备份计划中 | NIST SP 800-53 Rev. 5 | 低 | |
定期 |
| EC2.33 | EC2 应标记公交网关附件 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.34 | EC2 应标记公交网关路由表 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.35 | EC2 应标记网络接口 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.36 | EC2 应标记客户网关 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.37 | EC2 应标记弹性 IP 地址 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.38 | EC2 应该给实例加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.39 | EC2 应该给互联网网关加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.40 | EC2 应标记 NAT 网关 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.41 | EC2 网络 ACLs 应该被标记 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.42 | EC2 应该对路由表进行标记 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.43 | EC2 应该给安全组加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.44 | EC2 应该给子网加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.45 | EC2 应为卷加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.46 | VPCs 应该给亚马逊贴上标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.47 | 应标记 Amazon VPC 端点服务 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.48 | 应标记 Amazon VPC 流日志 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.49 | 应标记 Amazon VPC 对等连接 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.50 | EC2 应标记 VPN 网关 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.51 | EC2 客户端 VPN 端点应启用客户端连接日志记录 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| EC2.52 | EC2 应为中转网关加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EC2.53 | EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口 | CIS AWS 基金会基准测试 v3.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| EC2.54 | EC2 安全组不应允许从:: /0 进入远程服务器管理端口 | CIS AWS 基金会基准测试 v3.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| EC2.55 | VPCs 应使用 ECR API 的接口端点进行配置 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.56 | VPCs 应该使用 Docker 注册表的接口端点进行配置 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.57 | VPCs 应使用 Systems Manager 的接口端点进行配置 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.58 | VPCs 应为 Systems Manager 事件管理器联系人配置接口端点 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.60 | VPCs 应使用 Systems Manager 事件管理器的接口端点进行配置 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.170 | EC2 启动模板应使用实例元数据服务版本 2 (IMDSv2) | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 低 | 变更已触发 | |
| EC2.171 | EC2 VPN 连接应启用日志记录 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| EC2.172 | EC2 VPC 阻止公共访问设置应阻止互联网网关流量 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| ECR.1 | ECR 私有存储库应配置图像扫描 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
定期 |
| ECR.2 | ECR 私有存储库应配置标签不可变性 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ECR.3 | ECR 存储库应至少配置一项生命周期策略 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ECR.4 | 应标记 ECR 公有存储库 | AWS 资源标签标准 | 低 | 变更已触发 | |
| ECS.1 | Amazon ECS 任务定义应具有安全网络模式和用户定义。 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.2 | ECS 服务不应自动分配公共 IP 地址 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
变更已触发 |
| ECS.3 | ECS 任务定义不应共享主机的进程命名空间 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.4 | ECS 容器应以非特权身份运行 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.5 | ECS 容器应限制为仅对根文件系统具有只读访问权限。 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.8 | 密钥不应作为容器环境变量传递 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
变更已触发 |
| ECS.9 | ECS 任务定义应具有日志配置 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| ECS.10 | ECS Fargate 服务应在最新的 Fargate 平台版本上运行 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| ECS.12 | ECS 集群应该使用容器详情 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ECS.13 | 应标记 ECS 服务 | AWS 资源标签标准 | 低 | 变更已触发 | |
| ECS.14 | 应标记 ECS 集群 | AWS 资源标签标准 | 低 | 变更已触发 | |
| ECS.15 | 应标记 ECS 任务定义 | AWS 资源标签标准 | 低 | 变更已触发 | |
| ECS.16 | ECS 任务集不应自动分配公有 IP 地址 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| EFS.1 | 应将 Elastic 文件系统配置为使用以下方法加密静态文件数据 AWS KMS | CIS AWS Foundations Benchmark v3.0.0, AWS 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 Rev. 5 AWS Control Tower | 中 | |
定期 |
| EFS.2 | Amazon EFS 卷应包含在备份计划中 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| EFS.3 | EFS 接入点应强制使用根目录 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EFS.4 | EFS 接入点应强制使用用户身份 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| EFS.5 | 应标记 EFS 接入点 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EFS.6 | EFS 挂载目标不应与公有子网关联 | AWS 基础安全最佳实践 v1.0.0 | 中 | 定期 | |
| EFS.7 | EFS 文件系统应启用自动备份 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| EFS.8 | 应静态加密 EFS 文件系统 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| EKS.1 | EKS 集群端点不应公开访问 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| EKS.2 | EKS 集群应在受支持的 Kubernetes 版本上运行 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
变更已触发 |
| EKS.3 | EKS 集群应使用加密的 Kubernetes 密钥 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 定期 | |
| EKS.6 | 应标记 EKS 集群 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EKS.7 | 应标记 EKS 身份提供者配置 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EKS.8 | EKS 集群应启用审核日志记录 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| ElastiCache1。 | ElastiCache (Redis OSS) 集群应启用自动备份 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
定期 |
| ElastiCache.2 | ElastiCache 集群应启用自动次要版本升级 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| ElastiCache.3 | ElastiCache 复制组应启用自动故障切换 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| ElastiCache.4 | ElastiCache 复制组应为 encrypted-at-rest | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| ElastiCache.5 | ElastiCache 复制组应为 encrypted-in-transit | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
定期 |
| ElastiCache.6 | ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
定期 |
| ElastiCache.7 | ElastiCache 群集不应使用默认子网组 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | |
定期 |
| ElasticBeanstalk1。 | Elastic Beanstalk 环境应启用增强型运行状况报告 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| ElasticBeanstalk.2 | 应启用 Elastic Beanstalk 托管平台更新 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
变更已触发 |
| ElasticBeanstalk.3 | Elastic Beanstalk 应该将日志流式传输到 CloudWatch | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| ELB.1 | 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S AWS Control Tower P 800-53 Rev. 5 | 中 | |
定期 |
| ELB.2 | 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由 AWS Certificate Manager 提供的证书 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.3 | 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| ELB.4 | 应将应用程序负载均衡器配置为删除 http 标头 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| ELB.5 | 应启用应用程序和经典负载均衡器日志记录 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.6 | 应用程序、网关和网络负载均衡器应启用删除保护 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| ELB.7 | 经典负载均衡器应启用连接耗尽功能 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.8 | 具有 SSL 侦听器的经典负载均衡器应使用具有强大配置的预定义安全策略 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| ELB.9 | 经典负载均衡器应启用跨区域负载均衡器 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.10 | 经典负载均衡器应跨越多个可用区 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.12 | 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| ELB.13 | 应用程序、网络和网关负载均衡器应跨越多个可用区 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.14 | 经典负载均衡器应配置为防御性或最严格的异步缓解模式 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| ELB.16 | 应用程序负载均衡器应与 AWS WAF Web ACL 关联 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| EMR.1 | Amazon EMR 集群主节点不应有公有 IP 地址 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
定期 |
| EMR.2 | 应启用 Amazon EMR 屏蔽公共访问权限设置 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | |
定期 |
| ES.1 | Elasticsearch 域应启用静态加密 | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S AWS Control Tower P 800-53 Rev. 5 | 中 | |
定期 |
| ES.2 | Elasticsearch 域名不可供公共访问 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v3.2.1,PCI DSS v4.0.1,NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 关键 | |
定期 |
| ES.3 | Elasticsearch 域应加密节点之间发送的数据 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准:, AWS Control Tower | 中 | |
变更已触发 |
| ES.4 | 应启用 Elasticsearch 域名错误 CloudWatch 日志记录到日志 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ES.5 | Elasticsearch 域名应该启用审核日志 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| ES.6 | Elasticsearch 域应拥有至少三个数据节点 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ES.7 | Elasticsearch 域应配置至少三个专用主节点 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ES.8 | 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | 变更已触发 | |
| ES.9 | 应标记 Elasticsearch 域 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EventBridge.2 | EventBridge 应标记活动总线 | AWS 资源标签标准 | 低 | 变更已触发 | |
| EventBridge.3 | EventBridge 自定义事件总线应附加基于资源的策略 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| EventBridge.4 | EventBridge 全局端点应启用事件复制 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| FraudDetector1。 | 应标记 Amazon Fraud Detector 实体类型 | AWS 资源标签标准 | 低 | 变更已触发 | |
| FraudDetector.2 | 应标记 Amazon Fraud Detector 标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| FraudDetector.3 | 应标记 Amazon Fraud Detector 的结果 | AWS 资源标签标准 | 低 | 变更已触发 | |
| FraudDetector.4 | 应标记 Amazon Fraud Detector 变量 | AWS 资源标签标准 | 低 | 变更已触发 | |
| FSx1。 | FSx 对于 OpenZFS 文件系统,应配置为将标签复制到备份和卷 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
定期 |
| FSx.2 | FSx 对于 Lustre 文件系统,应配置为将标签复制到备份 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | 定期 | |
| Glue.1 | AWS Glue 应该给工作加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Glue.3 | AWS Glue 机器学习转换应在静态状态下进行加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| GlobalAccelerator1。 | 应标记 Global Accelerator 加速器 | AWS 资源标签标准 | 低 | 变更已触发 | |
| GuardDuty1。 | GuardDuty 应该启用 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
定期 |
| GuardDuty.2 | GuardDuty 应该给过滤器加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| GuardDuty.3 | GuardDuty IPSets 应该被标记 | AWS 资源标签标准 | 低 | 变更已触发 | |
| GuardDuty.4 | GuardDuty 应给探测器加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| GuardDuty.5 | GuardDuty 应启用 EKS 审核日志监控 | AWS 基础安全最佳实践 v1.0.0 | HIGH(高) | 定期 | |
| GuardDuty.6 | GuardDuty 应启用 Lambda 保护 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.7 | GuardDuty 应启用 EKS 运行时监控 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | 定期 | |
| GuardDuty.8 | GuardDuty EC2 应启用恶意软件防护 | AWS 基础安全最佳实践 v1.0.0 | HIGH(高) | 定期 | |
| GuardDuty.9 | GuardDuty 应启用 RDS 保护 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.10 | GuardDuty 应启用 S3 保护 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| IAM.1 | IAM policy 不应允许完全“*”管理权限 | CIS AWS 基金会基准 v1.2.0, AWS 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,CIS 基金会基准 v1.4.0 AWS Control Tower,NIST SP 800-53 修订版 5 AWS | HIGH(高) | |
变更已触发 |
| IAM.2 | IAM 用户不应附加 IAM policy | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、服务管理标准: AWS Control Tower,PCI DSS v3.2.1,NIST SP 800-53 修订版 5 | 低 | |
变更已触发 |
| IAM.3 | IAM 用户访问密钥应每 90 天或更短时间轮换一次 | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、NIS AWS T SP 800-53 修订版 5、PCI DSS v4.0.1、服务管理标准: AWS Control Tower | 中 | |
定期 |
| IAM.4 | 不应存在 IAM 根用户访问密钥 | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、服务管理标准:,PCI DSS v3.2.1,NIS AWS T SP 800-53 修订版 5 AWS Control Tower | 关键 | |
定期 |
| IAM.5 | 应为拥有控制台密码的所有 IAM 用户启用 MFA | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、NIS AWS T SP 800-53 修订版 5、PCI DSS v4.0.1、服务管理标准: AWS Control Tower | 中 | |
定期 |
| IAM.6 | 应该为根用户启用硬件 MFA | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS 基金会基准 v1.2.0、 AWS 基础安全最佳实践 v1.0.0、NIS AWS T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务管理标准: AWS Control Tower | 关键 | |
定期 |
| IAM.7 | IAM 用户的密码策略应具有可靠的配置 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
定期 |
| IAM.8 | 应移除未使用的 IAM 用户凭证 | CIS AWS Foundations Benchmark v1.2.0, AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
定期 |
| IAM.9 | 应为根用户启用 MFA | CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIS AWS T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 关键 | |
定期 |
| IAM.10 | IAM 用户的密码策略应具有可靠的配置 | PCI DSS v3.2.1,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.11 | 确保 IAM 密码策略要求包含至少一个大写字母 | CIS AWS 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.12 | 确保 IAM 密码策略要求包含至少一个小写字母 | CIS AWS 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.13 | 确保 IAM 密码策略要求包含至少一个符号 | CIS AWS 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.14 | 确保 IAM 密码策略要求包含至少一个数字 | CIS AWS 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.15 | 确保 IAM 密码策略要求最短密码长度不低于 14 | 独联体 AWS 基金会基准 v3.0.0、独联体 AWS 基金会基准 v1.4.0、独联体基金会基准 v1.2.0 AWS | 中 | |
定期 |
| IAM.16 | 确保 IAM 密码策略阻止重复使用密码 | 独联体 AWS 基金会基准 v3.0.0、独联体 AWS 基金会基准 v1.4.0、独联体基金会基准 v1.2.0、PCI AWS DSS v4.0.1 | 低 | |
定期 |
| IAM.17 | 确保 IAM 密码策略使密码在 90 天或更短时间内失效 | CIS AWS 基金会基准测试 v1.2.0,PCI DSS v4.0.1 | 低 | |
定期 |
| IAM.18 | 确保已创建支持角色来管理事件 支持 | 独联体 AWS 基金会基准 v3.0.0、独联体 AWS 基金会基准 v1.4.0、独联体基金会基准 v1.2.0、PCI AWS DSS v4.0.1 | 低 | |
定期 |
| IAM.19 | 应该为所有 IAM 用户启用 MFA | NIST SP 800-53 Rev. 5,PCI DSS v3.2.1,PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.21 | 您创建的 IAM 客户管理型策略不应允许对服务执行通配符操作 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| IAM.22 | 应移除在 45 天内未使用的 IAM 用户凭证 | 独联体 AWS 基金会基准 v3.0.0,独联体 AWS 基金会基准 v1.4.0 | 中 | |
定期 |
| IAM.23 | 应标记 IAM Access Analyzer 分析器 | AWS 资源标签标准 | 低 | 变更已触发 | |
| IAM.24 | 应标记 IAM 角色 | AWS 资源标签标准 | 低 | 变更已触发 | |
| IAM.25 | 应标记 IAM 用户 | AWS 资源标签标准 | 低 | 变更已触发 | |
| IAM.26 | 应移除 IAM 中管理的过期 SSL/TLS 证书 | 独联体 AWS 基金会基准测试 v3.0.0 | 中 | 定期 | |
| IAM.27 | IAM 身份不应附加 AWSCloudShellFullAccess 策略 | 独联体 AWS 基金会基准测试 v3.0.0 | 中 | 变更已触发 | |
| IAM.28 | 应启用 IAM Access Analyzer 外部访问分析器 | 独联体 AWS 基金会基准测试 v3.0.0 | HIGH(高) | 定期 | |
| Inspector.1 | 应启用 Amazon Inspector EC2 扫描 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.2 | 应启用 Amazon Inspector ECR 扫描 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.3 | 应启用 Amazon Inspector Lambda 代码扫描 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.4 | 应启用 Amazon Inspector Lambda 标准扫描 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| IoT.1 | AWS IoT Device Defender 应标记安全配置文件 | AWS 资源标签标准 | 低 | 变更已触发 | |
| IoT.2 | AWS IoT Core 应标记缓解措施 | AWS 资源标签标准 | 低 | 变更已触发 | |
| IoT.3 | AWS IoT Core 应给尺寸加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| IoT.4 | AWS IoT Core 应给授权者加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| IoT.5 | AWS IoT Core 应标记角色别名 | AWS 资源标签标准 | 低 | 变更已触发 | |
| IoT.6 | AWS IoT Core 策略应该被标记 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TEvents .1 | AWS IoT Events 应标记输入 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TEvents .2 | AWS IoT Events 应标记探测器型号 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TEvents .3 | AWS IoT Events 应标记警报型号 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.1 | AWS IoT SiteWise 应为资产模型加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.2 | AWS IoT SiteWise 仪表板应该被标记 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.3 | AWS IoT SiteWise 应该给网关加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.4 | AWS IoT SiteWise 应该给门户加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TSite Wise.5 | AWS IoT SiteWise 应该给项目加标签 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.1 | AWS 应标记 IoT TwinMaker 同步作业 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.2 | AWS 应标 TwinMaker 记 IoT 工作空间 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.3 | AWS 应标记物联网 TwinMaker 场景 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TTwin Maker.4 | AWS 应标记物联网 TwinMaker 实体 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TWireless .1 | AWS 应标记 IoT Wireless 组播组 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TWireless .2 | AWS 应标记 IoT Wireless 服务配置文件 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Io TWireless .3 | AWS 应标记 IoT Wireless FUOTA 任务 | AWS 资源标签标准 | 低 | 变更已触发 | |
| IVS.1 | 应标记 IVS 播放密钥对 | AWS 资源标签标准 | 低 | 变更已触发 | |
| IVS.2 | 应标记 IVS 录制配置 | AWS 资源标签标准 | 低 | 变更已触发 | |
| IVS.3 | 应标记 IVS 频道 | AWS 资源标签标准 | 低 | 变更已触发 | |
| 密钥空间。1 | 应标记 Amazon Keyspaces 密钥空间 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Kinesis.1 | Kinesis 直播应在静态状态下进行加密 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Kinesis.2 | 应标记 Kinesis 流 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Kinesis.3 | Kinesis 流应有足够的数据留存期 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| KMS.1 | IAM 客户管理型策略不应允许对所有 KMS 密钥执行解密操作 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| KMS.2 | IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| KMS.3 | AWS KMS keys 不应无意中删除 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 关键 | |
变更已触发 |
| KMS.4 | AWS KMS key 应该启用旋转 | CIS AWS 基金会基准 v3.0.0、CIS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIS AWS T SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、PCI DSS v4.0.1 | 中 | |
定期 |
| KMS.5 | KMS 密钥不应可公开访问 | AWS 基础安全最佳实践 v1.0.0 | 关键 | 变更已触发 | |
| Lambda.1 | Lambda 函数策略应禁止公共访问 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 关键 | |
变更已触发 |
| Lambda.2 | Lambda 函数应使用受支持的运行时系统 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| Lambda.3 | Lambda 函数应位于 VPC 中 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| Lambda.5 | VPC Lambda 函数应在多个可用区内运行 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Lambda.6 | 应标记 Lambda 函数 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Macie.1 | 应启用 Amazon Macie | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| Macie.2 | 应启用 Macie 敏感数据自动发现 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | 定期 | |
| MSK.1 | MSK 集群应在代理节点之间传输时进行加密 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| MSK.2 | MSK 集群应配置增强监控 | NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| MSK.3 | 应在传输过程中加密 MSK Connect 连接器 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| MQ.2 | ActiveMQ 代理应将审核日志流式传输到 CloudWatch | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| MQ.3 | Amazon MQ 代理应启用次要版本自动升级 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | 变更已触发 | |
| MQ.4 | 应标记 Amazon MQ 代理 | AWS 资源标签标准 | 低 | 变更已触发 | |
| MQ.5 | ActiveMQ 代理应使用主动/备用部署模式 | NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 低 | |
变更已触发 |
| MQ.6 | RabbitMQ 代理应该使用集群部署模式 | NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 低 | |
变更已触发 |
| Neptune.1 | 应对 Neptune 数据库集群进行静态加密 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| Neptune.2 | Neptune 数据库集群应将审核日志发布到日志 CloudWatch | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| Neptune.3 | Neptune 数据库集群快照不应公开 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 关键 | |
变更已触发 |
| Neptune.4 | Neptune 数据库集群应启用删除保护 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 低 | |
变更已触发 |
| Neptune.5 | Neptune 数据库集群应启用自动备份 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| Neptune.6 | 应对 Neptune 数据库集群快照进行静态加密 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| Neptune.7 | Neptune 数据库集群应启用 IAM 数据库身份验证 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| Neptune.8 | 应将 Neptune 数据库集群配置为将标签复制到快照 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 低 | |
变更已触发 |
| Neptune.9 | Neptune 数据库集群应部署在多个可用区中 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall1。 | Network Firewall 防火墙应跨多个可用区部署 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.2 | 应启用 Network Firewall 日志记录 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| NetworkFirewall.3 | Network Firewall 策略应至少关联一个规则组 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.4 | Network Firewall 策略的默认无状态操作应为丢弃或转发完整数据包 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.5 | Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.6 | 无状态网络防火墙规则组不应为空 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.7 | 应标记 Network Firewall 防火墙 | AWS 资源标签标准 | 低 | 变更已触发 | |
| NetworkFirewall.8 | 应标记 Network Firewall 防火墙策略 | AWS 资源标签标准 | 低 | 变更已触发 | |
| NetworkFirewall.9 | Network Firewall 防火墙应启用删除保护 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.1 | OpenSearch 域应启用静态加密 | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S AWS Control Tower P 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.2 | OpenSearch 域名不应可供公众访问 | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S AWS Control Tower P 800-53 Rev. 5 | 关键 | |
变更已触发 |
| Opensearch.3 | OpenSearch 域应加密节点之间发送的数据 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.4 | OpenSearch 应该启用记录到 CloudWatch 日志的域错误 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.5 | OpenSearch 域应启用审核日志 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| Opensearch.6 | OpenSearch 域应至少有三个数据节点 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Opensearch.7 | OpenSearch 域名应启用细粒度访问控制 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| Opensearch.8 | 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| Opensearch.9 | OpenSearch 域名应该被标记 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Opensearch.10 | OpenSearch 域名应安装最新的软件更新 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 低 | |
变更已触发 |
| Opensearch.11 | OpenSearch 域应至少有三个专用的主节点 | NIST SP 800-53 Rev. 5 | 低 | 定期 | |
| PCA.1 | AWS Private CA 应禁用根证书颁发机构 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
定期 |
| PCA.2 | AWS 应标记私有 CA 证书颁发机构 | AWS 资源标签标准 | 低 | 变更已触发 | |
| RDS.1 | RDS 快照应为私有快照 | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S AWS Control Tower P 800-53 Rev. 5 | 关键 | |
变更已触发 |
| RDS.2 | 根据 PubliclyAccessible 配置,RDS 数据库实例应禁止公共访问 | CIS AWS Foundations Benchmark v3.0.0, AWS 基础安全最佳实践 v1.0.0,服务管理标准:,NIST SP 800-53 Rev. 5,PCI DSS v3.2.1 AWS Control Tower,PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| RDS.3 | RDS 数据库实例应启用静态加密 | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、 AWS 基础安全最佳实践 v1.0.0、服务管理标准:,NIST SP 800-53 修订版 5 AWS Control Tower | 中 | |
变更已触发 |
| RDS.4 | RDS 集群快照和数据库快照应进行静态加密 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.5 | RDS 数据库实例应配置多个可用区 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.6 | 应为 RDS 数据库实例配置增强监控 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.7 | RDS 集群应启用删除保护 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.8 | RDS 数据库实例应启用删除保护 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.9 | RDS 数据库实例应将日志发布到 CloudWatch 日志 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| RDS.10 | 应为 RDS 实例配置 IAM 身份验证 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.11 | RDS 实例应启用自动备份 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.12 | 应为 RDS 集群配置 IAM 身份验证 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.13 | 应启用 RDS 自动次要版本升级 | CIS AWS Foundations Benchmark v3.0.0, AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
变更已触发 |
| RDS.14 | Amazon Aurora 集群应启用回溯功能 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.15 | 应为多个可用区配置 RDS 数据库集群 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.16 | 应将 RDS 数据库集群配置为将标签复制到快照 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.17 | 应将 RDS 数据库实例配置为将标签复制到快照 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.18 | RDS 实例应部署在 VPC 中 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| RDS.19 | 应为关键集群事件配置现有 RDS 事件通知订阅 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.20 | 应为关键数据库实例事件配置现有 RDS 事件通知订阅 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 低 | |
变更已触发 |
| RDS.21 | 应为关键数据库参数组事件配置 RDS 事件通知订阅 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 低 | |
变更已触发 |
| RDS.22 | 应为关键数据库安全组事件配置 RDS 事件通知订阅 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 低 | |
变更已触发 |
| RDS.23 | RDS 实例不应使用数据库引擎的默认端口 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| RDS.24 | RDS 数据库集群应使用自定义管理员用户名 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.25 | RDS 数据库实例应使用自定义管理员用户名 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| RDS.26 | RDS 数据库实例应受备份计划保护 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| RDS.27 | 应对 RDS 数据库集群进行静态加密 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| RDS.28 | 应标记 RDS 数据库集群 | AWS 资源标签标准 | 低 | 变更已触发 | |
| RDS.29 | 应标记 RDS 数据库集群快照 | AWS 资源标签标准 | 低 | 变更已触发 | |
| RDS.30 | 应标记 RDS 数据库实例 | AWS 资源标签标准 | 低 | 变更已触发 | |
| RDS.31 | 应标记 RDS 数据库安全组 | AWS 资源标签标准 | 低 | 变更已触发 | |
| RDS.32 | 应标记 RDS 数据库快照 | AWS 资源标签标准 | 低 | 变更已触发 | |
| RDS.33 | 应标记 RDS 数据库子网组 | AWS 资源标签标准 | 低 | 变更已触发 | |
| RDS.34 | Aurora MySQL 数据库集群应将审计日志发布到 CloudWatch 日志 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.35 | RDS 数据库集群应启用自动次要版本升级 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.36 | 适用于 PostgreSQL 的 RDS 数据库实例应将日志发布到日志 CloudWatch | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| RDS.37 | Aurora PostgreSQL 数据库集群应将日志发布到日志 CloudWatch | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| RDS.38 | 适用于 PostgreSQL 数据库实例的 RDS 在传输过程中应进行加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | 定期 | |
| RDS.39 | 适用于 MySQL 的 RDS 数据库实例应在传输过程中进行加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | 定期 | |
| Redshift.1 | Amazon Redshift 集群应禁止公共访问 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 关键 | |
变更已触发 |
| Redshift.2 | 与 Amazon Redshift 集群的连接应在传输过程中加密 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| Redshift.3 | Amazon Redshift 集群应启用自动快照 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.4 | Amazon Redshift 集群应启用审核日志记录 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| Redshift.6 | Amazon Redshift 应该启用自动升级到主要版本的功能 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.7 | Redshift 集群应使用增强型 VPC 路由 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.8 | Amazon Redshift 集群不应使用默认管理员用户名 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.9 | Redshift 集群不应使用默认数据库名称 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.10 | Redshift 集群应静态加密 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| Redshift.11 | 应标记 Redshift 集群 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Redshift.12 | 应标记 Redshift 事件通知订阅 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Redshift.13 | 应标记 Redshift 集群快照 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Redshift.14 | 应标记 Redshift 集群子网组 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Redshift.15 | Redshift 安全组应仅允许从受限来源到集群端口的入口流量 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Redshift.16 | Redshift 集群子网组应包含来自多个可用区的子网 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| Route53.1 | 应标记 Route53 运行状况检查 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Route53.2 | Route 53 公共托管区域应记录 DNS 查询 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| S3.1 | S3 通用存储桶应启用屏蔽公共访问权限设置 | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、 AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务管理标准: AWS Control Tower | 中 | 定期 | |
| S3.2 | S3 通用存储桶应阻止公共读取访问权限 | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S AWS Control Tower P 800-53 Rev. 5 | 关键 | 变更已触发且定期进行 | |
| S3.3 | S3 通用存储桶应阻止公共写入访问权限 | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S AWS Control Tower P 800-53 Rev. 5 | 关键 | 变更已触发且定期进行 | |
| S3.5 | S3 通用存储桶应需要请求才能使用 SSL | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、 AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务管理标准: AWS Control Tower | 中 | 变更已触发 | |
| S3.6 | S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | 变更已触发 | |
| S3.7 | S3 通用存储桶应使用跨区域复制 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.8 | S3 通用存储桶应屏蔽公共访问权限 | CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、 AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 修订版 5、PCI DSS v4.0.1、服务管理标准: AWS Control Tower | HIGH(高) | 变更已触发 | |
| S3.9 | S3 通用存储桶应启用服务器访问日志记录 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | 变更已触发 | |
| S3.10 | 启用版本控制的 S3 通用存储桶应具有生命周期配置 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| S3.11 | S3 存储桶应启用事件通知 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| S3.12 | ACLs 不应用于管理用户对 S3 通用存储桶的访问权限 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| S3.13 | S3 通用存储桶应具有生命周期配置 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.14 | S3 通用存储桶应启用版本控制 | NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.15 | S3 通用存储桶应启用对象锁定 | NIST SP 800-53 Rev. 5,PCI DSS v4.0.1 | 中 | 变更已触发 | |
| S3.17 | S3 通用存储桶应使用静态加密 AWS KMS keys | NIST SP 800-53 Rev. 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | 变更已触发 | |
| S3.19 | S3 接入点应启用屏蔽公共访问权限设置 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 关键 | 变更已触发 | |
| S3.20 | S3 通用存储桶应启用 MFA 删除功能 | 独联体 AWS 基金会基准 v3.0.0,独联体 AWS 基金会基准 v1.4.0,NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.22 | S3 通用存储桶应记录对象级写入事件 | CIS AWS 基金会基准测试 v3.0.0,PCI DSS v4.0.1 | 中 | 定期 | |
| S3.23 | S3 通用存储桶应记录对象级读取事件 | CIS AWS 基金会基准测试 v3.0.0,PCI DSS v4.0.1 | 中 | 定期 | |
| S3.24 | S3 多区域接入点应启用屏蔽公共访问权限设置 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| SageMaker1。 | Amazon SageMaker AI 笔记本实例不应直接访问互联网 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
定期 |
| SageMaker.2 | SageMaker 笔记本实例应在自定义 VPC 中启动 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| SageMaker.3 | 用户不应拥有 SageMaker 笔记本实例的 root 访问权限 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| SageMaker.4 | SageMaker 端点生产变体的初始实例数应大于 1 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| SageMaker.5 | SageMaker 模型应该屏蔽入站流量 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| SecretsManager1。 | Secrets Manager 密钥应启用自动轮换 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| SecretsManager.2 | 配置自动轮换的 Secrets Manager 密钥应成功轮换 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
变更已触发 |
| SecretsManager.3 | 移除未使用 Secrets Manager 密钥 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,服务管理标准: AWS Control Tower | 中 | |
定期 |
| SecretsManager.4 | Secrets Manager 密钥应在指定的天数内轮换 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 中 | |
定期 |
| SecretsManager.5 | 应标记 Secrets Manager 密钥 | AWS 资源标签标准 | 低 | 变更已触发 | |
| ServiceCatalog1。 | Service Catalog 产品组合只能在 AWS 组织内部共享 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | HIGH(高) | 定期 | |
| SES.1 | 应标记 SES 联系人名单 | AWS 资源标签标准 | 低 | 变更已触发 | |
| SES.2 | 应标记 SES 配置集 | AWS 资源标签标准 | 低 | 变更已触发 | |
| SNS.1 | SNS 主题应使用以下方法进行静态加密 AWS KMS | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| SNS.3 | 应标记 SNS 主题 | AWS 资源标签标准 | 低 | 变更已触发 | |
| SNS.4 | SNS 主题访问策略不应允许公共访问 | AWS 基础安全最佳实践 v1.0.0 | HIGH(高) | 变更已触发 | |
| SQS.1 | 应对 Amazon SQS 队列进行静态加密 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| SQS.2 | 应标记 SQS 队列 | AWS 资源标签标准 | 低 | 变更已触发 | |
| SSM.1 | EC2 实例应由以下人员管理 AWS Systems Manager | AWS 基础安全最佳实践 v1.0.0,服务管理标准:,PCI DSS v3.2.1,NIST S AWS Control Tower P 800-53 Rev. 5 | 中 | |
变更已触发 |
| SSM.2 | EC2 安装补丁后,由 Systems Manager 管理的实例的补丁合规性状态应为 “合规” | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | HIGH(高) | |
变更已触发 |
| SSM.3 | EC2 由 Systems Manager 管理的实例的关联合规性状态应为 “合规” | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v3.2.1,PCI DSS v4.0.1,服务管理标准: AWS Control Tower | 低 | |
变更已触发 |
| SSM.4 | SSM 文档不应公开 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 关键 | |
定期 |
| StepFunctions1。 | Step Functions 状态机应该开启日志功能 | AWS 基础安全最佳实践 v1.0.0,PCI DSS v4.0.1 | 中 | |
变更已触发 |
| StepFunctions.2 | 应标记 Step Functions 活动 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Transfer.1 | 应标记 Transfer Family 工作流程 | AWS 资源标签标准 | 低 | 变更已触发 | |
| Transfer.2 | Transfer Family 服务器不应使用 FTP 协议进行端点连接 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | 定期 | |
| WAF.1 | AWS 应启用 WAF 经典版全球 Web ACL 日志记录 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 修订版 5,PCI DSS v4.0.1 | 中 | |
定期 |
| WAF.2 | AWS WAF 经典区域规则应至少有一个条件 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.3 | AWS WAF 经典区域规则组应至少有一条规则 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.4 | AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.6 | AWS WAF 经典版全局规则应至少有一个条件 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.7 | AWS WAF 经典版全局规则组应至少有一条规则 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.8 | AWS WAF Classic 全球网站 ACLs 应至少有一个规则或规则组 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.10 | AWS WAF Web ACLs 应至少有一个规则或规则组 | AWS 基础安全最佳实践 v1.0.0,服务管理标准: AWS Control Tower,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WAF.11 | AWS 应启用 WAF 网络 ACL 日志记录 | NIST SP 800-53 Rev. 5,PCI DSS v4.0.1 | 低 | |
定期 |
| WAF.12 | AWS WAF 规则应启用 CloudWatch 指标 | AWS 基础安全最佳实践 v1.0.0,NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| WorkSpaces1。 | WorkSpaces 用户卷应在静态时加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| WorkSpaces.2 | WorkSpaces 根卷应在静态时加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 |
主题
