本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
獨聯體 AWS 基金會基準 v1.4 級 1 的運營最佳實踐
一致性套件提供一般用途的合規性架構,可讓您使用受管或自 AWS Config 訂規則和補救動作來建立安全性、作業或成本最佳化治理檢查。 AWS Config 一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。
以下提供網際網路安全中心 (CIS) Amazon Web Services 基金會第 1.4 級第 1 級與 AWS 受管 Config 規則/AWS Config 程序檢查之間的範例對應。每個 Config 規則都適用於特定 AWS 資源,並與一個或多個 CIS Amazon Web Services 基金會 v1.4 級 1 控制相關。CIS Amazon Web Services Foundation v1.4 第 1 級控制可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引,請參閱下方資料表。
如需程序檢查的詳細資訊,請參閱《程序檢查》。
| 控制 ID | 控制描述 | AWS Config 規則 | 指引 |
|---|---|---|---|
| 1.1 | 維護目前的聯絡人詳細資訊 | account-contact-details-configured (過程檢查) | 確保 AWS 帳戶的聯絡人電子郵件和電話號碼是最新的,並對應至組織中的多名人員。在控制台的「我的帳戶」區段中,確保在「聯絡人資訊」區段中指定了正確的資訊。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.2 | 確保已登記安全聯絡人資訊 | account-security-contact-configured (處理程序檢查) | 確保組織安全團隊的聯絡人電子郵件和電話號碼是最新的。在 AWS 管理主控台的 [我的帳戶] 區段中,確定 [安全性] 區段中已指定正確的資訊。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.4 | 確保不存在「根」使用者存取金鑰 | 透過檢查 root 使用者是否沒有附加到其 AWS 身分識別和存取管理 (IAM) 角色的存取權限,可以控制系統和資產的存取。請確保已刪除根存取金鑰。相反,創建和使用基於角色 AWS 帳戶 來幫助納入最少功能的原則。 | |
| 1.5 | 確保已為「根」使用者啟用 MFA | 確保針對根使用者啟用 MFA,以管理 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過針對 root 使用者要求 MFA,您可以減少遭到入侵 AWS 帳戶的事件。 | |
| 1.7 | 禁止在管理和日常任務中使用「根」使用者 | root-account-regular-use (處理程序檢查) | 確保避免在日常任務中使用根帳戶。在 IAM 中執行憑證報告,以檢查上次使用根使用者的時間。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.8 | 確保 IAM 密碼政策的長度至少在 14 個字元以上 | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全性最佳實務標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireLowercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireSymbols (AWS 基礎安全最佳做法值:true)、 RequireNumbers (AWS 基礎安全最佳做法值:true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值:14)、(基礎安全性最佳實務值:24) 和 PasswordReusePrevention MaxPasswordAge (AWS IAM 的最佳實務值:90)AWS 密碼策略。實際值應反映貴組織的政策。 | |
| 1.9 | 確保 IAM 密碼政策防止重複使用密碼 | 身分和憑證會依組織的 IAM 密碼政策核發、管理及驗證。它們符合或超過 NIST SP 800-63 和密碼強度 AWS 基礎安全性最佳實務標準所述的要求。此規則可讓您選擇性地設定 RequireUppercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireLowercaseCharacters (AWS 基礎安全最佳做法值:true)、 RequireSymbols (AWS 基礎安全最佳做法值:true)、 RequireNumbers (AWS 基礎安全最佳做法值:true)、 MinimumPasswordLength (AWS 基礎安全最佳實務值:14)、(基礎安全性最佳實務值:24) 和 PasswordReusePrevention MaxPasswordAge (AWS IAM 的最佳實務值:90)AWS 密碼策略。實際值應反映貴組織的政策。 | |
| 1.10 | 確保擁有主控台密碼的所有使用者皆已啟用多重要素驗證 (MFA) | 透過確保對具有主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者啟用 MFA,以管理 AWS 雲端中資源的存取。MFA 在登入憑證之外多加了一層保護。透過要求使用者使用 MFA,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| 1.11 | 不要在初次進行使用者設定時,為擁有主控台密碼的所有使用者設定存取金鑰 | Iam-用戶控制台和-(過程檢查)api-access-at-creation | 確保不要在初次進行使用者設定時,為擁有主控台密碼的所有使用者設定存取金鑰。對於具有主控台存取權限的所有使用者,請將使用者的「建立時間」與存取金鑰「建立」日期進行比較。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.12 | 確保停用 45 天 (含) 以上未使用的憑證 | AWS Identity and Access Management (IAM) 可以透過檢查指定時段未使用的 IAM 密碼和存取金鑰來協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則要求您將 maxCredentialUsage年齡值設定為 (CIS 標準值:45)。實際值應反映貴組織的政策。 | |
| 1.13 | 確保任何單一使用者只能使用一個作用中的存取金鑰 | iam-user-single-access-key (處理程序檢查) | 確保任何單一使用者只能使用一個作用中的存取金鑰。請針對所有使用者檢查 IAM 中每個使用者的「安全登入資料」索引標籤中是否只使用一個作用中金鑰。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.14 | 確保在每 90 天或更短的期限內輪換存取金鑰 | 透過確保按照組織政策的指定輪替 IAM 存取金鑰,以針對授權的裝置、使用者和程序稽核登入資料。定期變更存取金鑰是安全最佳實務。這可縮短存取金鑰的作用中時間,並在金鑰洩漏時降低業務影響。此規則需要存取金鑰輪換值 (Config 預設值:90)。實際值應反映貴組織的政策。 | |
| 1.15 | 確保使用者僅透過群組接收許可 | 此規則可確保 AWS Identity and Access Management (IAM) 政策僅附加至群組或角色,以控制對系統和資產的存取。在群組或角色層級指派權限,有助於降低某身分收到或保留過多權限的機會。 | |
| 1.15 | 確保使用者僅透過群組接收許可 | 確保 I AWS dentity and Access Management (IAM) 使用者、IAM 角色或 IAM 群組沒有內嵌政策來控制對系統和資產的存取。 AWS 建議使用受管理的政策,而非內嵌政策。受管政策允許執行重複使用、版本控制、復原及委派許可管理功能。 | |
| 1.15 | 確保使用者僅透過群組接收許可 | AWS Identity and Access Management (IAM) 可協助您限制存取權限和授權,方法是確保使用者至少是一個群組的成員。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| 1.16 | 確保並未連接允許完整 "*:*" 管理權限的 IAM 政策 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離的原則與存取權限和授權合併,限制政策不包含「效果」:「允許」與「動作」:「*」而非「資源」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| 1.17 | 透過 Support,確保已建立支 AWS 援角色來管理事件 | AWS Identity and Access Management (IAM) 可確保將 IAM 政策指派給適當的使用者、角色或群組,協助您管理存取許可和授權。限制這些政策也會整合最低權限和職責分離的原則。此規則需要您將政策紗線設定為 arn: aw:iam:: aw:aw: 政策/,以便使用 Support 進行事件管理。AWSSupportAccess AWS | |
| 1.19 | 請確保刪除儲存在 AWS IAM 中的所有過期 SSL/TLS 憑證 | iam-expired-certificates (處理程序檢查) | 請確保刪除儲存在 IAM 中的所有過期 SSL/TLS 憑證。從帶有已安裝 AWS CLI 的命令行中運行「AWS iam list-server-certificates」命令,並確定是否有任何過期的服務器證書。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.20 | 確保 AWS IAM 存取分析器已啟用 | iam-access-analyzer-enabled (處理程序檢查) | 確保已啟用 IAM Access Analyzer。在主控台的 IAM 區段中,選取「存取分析器」,並確定「狀態」設定為「作用中」。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 2.1.3 | 確保 S3 儲存貯體已啟用 MFA 刪除功能 | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。為 S3 儲存貯體新增多重要素驗證 (MFA) 刪除,需要額外的驗證因素才能變更儲存貯體的版本狀態或刪除物件版本。MFA 刪除可以在安全憑證遭到入侵或授予未經授權存取的情況下增加一層額外的安全性。 | |
| 2.1.5 | 確保 S3 儲存貯體設定為「封鎖公開存取 (儲存貯體設定)」 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則可讓您選擇性地設定 ignorePublicAcls (組 Config 預設值:True)、 blockPublicPolicy (組 Config 預設值:True)、 blockPublicAcls (組 Config 預設值:True) 和 restrictPublicBuckets 參數 (組 Config 預設值:True)。實際值應反映貴組織的政策。 | |
| 2.1.5 | 確保 S3 儲存貯體設定為「封鎖公開存取 (儲存貯體設定)」 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| 2.2.1 | 確保已啟用 EBS 磁碟區加密 | 由於可能存在敏感資料,因此為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | |
| 2.2.1 | 確保已啟用 EBS 磁碟區加密 | 為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 2.3.1 | 確保已啟用 RDS 執行個體的加密 | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 2.3.1 | 確保已啟用 RDS 執行個體的加密 | 為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 3.1 | 確保 CloudTrail 在所有區域都啟用 | AWS CloudTrail 記錄 AWS 管理主控台動作和 API 呼叫。您可以識別呼叫的使用者和帳戶 AWS、進行呼叫的來源 IP 位址,以及呼叫發生的時間。 CloudTrail 如果啟用多重 _ AWS 區域,則會將日誌檔案從所有區域傳遞至您的 S3 儲存貯體。此外,當 AWS 啟動新區域時, CloudTrail 將在新區域中建立相同的軌跡。而您會收到包含新區域 API 活動的日誌檔,卻無需採取任何動作。 | |
| 3.3 | 確保用於存放 CloudTrail 日誌的 S3 儲存貯體無法公開存取 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| 3.3 | 確保用於存放 CloudTrail 日誌的 S3 儲存貯體無法公開存取 | 只允許授權的使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| 3.3 | 確保用於存放 CloudTrail 日誌的 S3 儲存貯體無法公開存取 | 透過確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體無法公開存取,以管理 AWS 雲端中資源的存取。此規則可透過防止儲存貯體層級的公開存取,避免未經授權的遠端使用者存取敏感資料。 | |
| 3.4 | 確保跟 CloudTrail 踪與 CloudWatch日誌集成 | 使用 Amazon CloudWatch 集中收集和管理日誌事件活動。包含 AWS CloudTrail 資料可提供您的 AWS 帳戶. | |
| 3.6 | 確保 S3 儲存貯體上已啟用 CloudTrail S3 儲存貯體存取日誌 | Amazon Simple Storage Service (Amazon S3) 伺服器存取日誌記錄提供了可監控網路是否存在潛在網路安全事件的方法。透過擷取發出至 Amazon S3 儲存貯體的請求詳細記錄以監控事件。每個存取日誌記錄都會提供有關單一存取請求的詳細資訊。詳細資訊包括請求者、儲存貯體名稱、請求時間、請求動作、回應狀態,以及相關的錯誤代碼。 | |
| 4.1 | 確保未經授權的 API 呼叫中存在日誌指標篩選條件和警示 | alarm-unauthorized-api-calls (處理程序檢查) | 確保未經授權的 API 呼叫中存在日誌指標篩選條件和警示。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.2 | 確保不使用 MFA 的管理主控台登入存在日誌指標篩選條件和警示 | 報警-sign-in-without-mfa (過程檢查) | 確定不使用多重要素驗證 (MFA) 的 AWS 管理主控台登入存在日誌指標篩選條件和警示。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.3 | 確保「根」帳戶的使用存在日誌指標篩選條件和警示 | alarm-root-account-use (處理程序檢查) | 確保根帳戶的使用存在日誌指標篩選條件和警示。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.4 | 確保 IAM 政策變更存在日誌指標篩選條件和警示 | alarm-iam-policy-change (處理程序檢查) | 確保 IAM 政策變更存在日誌指標篩選條件和警示。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.5 | 確保存在 CloudTrail配置更改的日誌指標過濾器和警報 | alarm-cloudtrail-config-change (處理程序檢查) | 確保存有日誌指標過濾器和 AWS CloudTrail 配置更改的警報。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.8 | 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示 | 警報 -3-bucket-policy-change (程序檢查) | 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.12 | 確保網路閘道變更存在日誌指標篩選條件和警示 | 報警-vpc-network-gateway-change (過程檢查) | 確保網路閘道變更存在日誌指標篩選條件和警示。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.13 | 確保路由表變更存在日誌指標篩選條件和警示 | 報警-vpc-route-table-change (過程檢查) | 確保路由表變更存在日誌指標篩選條件和警示。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.14 | 確保 VPC 變更存在日誌指標篩選條件和警示 | alarm-vpc-change (處理程序檢查) | 確保 Amazon 虛擬私有雲端 (VPC) 變更存在日誌指標篩選條件和警示。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.15 | 確保 AWS Organizations變更存在日誌指標篩選條件和警示 | alarm-organizations-change (處理程序檢查) | 確保 AWS Organizations 變更存在日誌指標篩選條件和警示。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 5.1 | 確保沒有網路 ACL 允許從 0.0.0.0/0 傳入至遠端伺服器管理連接埠的流量 | 確保沒有任何網路 ACL 允許公用流量輸入至遠端伺服器管理連接埠。在主控台的 VPC 區段中,確定具有來源為「0.0.0.0/0」的網路 ACL,並具備允許的連接埠或連接埠範圍,包括遠端伺服器管理連接埠。如需此控制之稽核的進一步詳細資訊,請參閱《CIS Amazon Web Services Foundations 基準版本 1.4.0》文件,網址為 https://www.cisecurity.org/benchmark/amazon_web_services/ | |
| 5.2 | 確保沒有安全群組允許流量從 0.0.0.0/0 輸入至遠端伺服器管理連接埠 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可針對資源的輸入和輸出網路流量提供狀態篩選,協助管理網路存取。 AWS 不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量,有助於限制遠端存取。 | |
| 5.2 | 確保沒有安全群組允許流量從 0.0.0.0/0 輸入至遠端伺服器管理連接埠 | 透過確保 Amazon 彈性運算 AWS 雲端 (Amazon EC2) 安全群組上的通用連接埠受到限制,以管理雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。此規則允許您選擇性地設定 blockedPort1 - blockedPort5 參數 (CIS 標準值:3389)。實際值應反映貴組織的政策。 |
範本
該模板可用於 GitHub:CIS AWS 基準基準 v1.4 級 1 的運營最佳實踐
