本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
變更 Security Hub 控制項的日誌
下列變更日誌會追蹤現有 AWS Security Hub 安全控制項的重大變更,這可能會導致控制項的整體狀態及其調查結果的合規狀態發生變更。如需有關 Security Hub 如何評估控制狀態的資訊,請參閱 評估資訊安全中心的合規性狀態和控制狀態。變更可能需要在此日誌中輸入數天後才能影響所有可用的 AWS 區域 控制項。
此日誌會追蹤自 2023 年 4 月以來發生的變更。
選取控制項以檢視其詳細資訊。標題變更會記錄在每個控制項的 90 天詳細說明上。
| 變更日期 | 控制項 ID 和標題 | 變更說明 |
|---|---|---|
| 2024 年 10 月 11 日 | ElastiCache 控制項 | 已變更 ElastiCache.3、 ElastiCache.4、 ElastiCache.5 和 ElastiCache.7 的控制項標題。標題不再提及 Redis,OSS因為控制項也適用於 ElastiCache Valkey。 |
| 2024 年 9 月 27 日 | 【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭 | 從 Application Load Balancer 變更的控制項標題應設定為將 http 標頭捨棄至 Application Load Balancer 應設定為捨棄無效的 http 標頭。 |
| 2024 年 8 月 19 日 | DMS.12 和 ElastiCache 控制項的標題變更 | 已變更 DMS.12 和 ElastiCache.1 至 ElastiCache.7 的控制項標題。我們變更了這些標題,以反映 Amazon ElastiCache (RedisOSS) 服務中的名稱變更。 |
| 2024 年 8 月 15 日 | [Config 1] AWS Config 應啟用並使用服務連結角色進行資源記錄 | 此控制項會檢查 AWS Config 是否已啟用、使用服務連結角色,以及記錄已啟用控制項的資源。Security Hub 新增了名為 的自訂控制參數includeConfigServiceLinkedRoleCheck。透過將此參數設定為 false,您可以選擇不檢查是否 AWS Config 使用服務連結角色。 |
| 2024 年 7 月 31 日 | [IoT 1] AWS IoT Device Defender 應標記安全性設定檔 | 從AWS IoT Core 安全設定檔變更的控制項標題應標記為AWS IoT Device Defender 安全設定檔應標記 。 |
| 2024 年 7 月 29 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub 不再支援nodejs16.x作為 參數。 |
| 2024 年 7 月 29 日 | [EKS.2] EKS 叢集應在受支援的 Kubernetes 版本上執行 | 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本是 1.28。 |
| 2024 年 6 月 25 日 | [Config 1] AWS Config 應啟用並使用服務連結角色進行資源記錄 | 此控制項會檢查 AWS Config 是否已啟用、使用服務連結角色,以及記錄已啟用控制項的資源。Security Hub 已更新控制項標題,以反映控制項評估的內容。 |
| 2024 年 6 月 14 日 | 【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch 日誌 | 此控制項會檢查 Amazon Aurora MySQL 資料庫叢集是否設定為將稽核日誌發佈至 Amazon CloudWatch Logs。Security Hub 已更新控制項,因此不會產生 Aurora Serverless v1 資料庫叢集的調查結果。 |
| 2024 年 6 月 11 日 | [EKS.2] EKS 叢集應在受支援的 Kubernetes 版本上執行 | 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本為 1.27。 |
| 2024 年 6 月 10 日 | [Config 1] AWS Config 應啟用並使用服務連結角色進行資源記錄 | 此控制項會檢查 AWS Config 是否已啟用,以及是否開啟 AWS Config 資源記錄。之前,只有在您為所有資源設定記錄時,控制項才會產生PASSED調查結果。Security Hub 已更新控制項,以在啟用控制項所需的資源開啟錄製時產生PASSED調查結果。控制項也已更新,以檢查是否 AWS Config 使用服務連結角色,提供記錄必要資源的許可。 |
| 2024 年 5 月 8 日 | 【S3.20】 S3 一般用途儲存貯體應該已啟用MFA刪除 | 此控制項會檢查 Amazon S3 一般用途版本化儲存貯體是否已啟用多重要素驗證 (MFA) 刪除。之前,控制項會針對具有生命週期組態的儲存貯體產生FAILED調查結果。不過,無法在具有生命週期組態的儲存貯體上啟用具有版本控制的MFA刪除。Security Hub 已更新控制項,以針對具有生命週期組態的儲存貯體不會產生任何調查結果。控制項描述已更新,以反映目前的行為。 |
| 2024 年 5 月 2 日 | [EKS.2] EKS 叢集應在受支援的 Kubernetes 版本上執行 | Security Hub 更新了 Amazon EKS叢集可以執行的最舊支援 Kubernetes 版本,以產生通過的調查結果。目前最舊支援的版本是 Kubernetes 1.26。 |
| 2024 年 4 月 30 日 | 【CloudTrail.3】 至少應啟用一個 CloudTrail 追蹤 | CloudTrail 應將 的控制項標題變更為至少應啟用一個 CloudTrail 追蹤。如果 AWS 帳戶 至少已啟用一個 CloudTrail 追蹤,則此控制項目前會產生PASSED調查結果。已變更標題和描述,以準確反映目前的行為。 |
| 2024 年 4 月 29 日 | [AutoScaling.1] 與負載平衡器關聯的 Auto Scaling 群組應使用ELB健康狀態檢查 | 從與 Classic Load Balancer 相關聯的 Auto Scaling 群組變更控制標題,應使用負載平衡器運作狀態檢查,將控制標題變更為與負載平衡器相關聯的 Auto Scaling 群組,應使用ELB運作狀態檢查。此控制項目前評估 Application、Gateway、Network 和 Classic Load Balancer。已變更標題和描述,以準確反映目前的行為。 |
| 2024 年 4 月 19 日 | 【CloudTrail.1】 CloudTrail 應啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤 | 控制項會檢查 AWS CloudTrail 是否已啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤。之前,即使沒有擷取到讀取和寫入管理事件,當帳戶 CloudTrail 已啟用並設定至少一個多區域追蹤時,控制項也會錯誤地產生PASSED調查結果。控制項現在只會在 CloudTrail 啟用並設定至少一個擷取讀取和寫入管理事件的多區域追蹤時產生PASSED調查結果。 |
| 2024 年 4 月 10 日 | 【Athena.1】 Athena 工作群組應靜態加密 | Security Hub 已淘汰此控制項,並將其從所有標準中移除。Athena 工作群組會將日誌傳送至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。Amazon S3 現在會在新的和現有的 S3 儲存貯體上,提供 S3 受管金鑰 (SS3-S3S3的預設加密。 |
| 2024 年 4 月 10 日 | 【AutoScaling.4】 Auto Scaling 群組啟動組態的中繼資料回應躍點限制不應大於 1 | Security Hub 已淘汰此控制項,並將其從所有標準中移除。Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的中繼資料回應跳轉限制取決於工作負載。 |
| 2024 年 4 月 10 日 | 【CloudFormation.1】 CloudFormation 堆疊應與 Simple Notification Service (SNS) 整合 | Security Hub 已淘汰此控制項,並將其從所有標準中移除。將 AWS CloudFormation 堆疊與 Amazon SNS主題整合不再是安全最佳實務。雖然將重要的 CloudFormation 堆疊與SNS主題整合可能很有用,但並非所有堆疊都需要這樣做。 |
| 2024 年 4 月 10 日 | 【CodeBuild.5】 CodeBuild 專案環境不應啟用特權模式 | Security Hub 已淘汰此控制項,並將其從所有標準中移除。在專案中 CodeBuild 啟用特權模式不會對客戶環境造成額外風險。 |
| 2024 年 4 月 10 日 | 【IAM.20】 避免使用根使用者 | Security Hub 已淘汰此控制項,並將其從所有標準中移除。此控制項的目的涵蓋於另一個控制項 [CloudWatch.1] 對於「root」用戶的使用,應存在日誌指標過濾器和警報。 |
| 2024 年 4 月 10 日 | 【SNS.2】 應針對傳送至主題的通知訊息啟用交付狀態記錄 | Security Hub 已淘汰此控制項,並將其從所有標準中移除。記錄SNS主題的交付狀態不再是安全最佳實務。雖然記錄重要SNS主題的交付狀態可能很有用,但並非所有主題都要求這樣做。 |
| 2024 年 4 月 10 日 | 【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態 | Security Hub 從 AWS 基礎安全最佳實務 1.0.0 版和服務管理標準:中移除此控制項 AWS Control Tower。此控制項的目的涵蓋於另外兩個控制項: 【S3.13】 S3 一般用途儲存貯體應具有生命週期組態和 【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制。此控制項仍是 NIST SP 800-53 修訂版 5 的一部分。 |
| 2024 年 4 月 10 日 | 【S3.11】 S3 一般用途儲存貯體應啟用事件通知 | Security Hub 從 AWS 基礎安全最佳實務 1.0.0 版和服務管理標準:中移除此控制項 AWS Control Tower。雖然在某些情況下S3 儲存貯體的事件通知很有用,但這不是通用的安全最佳實務。此控制項仍是 NIST SP 800-53 修訂版 5 的一部分。 |
| 2024 年 4 月 10 日 | [SNS.1] SNS 主題應該使用靜態加密 AWS KMS | Security Hub 從 AWS 基礎安全最佳實務 1.0.0 版和服務管理標準:中移除此控制項 AWS Control Tower。根據預設, 會使用磁碟SNS加密來加密靜態主題。如需詳細資訊,請參閱資料加密。不再建議使用 AWS KMS 加密主題作為安全最佳實務。此控制項仍是 NIST SP 800-53 修訂版 5 的一部分。 |
| 2024 年 4 月 8 日 | 【ELB.6】 應用程式、Gateway 和 Network Load Balancer 應啟用刪除保護 | 從 Application Load Balancer 刪除保護變更的控制標題應啟用至 Application、Gateway 和 Network Load Balancer 應啟用刪除保護。此控制項目前評估 Application、Gateway 和 Network Load Balancer。已變更標題和描述,以準確反映目前的行為。 |
| 2024 年 3 月 22 日 | 應使用最新的安全策略加密與 OpenSearch 域的連接 TLS | 應使用 1.2 TLS 加密從連線到 OpenSearch 網域的變更控制標題,以使用最新的TLS安全政策 OpenSearch 加密網域的連線。之前,控制項只會檢查與 OpenSearch 網域的連線是否使用 TLS 1.2。如果使用最新的TLS安全政策加密 OpenSearch 網域,控制項現在會產生PASSED調查結果。控制項標題和描述已更新,以反映目前的行為。 |
| 2024 年 3 月 22 日 | 【ES.8】 應使用最新的TLS安全政策加密與 Elasticsearch 網域的連線 | 應使用 1.2 TLS 加密從連線到 Elasticsearch 網域的變更控制標題,以使用最新的TLS安全政策 加密 Elasticsearch 網域的連線。之前,控制項只會檢查 Elasticsearch 網域的連線是否使用 TLS 1.2。如果 Elasticsearch 網域使用最新的TLS安全政策加密,控制項現在會產生PASSED調查結果。控制項標題和描述已更新,以反映目前的行為。 |
| 2024 年 3 月 12 日 | 【S3.1】 S3 一般用途儲存貯體應啟用區塊公開存取設定 | 從 S3 Block Public Access 設定變更為 S3 一般用途儲存貯體的標題應該啟用區塊公有存取設定。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.2】 S3 一般用途儲存貯體應封鎖公開讀取存取 | 從 S3 儲存貯體變更的標題應禁止公開讀取存取 S3 一般用途儲存貯體,並應封鎖公開讀取存取 。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取 | 從 S3 儲存貯體變更的標題應禁止公開寫入存取 S3 一般用途儲存貯體,應封鎖公開寫入存取 。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.5】 S3 一般用途儲存貯體應要求使用 SSL | 從 S3 儲存貯體變更的標題應要求請求使用 Secure Socket Layer 至 S3 一般用途儲存貯體應要求請求使用 SSL。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶 | 從授予其他儲存貯 AWS 帳戶 體政策的 S3 許可變更的標題應限制為 S3 一般用途儲存貯體政策,並應限制對其他 的存取 AWS 帳戶。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫 | 從 S3 儲存貯體變更的標題應啟用跨區域複寫至 S3 一般用途儲存貯體,應使用跨區域複寫。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫 | 從 S3 儲存貯體變更的標題應啟用跨區域複寫至 S3 一般用途儲存貯體,應使用跨區域複寫。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.8】 S3 一般用途儲存貯體應封鎖公開存取 | 應在儲存貯體層級將 S3 封鎖公開存取設定的標題變更為 S3 一般用途儲存貯體,應封鎖公開存取 。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄 | 應為 S3 一般用途儲存貯體 啟用從 S3 儲存貯體伺服器存取記錄變更為伺服器存取記錄的S3標題。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態 | 已啟用版本控制的 S3 儲存貯體已變更的標題,其生命週期政策應設定為已啟用版本控制的 S3 一般用途儲存貯體,其生命週期組態應為 。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.11】 S3 一般用途儲存貯體應啟用事件通知 | 從 S3 儲存貯體變更的標題應啟用 S3 一般用途儲存貯體的事件通知,並應啟用事件通知。S3 Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.12】 ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取 | 不應使用 S3 存取控制清單 (ACLs) 中變更的標題來管理使用者對 儲存貯體ACLs的存取,不應用於管理使用者對 S3 一般用途儲存貯體的存取。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.13】 S3 一般用途儲存貯體應具有生命週期組態 | 從 S3 儲存貯體變更的標題應該具有設定為 S3 一般用途儲存貯體的生命週期政策,應該具有生命週期組態 S3。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制 | 從 S3 儲存貯體變更的標題應該使用版本控制到 S3 一般用途儲存貯體應該已啟用版本控制。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.15】 S3 一般用途儲存貯體應該已啟用物件鎖定 | 從 S3 儲存貯體變更的標題應設定為使用 Object Lock 至 S3 一般用途儲存貯體時,應啟用 Object Lock。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 12 日 | 【S3.17】 S3 一般用途儲存貯體應靜態加密 AWS KMS keys | 從 S3 儲存貯體變更的標題應靜態加密為 AWS KMS keys S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys。Security Hub 已變更 標題,以說明新的 S3 儲存貯體類型。 |
| 2024 年 3 月 7 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub 現在支援 nodejs20.x和 ruby3.3作為 參數。 |
| 2024 年 2 月 22 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub 現在支援 dotnet8 作為 參數。 |
| 2024 年 2 月 5 日 | [EKS.2] EKS 叢集應在受支援的 Kubernetes 版本上執行 | Security Hub 更新了 Amazon EKS叢集可以執行的最舊支援 Kubernetes 版本,以產生通過的調查結果。目前最舊支援的版本是 Kubernetes 1.25。 |
| 2024 年 1 月 10 日 | [CodeBuild.1] CodeBuild 比特桶源存儲庫不URLs應包含敏感憑據 | 從 CodeBuild GitHub 或 Bitbucket 來源儲存庫變更的標題URLs應該用於 OAuth CodeBuild Bitbucket 來源儲存庫URLs,不應包含敏感憑證 。Security Hub 已移除提及 ,OAuth因為其他連線方法也可以安全。Security Hub 已移除 的 , GitHub 因為無法再在 GitHub 來源儲存庫 中擁有個人存取權杖或使用者名稱和密碼URLs。 |
| 2024 年 1 月 8 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub 不再支援 go1.x和 java8作為參數,因為這些是淘汰的執行時間。 |
| 2023 年 12 月 29 日 | 【RDS.8】 RDS 資料庫執行個體應該已啟用刪除保護 | RDS.8 RDS 會檢查使用其中一個受支援資料庫引擎的 Amazon 資料庫執行個體是否已啟用刪除保護。Security Hub 現在支援 custom-oracle-ee、 oracle-ee-cdb和 oracle-se2-cdb作為資料庫引擎。 |
| 2023 年 12 月 22 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub 現在支援 java21和 python3.12作為參數。Security Hub 不再支援ruby2.7作為 參數。 |
| 2023 年 12 月 15 日 | [CloudFront.1] CloudFront 發行版應該配置一個默認的根對象 | CloudFront.1 會檢查 Amazon CloudFront 分佈是否已設定預設根物件。Security Hub 將此控制項的嚴重性從 降低CRITICAL為 ,HIGH因為新增預設根物件是取決於使用者應用程式和特定要求的建議。 |
| 2023 年 12 月 5 日 | [EC2.13] 安全性群組不應允許從 0.0.0/0 或:: /0 輸入連接埠 22 | 安全群組的變更控制標題不應允許從 0.0.0.0/0 傳入連接埠 22 到安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22。 |
| 2023 年 12 月 5 日 | [EC2.14] 安全性群組不應允許從 0.0.0.0/0 或:/0 輸入至連接埠 3389 | 控制項標題從 確保沒有安全群組允許從 0.0.0.0/0 傳入連接埠 3389 到安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389。 |
| 2023 年 12 月 5 日 | 【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch 日誌 | 從資料庫記錄變更的控制標題應啟用至RDS資料庫執行個體,並將日誌發佈至 CloudWatch 日誌 。Security Hub 發現,此控制項只會檢查日誌是否發佈至 Amazon CloudWatch Logs,而不會檢查RDS日誌是否已啟用。如果RDS資料庫執行個體設定為將日誌發佈到 CloudWatch 日誌,控制項會產生PASSED調查結果。控制項標題已更新,以反映目前的行為。 |
| 2023 年 12 月 5 日 | [EKS.8] EKS 叢集應啟用稽核記錄 | 此控制項會檢查 Amazon EKS叢集是否已啟用稽核記錄。Security Hub 用來評估此控制項的 AWS Config 規則從 變更為 eks-cluster-logging-enabled eks-cluster-log-enabled。 |
| 2023 年 11 月 17 日 | [EC2.19] 安全群組不應允許不受限制地存取具有高風險的連接埠 | EC2.19 會檢查安全群組的無限制傳入流量是否可以存取被視為高風險的指定連接埠。Security Hub 更新了此控制項,以便在做為安全群組規則來源提供受管字首清單時,將它們列入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。 |
| 2023 年 11 月 16 日 | [CloudWatch.15] CloudWatch 警報應設定指定的動作 | 從CloudWatch 警示變更的控制標題應針對ALARM警示的狀態設定動作 CloudWatch 應已設定指定的動作 。 |
| 2023 年 11 月 16 日 | [CloudWatch.16] CloudWatch 記錄群組應保留一段指定的時間 | 從CloudWatch 日誌群組變更的控制項標題應保留至少 1 年,而 CloudWatch 日誌群組應保留一段指定的時間。 |
| 2023 年 11 月 16 日 | [Lambda .5] VPC Lambda 函數應該在多個可用區域中運作 | 將 VPC Lambda 函數的控制標題變更為 Lambda 函數應在多個可用區域中操作VPC。 |
| 2023 年 11 月 16 日 | [AppSync2] AWS AppSync 應啟用欄位層級記錄 | 已變更 的控制標題AWS AppSync 應開啟請求層級,而欄位層級日誌AWS AppSync 應啟用欄位層級日誌。 |
| 2023 年 11 月 16 日 | [EMR.1] Amazon EMR 叢集主節點不應具有公有 IP 地址 | 從 Amazon Elastic MapReduce 叢集主節點變更的控制標題不應具有 Amazon 叢集主節點的公有 IP 地址,也不應具有公有 IP 地址EMR。 |
| 2023 年 11 月 16 日 | [打開搜索 .2] OpenSearch 域名不應該是可公開訪問的 | 從OpenSearch 網域變更的控制標題應位於 VPC到OpenSearch網域不應公開存取 。 |
| 2023 年 11 月 16 日 | 【ES.2】 Elasticsearch 網域不應公開存取 | 從 Elasticsearch 網域變更的控制標題應位於 VPC 中,而 Elasticsearch 網域不應公開存取 。 |
| 2023 年 10 月 31 日 | 【ES.4】 應啟用記錄 CloudWatch 日誌的 Elasticsearch 網域錯誤 | ES.4 會檢查 Elasticsearch 網域是否設定為將錯誤日誌傳送至 Amazon CloudWatch Logs。控制項先前為 Elasticsearch 網域產生了一個PASSED調查結果,該網域的任何日誌都設定為傳送至 CloudWatch Logs。Security Hub 已更新控制項,僅針對設定為將錯誤日誌傳送至 CloudWatch Logs 的 Elasticsearch 網域產生PASSED調查結果。控制項也已更新,以將不支援錯誤日誌的 Elasticsearch 版本排除在評估之外。 |
| 2023 年 10 月 16 日 | [EC2.13] 安全性群組不應允許從 0.0.0/0 或:: /0 輸入連接埠 22 | EC2.13 會檢查安全群組是否允許對連接埠 22 的無限制傳入存取。Security Hub 更新了此控制項,以便在做為安全群組規則來源提供受管字首清單時,將它們列入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。 |
| 2023 年 10 月 16 日 | [EC2.14] 安全性群組不應允許從 0.0.0.0/0 或:/0 輸入至連接埠 3389 | EC2.14 會檢查安全群組是否允許對連接埠 3389 的無限制傳入存取。Security Hub 更新了此控制項,以便在做為安全群組規則來源提供受管字首清單時,將它們列入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。 |
| 2023 年 10 月 16 日 | [EC2.18] 安全群組只應允許授權連接埠不受限制的傳入流量 | EC2.18 會檢查正在使用的安全群組是否允許不受限制的傳入流量。Security Hub 更新了此控制項,以便在做為安全群組規則來源提供受管字首清單時,將它們列入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。 |
| 2023 年 10 月 16 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub 現在支援 python3.11 作為 參數。 |
| 2023 年 10 月 4 日 | 【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫 | Security Hub 新增ReplicationType了 值的 參數,CROSS-REGION以確保 S3 儲存貯體已啟用跨區域複寫,而不是啟用同區域複寫。 |
| 2023 年 9 月 27 日 | [EKS.2] EKS 叢集應在受支援的 Kubernetes 版本上執行 | Security Hub 更新了 Amazon EKS叢集可以執行的最舊支援 Kubernetes 版本,以產生通過的調查結果。目前最舊支援的版本是 Kubernetes 1.24。 |
| 2023 年 9 月 20 日 | CloudFront.2 – CloudFront 分發應已啟用原始伺服器存取身分 | Security Hub 已淘汰此控制項,並將其從所有標準中移除。反之,請參閱 [CloudFront.13] CloudFront 發行版應使用源訪問控制。原始伺服器存取控制是目前的安全最佳實務。此控制項將在 90 天內從文件中移除。 |
| 2023 年 9 月 20 日 | [EC2.22] 應移除未使用的 Amazon EC2 安全群組 | Security Hub 從 AWS 基礎安全最佳實務 (FSBP) 和國家標準技術研究所 (NIST) SP 800-53 修訂版 5 中移除此控制項。它仍然是服務管理標準的一部分: AWS Control Tower。如果安全群組連接到EC2執行個體或彈性網路介面,此控制項會產生傳遞的調查結果。不過,對於某些使用案例,未連接的安全群組不會造成安全風險。您可以使用其他EC2控制項來監控安全群組,例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19。 |
| 2023 年 9 月 20 日 | EC2.29 – EC2執行個體應該在 中啟動 VPC | Security Hub 已淘汰此控制項,並將其從所有標準中移除。Amazon EC2已將 EC2-Classic 執行個體遷移至 VPC。此控制項將在 90 天內從文件中移除。 |
| 2023 年 9 月 20 日 | S3.4 – S3 儲存貯體應該啟用伺服器端加密 | Security Hub 已淘汰此控制項,並將其從所有標準中移除。Amazon S3 現在會在新的和現有的 S3 儲存貯體上,提供 S3 受管金鑰 (SS3-S3S3的預設加密。對於使用 SS3-S3 或SS3KMS伺服器端加密的現有儲存貯體,加密設定保持不變。此控制項將在 90 天內從文件中移除。 |
| 2023 年 9 月 14 日 | [EC2.2] VPC 默認安全組不應允許入站或出站流量 | 從VPC預設安全群組變更的控制標題不應允許傳入和傳出流量到VPC預設安全群組不應允許傳入或傳出流量 。 |
| 2023 年 9 月 14 日 | MFA 應為根使用者啟用 【IAM.9】 | MFA 應該為根使用者 啟用根使用者 MFA的 虛擬 變更控制標題。 |
|
2023 年 9 月 14 日 |
【RDS.19】 應為關鍵叢集事件設定現有RDS事件通知訂閱 | 應將重要叢集事件的控制標題從RDS事件通知訂閱設定為現有RDS事件通知訂閱,應為重要叢集事件 進行設定。 |
| 2023 年 9 月 14 日 | 【RDS.20】 應針對關鍵資料庫執行個體事件設定現有的RDS事件通知訂閱 | 應將重要資料庫執行個體事件的控制標題從RDS事件通知訂閱設定為現有RDS事件通知訂閱應為重要資料庫執行個體事件 進行設定。 |
| 2023 年 9 月 14 日 | [WAF2] AWS WAF 傳統區域規則應具有至少一個條件 | 從WAF區域規則變更的控制標題應具有至少一個條件,而AWS WAF 傳統區域規則應具有至少一個條件。 |
| 2023 年 9 月 14 日 | [WAF3] AWS WAF 傳統區域規則群組至少應該有一個規則 | 從WAF區域規則群組變更的控制項標題應至少有一個規則,改為AWS WAF 傳統區域規則群組應至少有一個規則。 |
| 2023 年 9 月 14 日 | [WAF.4] AWS WAF 傳統區域網路至少ACLs應該有一個規則或規則群組 | 從WAF區域 Web 變更的控制項標題ACL應具有至少一個規則或規則群組,而 AWS WAF Classic Regional Web ACLs應具有至少一個規則或規則群組。 |
| 2023 年 9 月 14 日 | [WAF.6] AWS WAF 傳統全域規則應至少有一個條件 | 從WAF全域規則變更的控制項標題應具有至少一個條件,而 AWS WAF Classic 全域規則應具有至少一個條件。 |
| 2023 年 9 月 14 日 | [WAF.7] AWS WAF 傳統全域規則群組至少應有一個規則 | 從WAF全域規則群組變更的控制項標題應至少有一個規則,改為 AWS WAF Classic 全域規則群組應至少有一個規則。 |
| 2023 年 9 月 14 日 | [WAF.8] AWS WAF 傳統全域 Web 至少ACLs應該有一個規則或規則群組 | 從WAF全域 Web 變更的控制項標題ACL應具有至少一個規則或規則群組,而 AWS WAF Classic 全域 Web ACLs應具有至少一個規則或規則群組。 |
| 2023 年 9 月 14 日 | [WAF.10] AWS WAF web ACLs 應該至少有一個規則或規則群組 | 從 WAFv2 Web 變更的控制項標題ACL應至少有一個規則或規則群組到 AWS WAF Web ACLs 應至少有一個規則或規則群組 。 |
| 2023 年 9 月 14 日 | [WAF.11] AWS WAF 應ACL啟用網頁記錄 | AWS WAF應啟用從 v2 Web ACL記錄到 AWS WAF Web ACL記錄的變更控制標題。 |
|
2023 年 7 月 20 日 |
S3.4 – S3 儲存貯體應該啟用伺服器端加密 | S3.4 會檢查 Amazon S3 儲存貯體是否已啟用伺服器端加密,或 S3 儲存貯體政策是否明確拒絕沒有伺服器端加密的PutObject請求。Security Hub 更新了此控制項,以使用KMS金鑰 (DSSE-) 包含雙層伺服器端加密KMS。當 S3 儲存貯體使用 SSE-S3、SSE- 或 DSSE- 加密時KMS,控制項會產生傳遞的調查結果KMS。 |
| 2023 年 7 月 17 日 | 【S3.17】 S3 一般用途儲存貯體應靜態加密 AWS KMS keys | S3.17 會檢查 Amazon S3 儲存貯體是否使用 加密 AWS KMS key。Security Hub 更新了此控制項,以使用KMS金鑰 (DSSE-) 包含雙層伺服器端加密KMS。當 S3 儲存貯體使用 SSE-KMS 或 DSSE- 加密時,控制項會產生傳遞的調查結果KMS。 |
| 2023 年 6 月 9 日 | [EKS.2] EKS 叢集應在受支援的 Kubernetes 版本上執行 | EKS.2 會檢查 Amazon EKS叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本現在是 1.23。 |
| 2023 年 6 月 9 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub 現在支援 ruby3.2 作為 參數。 |
| 2023 年 6 月 5 日 | [APIGateway.5] API 閘道RESTAPI快取資料應在靜態時加密 | APIGateway.5.檢查 Amazon API Gateway RESTAPI階段中的所有方法是否靜態加密。Security Hub 已更新控制項,僅在針對該方法啟用快取時評估特定方法的加密。 |
| 2023 年 5 月 18 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub 現在支援 java17作為 參數。 |
| 2023 年 5 月 18 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub 不再支援nodejs12.x作為 參數。 |
| 2023 年 4 月 23 日 | 【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行 | ECS.10 會檢查 Amazon ECS Fargate 服務是否執行最新的 Fargate 平台版本。客戶可以ECS直接ECS透過 或使用 部署 Amazon CodeDeploy。Security Hub 更新了此控制項,以便在使用 CodeDeploy 部署 ECS Fargate 服務時產生傳遞的調查結果。 |
| 2023 年 4 月 20 日 | 【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶 | S3.6 會檢查 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策是否可防止其他主體對 S3 儲存貯體中的資源 AWS 帳戶 執行拒絕的動作。Security Hub 已更新控制項,以說明儲存貯體政策中的條件。 |
| 2023 年 4 月 18 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub 現在支援 python3.10作為 參數。 |
| 2023 年 4 月 18 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub 不再支援dotnetcore3.1作為 參數。 |
| 2023 年 4 月 17 日 | 【RDS.11】 RDS執行個體應啟用自動備份 | RDS.11 會檢查 Amazon RDS執行個體是否已啟用自動備份,且備份保留期大於或等於七天。Security Hub 已更新此控制項,以排除僅供讀取複本的評估,因為並非所有引擎都支援在僅供讀取複本上進行自動備份。此外, 在建立僅供讀取複本時, RDS 不提供指定備份保留期的選項。依0預設,系統會建立備份保留期為 的僅供讀取複本。 |
