View a markdown version of this page

Security Hub CSPM 控制項的變更日誌 - AWSSecurity Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Hub CSPM 控制項的變更日誌

下列變更日誌會追蹤現有 AWSSecurity Hub CSPM 控制項的重大變更,這可能會導致控制項的整體狀態及其調查結果的合規狀態發生變更。如需 Security Hub CSPM 如何評估控制狀態的資訊,請參閱 評估合規狀態和控制狀態。變更在此日誌中的項目後可能需要幾天的時間,才能影響所有可用的AWS 區域控制項。

此日誌會追蹤自 2023 年 4 月以來發生的變更。選擇控制項來檢閱它的其他詳細資訊。標題變更會在控制項的詳細說明中記下 90 天。

變更日期 控制項 ID 和標題 變更描述
2026 年 6 月 29 日 【EFS.6】 EFS 掛載目標不應與在啟動時指派公有 IP 地址的子網路相關聯

Security Hub CSPM 已將此控制項新增至下列適用標準:NIST SP 800-53 修訂版 5 標準NIST SP 800-171 修訂版 2 標準,以及 PCI DSS 4.0.1 版標準。在 2026 年 7 月 30 日,此控制項將從AWS基礎安全最佳實務 (FSBP) 標準中移除。

2026 年 6 月 5 日 【EKS.3】 EKS 叢集應使用加密的 Kubernetes 秘密

Security Hub CSPM 已通知 2026 年 8 月 10 日之後,此控制項將淘汰並從所有適用的 Security Hub CSPM 標準中移除。從 Kubernetes 1.28 版開始,Amazon EKS 叢集預設使用信封加密保護 Kubernetes 秘密。

2026 年 6 月 5 日 【IoTEvents.1]AWSIoT Events 輸入應加上標籤

Security Hub CSPM 已通知 將在 2026 年 7 月 7 日之後淘汰此控制項,並從所有適用的 Security Hub CSPM 標準中移除。AWS宣布終止支援 AWSIoT Events 服務,自 2026 年 5 月 20 日起生效。

2026 年 6 月 5 日 【IoTEvents.2]AWSIoT Events 偵測器模型應加上標籤

Security Hub CSPM 已通知 將在 2026 年 7 月 7 日之後淘汰此控制項,並從所有適用的 Security Hub CSPM 標準中移除。AWS宣布終止支援 AWSIoT Events 服務,自 2026 年 5 月 20 日起生效。

2026 年 6 月 5 日 【IoTEvents.3]AWSIoT Events 警示模型應加上標籤

Security Hub CSPM 已通知 將在 2026 年 7 月 7 日之後淘汰此控制項,並從所有適用的 Security Hub CSPM 標準中移除。AWS宣布終止支援 AWSIoT Events 服務,自 2026 年 5 月 20 日起生效。

2026 年 6 月 5 日

【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義

Security Hub CSPM 已淘汰此控制項,並將其從所有適用標準中移除。先前,控制項會檢查使用主機聯網模式的作用中 Amazon ECS 任務定義是否也有 privilegeduser容器定義。

2026 年 6 月 5 日

【RDS.18】 RDS 執行個體應部署在 VPC 中

Security Hub CSPM 已淘汰此控制項,並將其從所有適用標準中移除。由於 Amazon EC2-Classic 網路已淘汰,因此 Amazon Relational Database Service (Amazon RDS) 執行個體無法再部署在 VPC 外部。先前,控制項會檢查 Amazon RDS 執行個體是否已部署在 EC2-VPC 上。

2026 年 5 月 4 日 【Lambda.2】 Lambda 函數應使用支援的執行時間

Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 ruby4.0 做為參數,不再包含 nodejs20.x,因為 AWS Lambda已取代此執行時間。

2026 年 4 月 27 日 【EC2.4】 應在指定的期間之後移除已停止的 EC2 執行個體

Security Hub CSPM 將此控制項的備份規則從 ec2-stopped-instance 變更為自訂 Security Hub CSPM 規則,ec2-stopped-instance-days-check,以簡化評估邏輯。

2026 年 4 月 7 日 【EC2.1】 Amazon EBS 快照不應設定為可公開還原

Security Hub CSPM 變更了此控制項的標題和描述。新的標題和描述會更準確地反映控制項會檢查 Amazon EBS 快照是否設定為可公開還原。先前,此控制項的標題為:Amazon EBS 快照不應可公開還原

2026 年 4 月 7 日 【EC2.182】 應為 Amazon EBS 快照啟用封鎖公開存取設定

Security Hub CSPM 變更了此控制項的標題和描述。新的標題和描述會更準確地反映控制項會檢查是否已為 Amazon EBS 快照啟用帳戶層級封鎖公開存取。先前,此控制項的標題為:不應公開存取 Amazon EBS 快照

2026 年 4 月 6 日 【ELB.17】 具有接聽程式的應用程式和 Network Load Balancer 應使用建議的安全政策

Security Hub CSPM 已更新此控制項的參數值,以反映建議的安全性政策。

2026 年 4 月 3 日 【Cognito.3】 Cognito 使用者集區的密碼政策應具有強大的組態

Security Hub CSPM 擴展了此控制項之 temporaryPasswordValidity 參數的支援值範圍。您現在可以指定介於 1-365 天之間的值。先前,範圍為 7-365 天。

2026 年 4 月 3 日 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行

此控制項會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。Security Hub CSPM 將此控制項的參數值從 變更為 1.32 1.33。Amazon EKS 中 Kubernetes 1.32 版的標準支援已於 2026 年 3 月 23 日結束。

2026 年 4 月 3 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 支援執行時間的 Lambda.2 參數不再包含,ruby3.2因為 Lambda 已取代此執行時間。
2026 年 3 月 24 日 【RDS.50】 RDS 資料庫叢集應設定足夠的備份保留期間

Security Hub CSPM 已更新控制項標題,以反映控制項會檢查所有 RDS 資料庫叢集。

2026 年 3 月 24 日 【ECS.5】 ECS 任務定義應將容器設定為僅限對根檔案系統的唯讀存取

Security Hub CSPM 已更新控制項標題和描述,以反映控制項檢查 ECS 任務定義。Security Hub CSPM 也更新了控制項,不為runtimePlatform設定為指定WINDOWS_SERVER作業系統系列的任務定義產生調查結果。

2026 年 3 月 9 日

【AppSync.1]AWS AppSyncAPI 快取應靜態加密

Security Hub CSPM 已淘汰此控制項,並將其從AWS基礎安全最佳實務 (FSBP) 標準中移除。 AWS AppSync現在為所有目前和未來的 API 快取提供預設加密。

2026 年 3 月 9 日

【AppSync.6]AWS AppSyncAPI 快取應在傳輸中加密

Security Hub CSPM 已淘汰此控制項,並將其從AWS基礎安全最佳實務 (FSBP) 標準中移除。 AWS AppSync現在為所有目前和未來的 API 快取提供預設加密。

2026 年 3 月 4 日

【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義

Security Hub CSPM 已淘汰此控制項,並將其從AWS基礎安全最佳實務 (FSBP) 標準NIST SP 800-53 修訂版 5 標準中移除。

2026 年 2 月 5 日 【AppSync.1]AWS AppSyncAPI 快取應靜態加密

Security Hub CSPM 將於 2026 年 3 月 9 日淘汰此控制項,並從所有適用的 Security Hub CSPM 標準中移除。 AWS AppSync正在為所有目前和未來的 API 快取提供預設加密。

2026 年 2 月 5 日 【AppSync.6]AWS AppSyncAPI 快取應在傳輸中加密

Security Hub CSPM 將於 2026 年 3 月 9 日淘汰此控制項,並從所有適用的 Security Hub CSPM 標準中移除。 AWS AppSync正在為所有目前和未來的 API 快取提供預設加密。

2026 年 1 月 16 日

【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義

Security Hub CSPM 已通知 2026 年 2 月 16 日之後,將會淘汰此控制項,並從所有適用的 Security Hub CSPM 標準中移除。

2026 年 1 月 12 日 【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄

Security Hub CSPM 已更新此控制項以移除 loggingEnabled 參數。

2026 年 1 月 12 日

【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級

Security Hub CSPM 已淘汰控制項,並從所有適用標準中移除控制項。Security Hub CSPM 已因 Amazon MQ 要求自動次要版本升級而淘汰控制項。

先前,控制項適用於AWS基礎安全最佳實務 (FSBP) 標準NIST SP 800-53 修訂版 5 標準PCI DSS 4.0.1 版標準。

2026 年 1 月 12 日 【Lambda.2】 Lambda 函數應使用支援的執行時間

此控制項會檢查 AWS Lambda函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 dotnet10做為此控制項的參數值。AWS Lambda已新增此執行時間的支援。

2025 年 12 月 15 日 【Lambda.2】 Lambda 函數應使用支援的執行時間

此控制項會檢查 AWS Lambda函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 不再支援 python3.9 做為此 control 的參數值。 AWS Lambda不再支援此執行時間。

2025 年 12 月 12 日 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行

此控制項會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。Security Hub CSPM 將此控制項的參數值從 變更為 1.31 1.32。Amazon EKS 中 Kubernetes 1.31 版的標準支援已於 2025 年 11 月 26 日結束。

2025 年 11 月 21 日 【Lambda.2】 Lambda 函數應使用支援的執行時間

此控制項會檢查 AWS Lambda函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 nodejs24.xpython3.14做為此控制項的參數值。AWS Lambda已新增這些執行時間的支援。

2025 年 11 月 14 日 【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址

Security Hub CSPM 已更新此控制項的描述和原理。先前,控制項只會使用 MapPublicIpOnLaunch旗標在 Amazon VPC 子網路中檢查 IPv4 公有 IP 自動指派。此控制項現在會檢查 IPv4 和 IPv6 公有 IP 自動指派。已更新控制項的描述和原理,以反映這些變更。

2025 年 11 月 14 日 【Lambda.2】 Lambda 函數應使用支援的執行時間

此控制項會檢查 AWS Lambda函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 java25做為此控制項的參數值。AWS Lambda 新增了對此執行時間的支援。

2025 年 11 月 13 日 【SNS.4】 SNS 主題存取政策不應允許公開存取

Security Hub CSPM 將此控制項的嚴重性從 變更為 HIGH CRITICAL。允許公開存取 Amazon SNS 主題會造成重大的安全風險。

2025 年 11 月 13 日 【SQS.3】 SQS 佇列存取政策不應允許公開存取

Security Hub CSPM 將此控制項的嚴重性從 變更為 HIGH CRITICAL。允許公開存取 Amazon SQS 佇列會造成重大的安全風險。

2025 年 11 月 13 日 【GuardDuty.7] 應啟用 GuardDuty EKS 執行期監控

Security Hub CSPM 將此控制項的嚴重性從 變更為 MEDIUM HIGH。這種類型的執行期監控可為 Amazon EKS 資源提供增強型威脅偵測。

2025 年 11 月 13 日

【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級

Security Hub CSPM 將此控制項的嚴重性從 變更為 LOW MEDIUM。次要版本升級包括維護 Amazon MQ 代理程式安全性所需的安全修補程式。

2025 年 11 月 13 日 【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新

Security Hub CSPM 將此控制項的嚴重性從 變更為 LOW MEDIUM。軟體更新包括維護 OpenSearch 網域安全所需的安全修補程式。

2025 年 11 月 13 日 【RDS.7】 RDS 叢集應該啟用刪除保護

Security Hub CSPM 將此控制項的嚴重性從 變更為 LOW MEDIUM。刪除保護有助於防止意外刪除 Amazon RDS 資料庫,以及未經授權的實體刪除 RDS 資料庫。

2025 年 11 月 13 日 【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合

Security Hub CSPM 將此控制項的嚴重性從 變更為 LOW MEDIUM。Amazon CloudWatch Logs 中的AWS CloudTrail記錄資料可用於稽核活動、警示和其他重要的安全操作。

2025 年 11 月 13 日 【ServiceCatalog.1] Service Catalog 產品組合只能在AWS組織內共用

Security Hub CSPM 將此控制項的嚴重性從 變更為 HIGH MEDIUM。與特定帳戶共用AWS Service Catalog產品組合可能是有意的,不一定表示產品組合可公開存取。

2025 年 11 月 13 日 【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證

Security Hub CSPM 將此控制項的嚴重性從 變更為 MEDIUM LOW。Amazon CloudFront 分佈的預設cloudfront.net網域名稱是隨機產生的,可降低安全風險。

2025 年 11 月 13 日 【ELB.7】 Classic Load Balancer 應啟用連線耗盡

Security Hub CSPM 將此控制項的嚴重性從 變更為 MEDIUM LOW。在多執行個體部署中,其他運作狀態良好的執行個體可以在執行個體終止時處理使用者工作階段,而不會耗盡連線,進而降低營運影響和可用性風險。

2025 年 11 月 13 日 【RedshiftServerless.5] Redshift Serverless 命名空間不應使用預設的管理員使用者名稱

Security Hub CSPM 已更新此控制項,以移除選用validAdminUserNames參數。

2025 年 10 月 23 日 【ElastiCache.1] ElastiCache (Redis OSS) 叢集應啟用自動備份

Security Hub CSPM 已還原 2025 年 10 月 14 日對此控制項的標題、描述和規則所做的變更。

2025 年 10 月 22 日 【CloudFront.1] CloudFront 分佈應設定預設根物件

Security Hub CSPM 已更新此控制項,不會為使用自訂原始伺服器的 Amazon CloudFront 分佈產生問題清單。

2025 年 10 月 16 日 【CloudFront.15] CloudFront 分佈應使用建議的 TLS 安全政策

此控制項會檢查 Amazon CloudFront 分佈是否設定為使用建議的 TLS 安全政策。Security Hub CSPM 現在支援 TLSv1.2_2025TLSv1.3_2025做為此控制項的參數值。

2025 年 10 月 14 日 【ElastiCache.1] ElastiCache (Redis OSS) 叢集應啟用自動備份

Security Hub CSPM 已變更此控制項的標題、描述和規則。先前,控制項會使用 elasticache-redis-cluster-automatic-backup-check 規則檢查 Redis OSS 叢集和所有複寫群組。控制項的標題為:ElastiCache (Redis OSS) 叢集應該啟用自動備份

除了 Redis OSS 叢集和所有複寫群組之外,此控制項現在會使用已啟用 elasticache-automatic-backup-check-enabled 規則來檢查 Valkey 叢集。新的標題和描述反映控制項會檢查這兩種類型的叢集。

2025 年 10 月 5 日 【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新

如果 Amazon OpenSearch Service 網域沒有可用的軟體更新,且更新狀態不符合資格,則此控制項的規則已更新,也會產生PASSED問題清單。先前,只有在 OpenSearch 網域沒有可用的軟體更新且更新狀態完成時,此控制項才會產生PASSED調查結果。

2025 年 9 月 24 日

【Redshift.9】 Redshift 叢集不應使用預設資料庫名稱

【RedshiftServerless.7] Redshift Serverless 命名空間不應使用預設資料庫名稱

Security Hub CSPM 已淘汰這些控制項,並將其從所有適用標準中移除。Security Hub CSPM 已淘汰這些控制項,因為固有的 Amazon Redshift 限制導致無法有效修復控制項的問題FAILED清單。

先前,適用於AWS基礎安全最佳實務 (FSBP) 標準NIST SP 800-53 修訂版 5 標準的控制項。Redshift.9 控制項也套用至AWS Control Tower服務受管標準

2025 年 9 月 9 日 【Lambda.2】 Lambda 函數應使用支援的執行時間

此控制項會檢查 AWS Lambda函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 不再支援 nodejs18.x 做為此控制項的參數值。 AWS Lambda不再支援 Node.js 18 執行時間。

2025 年 8 月 13 日 【SageMaker.5] SageMaker 模型應該啟用網路隔離

Security Hub CSPM 變更了此控制項的標題和描述。新的標題和描述更準確地反映控制項會檢查 Amazon SageMaker AI 託管模型EnableNetworkIsolation參數的設定。先前,此控制項的標題為:SageMaker models should block inbound traffic

2025 年 8 月 13 日 【EFS.6】 EFS 掛載目標不應與在啟動時指派公有 IP 地址的子網路相關聯

Security Hub CSPM 變更了此控制項的標題和描述。新的標題和描述更精確地反映控制項執行之檢查的範圍和性質。先前,此控制項的標題為:EFS mount targets should not be associated with a public subnet

2025 年 7 月 24 日 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行

此控制項會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。Security Hub CSPM 將此控制項的參數值從 變更為 1.30 1.31。Amazon EKS 中 Kubernetes 1.30 版的標準支援已於 2025 年 7 月 23 日結束。

2025 年 7 月 23 日 【EC2.173】 具有啟動參數的 EC2 Spot 機群請求應啟用已連接 EBS 磁碟區的加密

Security Hub CSPM 已變更此控制項的標題。新標題更準確地反映控制項只會檢查指定啟動參數的 Amazon EC2 Spot Fleet 請求。先前,此控制項的標題為:EC2 Spot Fleet requests should enable encryption for attached EBS volumes

2025 年 6 月 30 日 【IAM.13】 確保 IAM 密碼政策至少需要一個符號

Security Hub CSPM 已從 PCI DSS v4.0.1 標準中移除此控制項。PCI DSS v4.0.1 不明確要求在密碼中使用符號。

2025 年 6 月 30 日 【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼

Security Hub CSPM 已從 NIST SP 800-171 修訂版 2 標準中移除此控制項。NIST SP 800-171 修訂版 2 未明確要求密碼過期期間為 90 天或更少。

2025 年 6 月 30 日 【RDS.16】 Aurora 資料庫叢集應設定為將標籤複製到資料庫快照

Security Hub CSPM 已變更此控制項的標題。新標題更準確地反映控制項只會檢查 Amazon Aurora 資料庫叢集。先前,此控制項的標題為:RDS DB clusters should be configured to copy tags to snapshots

2025 年 6 月 30 日 【SageMaker.8] SageMaker 筆記本執行個體應在支援的平台上執行

此控制項會根據筆記本執行個體指定的平台識別符,檢查 Amazon SageMaker AI 筆記本執行個體是否設定為在支援的平台上執行。Security Hub CSPM 不再支援 notebook-al2-v1notebook-al2-v2做為此控制項的參數值。在這些平台上執行的筆記本執行個體已於 2025 年 6 月 30 日終止支援。

2025 年 5 月 30 日 【IAM.10】 IAM 使用者的密碼政策應具有強大的組態

Security Hub CSPM 已從 PCI DSS v4.0.1 標準中移除此控制項。此控制項會檢查 IAM 使用者的帳戶密碼政策是否符合最低需求,包括至少 7 個字元的密碼長度。PCI DSS v4.0.1 現在需要密碼至少 8 個字元。控制項會繼續套用至具有不同密碼要求的 PCI DSS v3.2.1 標準。

若要根據 PCI DSS v4.0.1 要求評估帳戶密碼政策,您可以使用 IAM.7 控制項。此控制項需要密碼至少 8 個字元。它也支援密碼長度和其他參數的自訂值。IAM.7 控制項是 Security Hub CSPM 中 PCI DSS v4.0.1 標準的一部分。

2025 年 5 月 8 日 【RDS.46】 RDS 資料庫執行個體不應部署在具有網際網路閘道路由的公有子網路中 Security Hub CSPM 完全復原了 RDS.46 控制項的版本。AWS 區域先前,此控制項支援 AWS基礎安全最佳實務 (FSBP) 標準。
2025 年 4 月 7 日 【ELB.17】 具有接聽程式的應用程式和 Network Load Balancer 應使用建議的安全政策

此控制項會檢查 Application Load Balancer 的 HTTPS 接聽程式或 Network Load Balancer 的 TLS 接聽程式是否設定為使用建議的安全政策來加密傳輸中的資料。Security Hub CSPM 現在支援此控制項的兩個額外參數值: ELBSecurityPolicy-TLS13-1-2-Res-2021-06ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04

2025 年 3 月 27 日 【Lambda.2】 Lambda 函數應使用支援的執行時間

此控制項會檢查 AWS Lambda函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 ruby3.4做為此控制項的參數值。AWS Lambda新增對此執行時間的支援。

2025 年 3 月 26 日 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行

此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。針對 oldestVersionSupported 參數,Security Hub CSPM 會將值從 變更為 1.29 1.30。最舊支援的 Kubernetes 版本現在為 1.30

2025 年 3 月 10 日 【Lambda.2】 Lambda 函數應使用支援的執行時間

此控制項會檢查 AWS Lambda函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 不再支援 dotnet6python3.8作為此 control 的參數值。 AWS Lambda不再支援這些執行時間。

2025 年 3 月 7 日

【RDS.18】 RDS 執行個體應部署在 VPC 中

Security Hub CSPM 已從AWS基礎安全最佳實務標準移除此控制項,並自動檢查 NIST SP 800-53 修訂版 5 要求。由於 Amazon EC2-Classic 網路已淘汰,因此 Amazon Relational Database Service (Amazon RDS) 執行個體無法再部署在 VPC 外部。
2025 年 1 月 10 日 【Glue.2】AWSGlue 任務應該已啟用記錄 Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。
2024 年 12 月 20 日 EC2.61 到 EC2.169 Security Hub CSPM 透過 EC2.169 控制項復原 EC2.61 的版本。
2024 年 12 月 12 日 【RDS.23】 RDS 執行個體不應使用資料庫引擎預設連接埠 RDS.23 會檢查 Amazon Relational Database Service (Amazon RDS) 叢集或執行個體是否使用資料庫引擎預設連接埠以外的連接埠。我們更新控制項,讓基礎AWS Config規則NOT_APPLICABLE針對屬於叢集的 RDS 執行個體傳回 的結果。
2024 年 12 月 2 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 nodejs22.x做為參數。
2024 年 11 月 26 日 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本現在是 1.29
2024 年 11 月 20 日 【Config.1】 AWS Config應啟用並使用服務連結角色進行資源記錄

Config.1 會檢查AWS Config是否已啟用、 是否使用服務連結角色,並記錄已啟用控制項的資源。Security Hub CSPM 將此控制項的嚴重性從 提升MEDIUMCRITICAL。Security Hub CSPM 也為失敗的 Config.1 問題清單新增了新的狀態碼和狀態原因。這些變更反映 Config.1 對 Security Hub CSPM 控制項操作的重要性。如果您已停用 AWS Config或 資源錄製,則可能會收到不正確的控制問題清單。

若要接收 Config.1 PASSED的問題清單,請開啟對應至已啟用 Security Hub CSPM 控制項之資源的資源記錄,並停用組織中不需要的控制項。如需AWS Config設定 Security Hub CSPM 的說明,請參閱 啟用和設定 AWS ConfigSecurity Hub CSPM。如需 Security Hub CSPM 控制項及其對應資源的清單,請參閱 控制問題清單所需的AWS Config資源

2024 年 11 月 12 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 python3.13做為參數。
2024 年 10 月 11 日 ElastiCache 控制項 已變更 ElastiCache.3,ElastiCache.4,ElastiCache.5, 和 ElastiCache.7. 標題不再提及 Redis OSS,因為控制項也適用於 ElastiCache for Valkey。
2024 年 9 月 27 日 【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭 Application Load Balancer 變更的控制標題應設定為捨棄 http 標頭Application Load Balancer 應設定為捨棄無效的 http 標頭
2024 年 8 月 19 日 DMS.12 和 ElastiCache 控制項的標題變更 透過 ElastiCache.7 變更 DMS.12 和 ElastiCache.1 ElastiCache.7. 我們變更了這些標題,以反映 Amazon ElastiCache (Redis OSS) 服務中的名稱變更。
2024 年 8 月 15 日 【Config.1】 AWS Config應啟用並使用服務連結角色進行資源記錄 Config.1 會檢查AWS Config是否已啟用、 是否使用服務連結角色,並記錄已啟用控制項的資源。Security Hub CSPM 新增了名為 的自訂控制參數includeConfigServiceLinkedRoleCheck。透過將此參數設定為 false,您可以選擇不檢查 是否AWS Config使用服務連結角色。
2024 年 7 月 31 日 【IoT.1]AWS IoT Device Defender 應標記安全性設定檔 AWS IoT Core安全性描述檔變更的控制標題應標記為AWS IoT Device Defender安全性描述檔應加上標籤
2024 年 7 月 29 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 nodejs16.x 做為參數。
2024 年 7 月 29 日 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本是 1.28
2024 年 6 月 25 日 【Config.1】 AWS Config應啟用並使用服務連結角色進行資源記錄 此控制項會檢查 AWS Config是否已啟用、 是否使用服務連結角色,並記錄已啟用控制項的資源。Security Hub CSPM 已更新控制項標題,以反映控制項評估的內容。
2024 年 6 月 14 日 【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs 此控制項會檢查 Amazon Aurora MySQL 資料庫叢集是否已設定為將稽核日誌發佈至 Amazon CloudWatch Logs。Security Hub CSPM 已更新控制項,因此不會產生 Aurora Serverless v1 資料庫叢集的問題清單。
2024 年 6 月 11 日 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本是 1.27
2024 年 6 月 10 日 【Config.1】 AWS Config應啟用並使用服務連結角色進行資源記錄 此控制項會檢查AWS Config是否已啟用,以及是否開啟AWS Config資源記錄。在過去,只有在您為所有資源設定記錄時,控制項才會產生PASSED調查結果。Security Hub CSPM 已更新控制項,以在啟用控制項所需的資源開啟記錄時產生PASSED問題清單。控制項也已更新,以檢查是否使用AWS Config服務連結角色,這可提供記錄必要資源的許可。
2024 年 5 月 8 日 【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除 此控制項會檢查 Amazon S3 一般用途版本控制的儲存貯體是否已啟用多重要素驗證 (MFA) 刪除。在過去,控制項會針對具有生命週期組態的儲存貯體產生FAILED問題清單。不過,無法在具有生命週期組態的儲存貯體上啟用具有版本控制的 MFA 刪除。Security Hub CSPM 已更新控制項,對具有生命週期組態的儲存貯體不會產生問題清單。控制項描述已更新,以反映目前的行為。
2024 年 5 月 2 日 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行 Security Hub CSPM 更新了 Amazon EKS 叢集可執行的最舊支援 Kubernetes 版本,以產生傳遞的問題清單。目前最舊支援的版本是 Kubernetes 1.26
2024 年 4 月 30 日 【CloudTrail.3] 至少應啟用一個 CloudTrail 追蹤 應將 CloudTrail 的控制標題變更為至少應啟用一個 CloudTrail 追蹤。如果 AWS 帳戶至少已啟用一個 CloudTrail 追蹤,則此控制項目前會產生PASSED問題清單。已變更標題和描述,以準確反映目前的行為。
2024 年 4 月 29 日 【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查 與 Classic Load Balancer 相關聯的 Auto Scaling 群組變更控制標題應使用負載平衡器運作狀態檢查而與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查。此控制項目前評估 Application、Gateway、Network 和 Classic Load Balancer。已變更標題和描述,以準確反映目前的行為。
2024 年 4 月 19 日 【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤 控制項會檢查AWS CloudTrail是否已啟用並設定至少一個包含讀取和寫入管理事件的多區域線索。在過去,當帳戶已啟用 CloudTrail 並設定至少一個多區域追蹤時,即使沒有追蹤擷取讀取和寫入管理事件,控制項仍錯誤地產生PASSED調查結果。控制項現在只會在啟用 CloudTrail 並設定至少一個擷取讀取和寫入管理事件的多區域線索時產生PASSED調查結果。
2024 年 4 月 10 日 【Athena.1】 Athena 工作群組應靜態加密 Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。Athena 工作群組會將日誌傳送至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。Amazon S3 現在會在新的和現有的 S3 儲存貯體上使用 S3 受管金鑰 (SS3-S3) 提供預設加密。
2024 年 4 月 10 日 【AutoScaling.4] Auto Scaling 群組啟動組態的中繼資料回應跳轉限制不應大於 1 Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的中繼資料回應跳轉限制取決於工作負載。
2024 年 4 月 10 日 【CloudFormation.1] CloudFormation 堆疊應與 Simple Notification Service (SNS) 整合 Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。將AWS CloudFormation堆疊與 Amazon SNS 主題整合不再是安全最佳實務。雖然整合重要的 CloudFormation 堆疊與 SNS 主題可能很有用,但並非所有堆疊都需要。
2024 年 4 月 10 日 【CodeBuild.5] CodeBuild 專案環境不應啟用特權模式 Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。在 CodeBuild 專案中啟用特權模式不會對客戶環境造成額外的風險。
2024 年 4 月 10 日 【IAM.20】 避免使用根使用者 Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。此控制項的用途由另一個控制項 涵蓋【CloudWatch.1] 應該存在日誌指標篩選條件和警示,以使用「根」使用者
2024 年 4 月 10 日 【SNS.2】 應針對傳送至主題的通知訊息啟用傳遞狀態記錄 Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。記錄 SNS 主題的交付狀態不再是安全最佳實務。雖然重要 SNS 主題的記錄傳遞狀態可能很有用,但並非所有主題都需要這樣做。
2024 年 4 月 10 日 【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態 Security Hub CSPM 已從AWS基礎安全最佳實務和服務受管標準中移除此控制項:AWS Control Tower。此控制項的目的涵蓋於另外兩個控制項: 【S3.13】 S3 一般用途儲存貯體應具有生命週期組態【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制。此控制項仍然是 NIST SP 800-53 修訂版 5 的一部分。
2024 年 4 月 10 日 【S3.11】 S3 一般用途儲存貯體應啟用事件通知 Security Hub CSPM 已從AWS基礎安全最佳實務和服務受管標準中移除此控制項:AWS Control Tower。雖然在某些情況下S3 儲存貯體的事件通知很有用,但這不是通用的安全最佳實務。此控制項仍然是 NIST SP 800-53 修訂版 5 的一部分。
2024 年 4 月 10 日 【SNS.1】 SNS 主題應使用 進行靜態加密AWS KMS Security Hub CSPM 已從AWS基礎安全最佳實務和服務受管標準中移除此控制項:AWS Control Tower。根據預設,SNS 會使用磁碟加密來加密靜態主題。如需詳細資訊,請參閱資料加密。不再建議使用 AWS KMS加密主題做為安全最佳實務。此控制項仍然是 NIST SP 800-53 修訂版 5 的一部分。
2024 年 4 月 8 日 【ELB.6】 應用程式、閘道和 Network Load Balancer 應啟用刪除保護 Application Load Balancer 刪除保護變更的控制標題應啟用Application、Gateway 和 Network Load Balancer 應啟用刪除保護。此控制項目前評估 Application、Gateway 和 Network Load Balancer。已變更標題和描述,以準確反映目前的行為。
2024 年 3 月 22 日 【Opensearch.8】 應使用最新的 TLS 安全政策加密與 OpenSearch 網域的連線 連線至 OpenSearch 網域變更的控制標題應使用 TLS 1.2 加密連線至 OpenSearch 網域,應使用最新的 TLS 安全政策加密。先前,控制項只會檢查 OpenSearch 網域的連線是否使用 TLS 1.2。如果使用最新的 TLS 安全政策加密 OpenSearch 網域,控制項現在會產生PASSED問題清單。控制項標題和描述已更新,以反映目前的行為。
2024 年 3 月 22 日 【ES.8】 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線 連線至 Elasticsearch 網域變更的控制標題應使用 TLS 1.2 加密連線至 Elasticsearch 網域,應使用最新的 TLS 安全政策加密。先前,控制項只會檢查與 Elasticsearch 網域的連線是否使用 TLS 1.2。如果使用最新的 TLS 安全政策加密 Elasticsearch 網域,控制項現在會產生PASSED問題清單。控制項標題和描述已更新,以反映目前的行為。
2024 年 3 月 12 日 【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定 S3 封鎖公開存取設定變更為 S3 一般用途儲存貯體的標題應該啟用封鎖公開存取設定。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.2】 S3 一般用途儲存貯體應封鎖公開讀取存取 S3 儲存貯體變更的標題應禁止公開讀取存取 S3 一般用途儲存貯體應封鎖公開讀取存取。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取 S3 儲存貯體變更的標題應禁止公開寫入存取 S3 一般用途儲存貯體應封鎖公開寫入存取。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL S3 儲存貯體變更的標題應要求請求使用 Secure Socket LayerS3 一般用途儲存貯體應要求請求使用 SSL。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取AWS 帳戶 授予其他儲存貯體政策AWS 帳戶中其他 的 S3 許可變更的標題,應限制S3 一般用途儲存貯體政策應限制對其他 的存取AWS 帳戶。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫 S3 儲存貯體變更的標題應啟用跨區域複寫S3 一般用途儲存貯體,應使用跨區域複寫。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫 S3 儲存貯體變更的標題應啟用跨區域複寫S3 一般用途儲存貯體,應使用跨區域複寫。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.8】 S3 一般用途儲存貯體應封鎖公開存取 應該在儲存貯體層級將 S3 封鎖公開存取設定的標題變更為 S3 一般用途儲存貯體應該封鎖公開存取。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄 應將 S3 儲存貯體伺服器存取記錄的變更標題啟用 S3 一般用途儲存貯體的伺服器存取記錄。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態 已啟用版本控制的 S3 儲存貯體變更標題時,生命週期政策應設定為已啟用版本控制的 S3 一般用途儲存貯體時,應具有生命週期組態。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.11】 S3 一般用途儲存貯體應啟用事件通知 S3 儲存貯體變更的標題應啟用事件通知S3 一般用途儲存貯體應啟用事件通知。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.12】 ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取 來自 S3 存取控制清單 (ACLs) 的變更標題不應用於管理使用者對 ACL 的存取不應用於管理使用者對 S3 一般用途儲存貯體的存取 ACLs。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.13】 S3 一般用途儲存貯體應具有生命週期組態 S3 儲存貯體變更的標題應該將生命週期政策設定為 S3 一般用途儲存貯體應該具有生命週期組態。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制 S3 儲存貯體變更的標題應該使用版本控制S3 一般用途儲存貯體應該已啟用版本控制。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.15】 S3 一般用途儲存貯體應啟用物件鎖定 S3 儲存貯體變更的標題應設定為使用物件鎖定S3 一般用途儲存貯體時,應啟用物件鎖定。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 12 日 【S3.17】 S3 一般用途儲存貯體應使用 靜態加密AWS KMS keys S3 儲存貯體變更的標題應使用 靜態加密AWS KMS keysS3 一般用途儲存貯體應使用 靜態加密AWS KMS keys。Security Hub CSPM 已將標題變更為考量新的 S3 儲存貯體類型。
2024 年 3 月 7 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 nodejs20.xruby3.3做為參數。
2024 年 2 月 22 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 dotnet8做為參數。
2024 年 2 月 5 日 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行 Security Hub CSPM 更新了 Amazon EKS 叢集可執行的最舊支援 Kubernetes 版本,以產生傳遞的問題清單。目前最舊支援的版本是 Kubernetes 1.25
2024 年 1 月 10 日 【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料 CodeBuild GitHub 或 Bitbucket 來源儲存庫 URLs 變更的標題應使用 OAuthCodeBuild Bitbucket 來源儲存庫 URLs不應包含敏感憑證。Security Hub CSPM 已移除提及 OAuth,因為其他連線方法也可能是安全的。Security Hub CSPM 已移除提及 GitHub,因為在 GitHub 來源儲存庫 URLs中無法再擁有個人存取字符或使用者名稱和密碼。
2024 年 1 月 8 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 go1.xjava8做為參數,因為這些是淘汰的執行時間。
2023 年 12 月 29 日 【RDS.8】 RDS 資料庫執行個體應啟用刪除保護 RDS.8 會檢查使用其中一個受支援資料庫引擎的 Amazon RDS 資料庫執行個體是否已啟用刪除保護。Security Hub CSPM 現在支援 custom-oracle-eeoracle-ee-cdboracle-se2-cdb做為資料庫引擎。
2023 年 12 月 22 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 java21python3.12做為參數。Security Hub CSPM 不再支援 ruby2.7 做為參數。
2023 年 12 月 15 日 【CloudFront.1] CloudFront 分佈應設定預設根物件 CloudFront.1 會檢查 Amazon CloudFront 分佈是否已設定預設根物件。Security Hub CSPM 將此控制項的嚴重性從 CRITICAL 降低為 HIGH,因為新增預設根物件是取決於使用者應用程式和特定需求的建議。
2023 年 12 月 5 日 【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22 安全群組的變更控制標題不應允許從 0.0.0.0/0 傳入連接埠 22安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22
2023 年 12 月 5 日 【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389 變更控制標題自 確保沒有安全群組允許從 0.0.0.0/0 傳入連接埠 3389安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389
2023 年 12 月 5 日 【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs 資料庫記錄變更的控制標題應啟用 RDS 資料庫執行個體,並將日誌發佈至 CloudWatch Logs。Security Hub CSPM 已識別此控制項只會檢查日誌是否發佈至 Amazon CloudWatch Logs,而不會檢查是否啟用 RDS 日誌。如果 RDS 資料庫執行個體設定為將日誌發佈至 CloudWatch Logs,控制項會產生PASSED問題清單。控制項標題已更新,以反映目前的行為。
2023 年 12 月 5 日 【EKS.8】 EKS 叢集應該啟用稽核記錄 此控制項會檢查 Amazon EKS 叢集是否已啟用稽核記錄。Security Hub CSPM 用來評估此控制項的AWS Config規則從 變更為 eks-cluster-logging-enabled eks-cluster-log-enabled
2023 年 11 月 17 日 【EC2.19】 安全群組不應允許無限制存取高風險的連接埠 EC2.19 會檢查安全群組的無限制傳入流量是否可供被視為高風險的指定連接埠存取。Security Hub CSPM 更新了此控制項,以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。
2023 年 11 月 16 日 【CloudWatch.15] CloudWatch 警示應已設定指定的動作 CloudWatch 警示的控制標題變更為 CloudWatch 警示應已設定 ALARM 狀態的動作 CloudWatch
2023 年 11 月 16 日 【CloudWatch.16] CloudWatch 日誌群組應保留一段指定的期間 CloudWatch 日誌群組變更的控制標題應保留至少 1 年,而 CloudWatch 日誌群組應保留一段指定的時間
2023 年 11 月 16 日 【Lambda.5】 VPC Lambda 函數應該在多個可用區域中操作 將控制標題從 VPC Lambda 函數變更為 VPC Lambda 函數應在多個可用區域中操作
2023 年 11 月 16 日 【AppSync.2]AWS AppSync 應該啟用欄位層級記錄 從 變更的控制標題AWS AppSync應開啟請求層級和欄位層級記錄AWS AppSync且應啟用欄位層級記錄
2023 年 11 月 16 日 【EMR.1】 Amazon EMR 叢集主節點不應具有公有 IP 地址 Amazon Elastic MapReduce 叢集主節點變更的控制標題不應具有 Amazon EMR 叢集主節點的公有 IP 地址,也不應具有公有 IP 地址
2023 年 11 月 16 日 【Opensearch.2】 不應公開存取 OpenSearch 網域 OpenSearch 網域變更的控制標題應位於 VPC 中,不應公開存取 OpenSearch 網域
2023 年 11 月 16 日 【ES.2】 不應公開存取 Elasticsearch 網域 Elasticsearch 網域變更的控制標題應位於 VPC 中,不應公開存取 Elasticsearch 網域
2023 年 10 月 31 日 【ES.4】 應啟用記錄至 CloudWatch Logs 的 Elasticsearch 網域錯誤 ES.4 會檢查 Elasticsearch 網域是否設定為將錯誤日誌傳送至 Amazon CloudWatch Logs。控制項先前為 Elasticsearch 網域產生了一個PASSED調查結果,該網域已將任何日誌設定為傳送至 CloudWatch Logs。Security Hub CSPM 已更新控制項,僅針對設定為將錯誤日誌傳送至 CloudWatch Logs 的 Elasticsearch 網域產生PASSED調查結果。控制項也已更新,將不支援錯誤日誌的 Elasticsearch 版本排除在評估之外。
2023 年 10 月 16 日 【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22 EC2.13 會檢查安全群組是否允許不受限制的連接埠 22 傳入存取。Security Hub CSPM 更新了此控制項,以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。
2023 年 10 月 16 日 【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389 EC2.14 會檢查安全群組是否允許不受限制的連接埠 3389 輸入存取。Security Hub CSPM 更新了此控制項,以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。
2023 年 10 月 16 日 【EC2.18】 安全群組應僅允許授權連接埠不受限制的傳入流量 EC2.18 會檢查使用中的安全群組是否允許不受限制的傳入流量。Security Hub CSPM 更新了此控制項,以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。
2023 年 10 月 16 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 python3.11做為參數。
2023 年 10 月 4 日 【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫 Security Hub CSPM 已新增值ReplicationType為 的 參數,CROSS-REGION以確保 S3 儲存貯體已啟用跨區域複寫,而不是啟用相同區域複寫。
2023 年 9 月 27 日 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行 Security Hub CSPM 更新了 Amazon EKS 叢集可執行的最舊支援 Kubernetes 版本,以產生傳遞的問題清單。目前最舊支援的版本是 Kubernetes 1.24
2023 年 9 月 20 日 【CloudFront.2] CloudFront 分佈應啟用原始存取身分 Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。反之,請參閱 【CloudFront.13] CloudFront 分佈應使用原始存取控制。原始存取控制是目前的安全最佳實務。此控制項將在 90 天內從文件中移除。
2023 年 9 月 20 日 【EC2.22】 應移除未使用的 Amazon EC2 安全群組 Security Hub CSPM 已從AWS基礎安全最佳實務 (FSBP) 和國家標準技術研究所 (NIST) SP 800-53 修訂版 5 中移除此控制。它仍然是服務受管標準的一部分:AWS Control Tower。如果安全群組連接到 EC2 執行個體或彈性網路介面,此控制項會產生傳遞的問題清單。不過,對於某些使用案例,未連接的安全群組不會構成安全風險。您可以使用其他 EC2 控制項,例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19,來監控您的安全群組。
2023 年 9 月 20 日 【EC2.29】 應在 VPC 中啟動 EC2 執行個體 Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。Amazon EC2 已將 EC2-Classic 執行個體遷移至 VPC。此控制項將在 90 天內從文件中移除。
2023 年 9 月 20 日 [S3.4] S3 儲存貯體應啟用伺服器端加密 Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。Amazon S3 現在會在新的和現有的 S3 儲存貯體上使用 S3 受管金鑰 (SS3-S3) 提供預設加密。使用 SS3-S3 或 SS3-KMS 伺服器端加密的現有儲存貯體的加密設定保持不變。此控制項將在 90 天內從文件中移除。
2023 年 9 月 14 日 【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量 來自 VPC 預設安全群組的變更控制標題不應允許傳入和傳出VPC 預設安全群組的流量不應允許傳入或傳出流量
2023 年 9 月 14 日 【IAM.9】 應為根使用者啟用 MFA 應該為根使用者啟用從虛擬 MFAMFA 的變更控制標題。

2023 年 9 月 14 日

【RDS.19】 應為關鍵叢集事件設定現有的 RDS 事件通知訂閱 應將關鍵叢集事件的 RDS 事件通知訂閱變更控制標題,設定為關鍵叢集事件的現有 RDS 事件通知訂閱
2023 年 9 月 14 日 【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱 應將關鍵資料庫執行個體事件的 RDS 事件通知訂閱變更控制標題,設定為關鍵資料庫執行個體事件的現有 RDS 事件通知訂閱
2023 年 9 月 14 日 【WAF.2】AWS WAF傳統區域規則應至少有一個條件 WAF 區域規則變更控制標題應至少有一個條件變更為AWS WAF傳統區域規則應至少有一個條件
2023 年 9 月 14 日 【WAF.3】AWS WAF傳統區域規則群組應至少有一個規則 WAF 區域規則群組變更控制標題時,至少應有一個規則變更為AWS WAF傳統區域規則群組時,至少應有一個規則
2023 年 9 月 14 日 【WAF.4】AWS WAF傳統區域 Web ACLs應至少有一個規則或規則群組 WAF 區域 Web ACL 變更的控制項標題應具有至少一個規則或規則群組,而AWS WAF傳統區域 Web ACLs 應具有至少一個規則或規則群組
2023 年 9 月 14 日 【WAF.6】AWS WAF傳統全域規則應至少有一個條件 WAF 全域規則變更控制標題應至少有一個條件變更為 AWS WAF Classic 全域規則應至少有一個條件
2023 年 9 月 14 日 【WAF.7】AWS WAF傳統全域規則群組應至少有一個規則 WAF 全域規則群組變更的控制項標題應至少有一個規則變更為 AWS WAF Classic 全域規則群組應至少有一個規則
2023 年 9 月 14 日 【WAF.8】AWS WAF傳統全域 Web ACLs 應至少有一個規則或規則群組 WAF 全域 Web ACL 變更控制標題應至少有一個規則或規則群組,變更為 AWS WAFClassic 全域 Web ACLs 應至少有一個規則或規則群組
2023 年 9 月 14 日 【WAF.10】AWS WAFWeb ACLs應至少有一個規則或規則群組 WAFv2 Web ACL 變更控制標題應至少有一個規則或規則群組AWS WAFWeb ACLs 應至少有一個規則或規則群組
2023 年 9 月 14 日 【WAF.11】應該啟用 AWS WAFWeb ACL 記錄 AWS WAF應該啟用從 v2 Web ACL 記錄AWS WAFWeb ACL 記錄的變更控制標題。

2023 年 7 月 20 日

[S3.4] S3 儲存貯體應啟用伺服器端加密 S3.4 會檢查 Amazon S3 儲存貯體是否已啟用伺服器端加密,或 S3 儲存貯體政策是否明確拒絕沒有伺服器端加密的PutObject請求。Security Hub CSPM 已更新此控制項,以包含 KMS 金鑰的雙層伺服器端加密 (DSSE-KMS)。當 S3 儲存貯體使用 SSE-S3、SSE-KMS 或 DSSE-KMS 加密時,控制項會產生傳遞的問題清單。
2023 年 7 月 17 日 【S3.17】 S3 一般用途儲存貯體應使用 靜態加密AWS KMS keys S3.17 會檢查 Amazon S3 儲存貯體是否使用 加密AWS KMS key。Security Hub CSPM 已更新此控制項,以包含 KMS 金鑰的雙層伺服器端加密 (DSSE-KMS)。當 S3 儲存貯體使用 SSE-KMS 或 DSSE-KMS 加密時,控制項會產生傳遞的問題清單。
2023 年 6 月 9 日 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行 EKS.2 會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。最舊的支援版本現在是 1.23
2023 年 6 月 9 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 ruby3.2做為參數。
2023 年 6 月 5 日 【APIGateway.5] API Gateway REST API 快取資料應靜態加密 APIGateway.5.checks Amazon API Gateway REST API 階段中的所有方法是否靜態加密。Security Hub CSPM 已更新控制項,只在針對該方法啟用快取時,才能評估特定方法的加密。
2023 年 5 月 18 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 java17 做為參數。
2023 年 5 月 18 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 nodejs12.x 做為參數。
2023 年 4 月 23 日 【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行 ECS.10 會檢查 Amazon ECS Fargate 服務是否正在執行最新的 Fargate 平台版本。客戶可以直接透過 ECS 或使用 CodeDeploy 部署 Amazon ECS。Security Hub CSPM 更新了此控制項,以便在您使用 CodeDeploy 部署 ECS Fargate 服務時產生傳遞的問題清單。
2023 年 4 月 20 日 【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取AWS 帳戶 S3.6 會檢查 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策是否防止委託人對 S3 儲存貯體中的資源AWS 帳戶執行拒絕動作。Security Hub CSPM 已更新控制項,以考慮儲存貯體政策中的條件。
2023 年 4 月 18 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 python3.10做為參數。
2023 年 4 月 18 日 【Lambda.2】 Lambda 函數應使用支援的執行時間 Lambda.2 會檢查執行時間的AWS Lambda函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 dotnetcore3.1 做為參數。
2023 年 4 月 17 日 【RDS.11】 RDS 執行個體應該啟用自動備份 RDS.11 會檢查 Amazon RDS 執行個體是否已啟用自動備份,且備份保留期間大於或等於七天。Security Hub CSPM 已更新此控制項,以排除僅供讀取複本的評估,因為並非所有引擎都支援在僅供讀取複本上自動備份。此外,RDS 不提供在建立僅供讀取複本時指定備份保留期的選項。根據0預設,會建立備份保留期為 的僅供讀取複本。