本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Security Hub CSPM 控制項的變更日誌 下列變更日誌會追蹤現有 AWS Security Hub CSPM 控制項的重大變更,這可能會導致控制項的整體狀態及其調查結果的合規狀態發生變更。如需 Security Hub CSPM 如何評估控制狀態的資訊,請參閱 [評估合規狀態和控制狀態](controls-overall-status.md)。變更在此日誌中的項目後可能需要幾天的時間,才能影響所有可用的 AWS 區域 控制項。 此日誌會追蹤 2023 年 4 月以來發生的變更。選擇控制項來檢閱其其他詳細資訊。標題變更會在控制項的詳細說明中記下 90 天。 | 變更日期 | 控制項 ID 和標題 | 變更描述 | | --- | --- | --- | | 2026 年 4 月 3 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | 此控制項會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。Security Hub CSPM 將此控制項的參數值從 變更為 `1.32` `1.33`。Amazon EKS 中 Kubernetes 1.32 版的標準支援已於 2026 年 3 月 23 日結束。 | | 2026 年 4 月 3 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 支援執行時間的 Lambda.2 參數不再包含,ruby3.2因為 Lambda 已取代此執行時間。 | | 2026 年 3 月 24 日 | [【RDS.50】 RDS 資料庫叢集應設定足夠的備份保留期間](rds-controls.md#rds-50) | Security Hub CSPM 已更新控制項標題,以反映控制項會檢查所有 RDS 資料庫叢集。 | | 2026 年 3 月 24 日 | [【ECS.5】 ECS 任務定義應將容器設定為僅限對根檔案系統的唯讀存取](ecs-controls.md#ecs-5) | Security Hub CSPM 已更新控制項標題和描述,以反映控制項檢查 ECS 任務定義。Security Hub CSPM 也更新了控制項,不為`runtimePlatform`設定為指定`WINDOWS_SERVER`作業系統系列的任務定義產生調查結果。 | | 2026 年 3 月 9 日 | 【AppSync.1] AWS AppSync API 快取應靜態加密 | Security Hub CSPM 已淘汰此控制項,並將其從[AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)中移除。 AWS AppSync 現在為所有目前和未來的 API 快取提供預設加密。 | | 2026 年 3 月 9 日 | 【AppSync.6] AWS AppSync API 快取應在傳輸中加密 | Security Hub CSPM 已淘汰此控制項,並將其從[AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)中移除。 AWS AppSync 現在為所有目前和未來的 API 快取提供預設加密。 | | 2026 年 3 月 4 日 | 【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義 | Security Hub CSPM 已淘汰此控制項,並將其從[AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)和 [NIST SP 800-53 修訂版 5 標準中移除。](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) | | 2026 年 2 月 5 日 | [【AppSync.1] AWS AppSync API 快取應靜態加密](appsync-controls.md#appsync-1) | Security Hub CSPM 將於 2026 年 3 月 9 日淘汰此控制項,並從所有適用的 Security Hub CSPM 標準中移除。 AWS AppSync 正在為所有目前和未來的 API 快取提供預設加密。 | | 2026 年 2 月 5 日 | [【AppSync.6] AWS AppSync API 快取應在傳輸中加密](appsync-controls.md#appsync-6) | Security Hub CSPM 將於 2026 年 3 月 9 日淘汰此控制項,並從所有適用的 Security Hub CSPM 標準中移除。 AWS AppSync 正在為所有目前和未來的 API 快取提供預設加密。 | | 2026 年 1 月 16 日 | [【ECS.1】 Amazon ECS 任務定義應具有安全的聯網模式和使用者定義](ecs-controls.md#ecs-1) | Security Hub CSPM 已通知 2026 年 2 月 16 日之後,將會淘汰此控制項,並從所有適用的 Security Hub CSPM 標準中移除。 | | 2026 年 1 月 12 日 | [【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄](redshift-controls.md#redshift-4) | Security Hub CSPM 已更新此控制項以移除 `loggingEnabled` 參數。 | | 2026 年 1 月 12 日 | 【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級 | Security Hub CSPM 已淘汰控制項,並從所有適用標準中移除控制項。Security Hub CSPM 由於 Amazon MQ 要求自動次要版本升級而淘汰控制項。 先前,控制項適用於[AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)、[NIST SP 800-53 修訂版 5 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)和 [PCI DSS 4.0.1 版標準。](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) | | 2026 年 1 月 12 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 `dotnet10`做為此控制項的參數值。 AWS Lambda 已新增此執行時間的支援。 | | 2025 年 12 月 15 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 不再支援 `python3.9` 做為此 control 的參數值。 AWS Lambda 不再支援此執行時間。 | | 2025 年 12 月 12 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | 此控制項會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。Security Hub CSPM 將此控制項的參數值從 變更為 `1.31` `1.32`。Amazon EKS 中 Kubernetes 1.31 版的標準支援已於 2025 年 11 月 26 日結束。 | | 2025 年 11 月 21 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 `nodejs24.x`和 `python3.14`做為此控制項的參數值。 AWS Lambda 已新增這些執行時間的支援。 | | 2025 年 11 月 14 日 | [【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址](ec2-controls.md#ec2-15) | Security Hub CSPM 已更新此控制項的描述和原理。先前,控制項只會使用 `MapPublicIpOnLaunch`旗標在 Amazon VPC 子網路中檢查 IPv4 公有 IP 自動指派。此控制項現在會檢查 IPv4 和 IPv6 公有 IP 自動指派。已更新控制項的描述和原理,以反映這些變更。 | | 2025 年 11 月 14 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 `java25`做為此控制項的參數值。 AWS Lambda 新增了對此執行時間的支援。 | | 2025 年 11 月 13 日 | [【SNS.4】 SNS 主題存取政策不應允許公開存取](sns-controls.md#sns-4) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `HIGH` `CRITICAL`。允許公開存取 Amazon SNS 主題會造成重大的安全風險。 | | 2025 年 11 月 13 日 | [【SQS.3】 SQS 佇列存取政策不應允許公開存取](sqs-controls.md#sqs-3) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `HIGH` `CRITICAL`。允許公開存取 Amazon SQS 佇列會造成重大的安全風險。 | | 2025 年 11 月 13 日 | [【GuardDuty.7] 應啟用 GuardDuty EKS 執行期監控](guardduty-controls.md#guardduty-7) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `MEDIUM` `HIGH`。這種類型的執行期監控可為 Amazon EKS 資源提供增強型威脅偵測。 | | 2025 年 11 月 13 日 | [【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級](mq-controls.md#mq-3) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `LOW` `MEDIUM`。次要版本升級包括維護 Amazon MQ 代理程式安全性所需的安全修補程式。 | | 2025 年 11 月 13 日 | [【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新](opensearch-controls.md#opensearch-10) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `LOW` `MEDIUM`。軟體更新包括維護 OpenSearch 網域安全所需的安全修補程式。 | | 2025 年 11 月 13 日 | [【RDS.7】 RDS 叢集應該啟用刪除保護](rds-controls.md#rds-7) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `LOW` `MEDIUM`。刪除保護有助於防止意外刪除 Amazon RDS 資料庫,以及未經授權的實體刪除 RDS 資料庫。 | | 2025 年 11 月 13 日 | [【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合](cloudtrail-controls.md#cloudtrail-5) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `LOW` `MEDIUM`。Amazon CloudWatch Logs 中的 AWS CloudTrail 記錄資料可用於稽核活動、警示和其他重要的安全操作。 | | 2025 年 11 月 13 日 | [【ServiceCatalog.1] Service Catalog 產品組合只能在 AWS 組織內共用](servicecatalog-controls.md#servicecatalog-1) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `HIGH` `MEDIUM`。與特定帳戶共用 AWS Service Catalog 產品組合可能是有意的,不一定表示產品組合可公開存取。 | | 2025 年 11 月 13 日 | [【CloudFront.7] CloudFront 分佈應使用自訂 SSL/TLS 憑證](cloudfront-controls.md#cloudfront-7) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `MEDIUM` `LOW`。Amazon CloudFront 分佈的預設`cloudfront.net`網域名稱是隨機產生的,可降低安全風險。 | | 2025 年 11 月 13 日 | [【ELB.7】 Classic Load Balancer 應啟用連線耗盡](elb-controls.md#elb-7) | Security Hub CSPM 將此控制項的嚴重性從 變更為 `MEDIUM` `LOW`。在多執行個體部署中,其他運作狀態良好的執行個體可以在執行個體終止時處理使用者工作階段,而不會耗盡連線,進而降低營運影響和可用性風險。 | | 2025 年 11 月 13 日 | [【RedshiftServerless.5] Redshift Serverless 命名空間不應使用預設的管理員使用者名稱](redshiftserverless-controls.md#redshiftserverless-5) | Security Hub CSPM 已更新此控制項,以移除選用`validAdminUserNames`參數。 | | 2025 年 10 月 23 日 | [【ElastiCache.1] ElastiCache (Redis OSS) 叢集應該啟用自動備份](elasticache-controls.md#elasticache-1) | Security Hub CSPM 已還原 2025 年 10 月 14 日對此控制項的標題、描述和規則所做的變更。 | | 2025 年 10 月 22 日 | [【CloudFront.1] CloudFront 分佈應設定預設根物件](cloudfront-controls.md#cloudfront-1) | Security Hub CSPM 已更新此控制項,而不會為使用自訂原始伺服器的 Amazon CloudFront 分佈產生問題清單。 | | 2025 年 10 月 16 日 | [【CloudFront.15] CloudFront 分佈應使用建議的 TLS 安全政策](cloudfront-controls.md#cloudfront-15) | 此控制項會檢查 Amazon CloudFront 分佈是否設定為使用建議的 TLS 安全政策。Security Hub CSPM 現在支援 `TLSv1.2_2025`和 `TLSv1.3_2025`做為此控制項的參數值。 | | 2025 年 10 月 14 日 | [【ElastiCache.1] ElastiCache (Redis OSS) 叢集應該啟用自動備份](elasticache-controls.md#elasticache-1) | Security Hub CSPM 已變更此控制項的標題、描述和規則。先前,控制項會使用 [elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) 規則檢查 Redis OSS 叢集和所有複寫群組。控制項的標題為:*ElastiCache (Redis OSS) 叢集應該啟用自動備份*。 除了 Redis OSS 叢集和所有複寫群組之外,此控制項現在會使用已啟用 [elasticache-automatic-backup-check-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-automatic-backup-check-enabled.html) 規則來檢查 Valkey 叢集。新的標題和描述反映控制項會檢查這兩種類型的叢集。 | | 2025 年 10 月 5 日 | [【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新](opensearch-controls.md#opensearch-10) | 如果 Amazon OpenSearch Service 網域沒有可用的軟體更新,且更新狀態不符合資格,則此控制項的規則已更新,也會產生`PASSED`問題清單。先前,只有在 OpenSearch 網域沒有可用的軟體更新且更新狀態完成時,此控制項才會產生`PASSED`調查結果。 | | 2025 年 9 月 24 日 | 【Redshift.9】 Redshift 叢集不應使用預設資料庫名稱 【RedshiftServerless.7] Redshift Serverless 命名空間不應使用預設資料庫名稱 | Security Hub CSPM 已淘汰這些控制項,並將其從所有適用標準中移除。Security Hub CSPM 已淘汰這些控制項,因為 Amazon Redshift 固有限制導致無法有效修復控制項的問題`FAILED`清單。 先前,適用於[AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)和 [NIST SP 800-53 修訂版 5 標準的控制項。](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)Redshift.9 控制項也套用至[AWS Control Tower 服務受管標準](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。 | | 2025 年 9 月 9 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 不再支援 `nodejs18.x` 做為此控制項的參數值。 AWS Lambda 不再支援 Node.js 18 執行時間。 | | 2025 年 8 月 13 日 | [【SageMaker.5] SageMaker 模型應該啟用網路隔離](sagemaker-controls.md#sagemaker-5) | Security Hub CSPM 變更了此控制項的標題和描述。新的標題和描述更準確地反映控制項會檢查 Amazon SageMaker AI 託管模型`EnableNetworkIsolation`參數的設定。先前,此控制項的標題為:*SageMaker models should block inbound traffic*。 | | 2025 年 8 月 13 日 | [【EFS.6】 EFS 掛載目標不應與在啟動時指派公有 IP 地址的子網路相關聯](efs-controls.md#efs-6) | Security Hub CSPM 變更了此控制項的標題和描述。新的標題和描述更精確地反映控制項執行之檢查的範圍和性質。先前,此控制項的標題為:*EFS mount targets should not be associated with a public subnet*。 | | 2025 年 7 月 24 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | 此控制項會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。Security Hub CSPM 將此控制項的參數值從 變更為 `1.30` `1.31`。Amazon EKS 中 Kubernetes 1.30 版的標準支援已於 2025 年 7 月 23 日結束。 | | 2025 年 7 月 23 日 | [【EC2.173】 具有啟動參數的 EC2 Spot 機群請求應啟用已連接 EBS 磁碟區的加密](ec2-controls.md#ec2-173) | Security Hub CSPM 已變更此控制項的標題。新標題更準確地反映控制項只會檢查指定啟動參數的 Amazon EC2 Spot Fleet 請求。先前,此控制項的標題為:*EC2 Spot Fleet requests should enable encryption for attached EBS volumes*。 | | 2025 年 6 月 30 日 | [【IAM.13】 確保 IAM 密碼政策至少需要一個符號](iam-controls.md#iam-13) | Security Hub CSPM 從 [PCI DSS v4.0.1 標準](pci-standard.md)中移除此控制項。PCI DSS 4.0.1 版並未明確要求在密碼中使用符號。 | | 2025 年 6 月 30 日 | [【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼](iam-controls.md#iam-17) | Security Hub CSPM 從 [NIST SP 800-171 修訂版 2 標準](standards-reference-nist-800-171.md)中移除此控制項。NIST SP 800-171 修訂版 2 未明確要求密碼過期期間為 90 天或更少。 | | 2025 年 6 月 30 日 | [【RDS.16】 Aurora 資料庫叢集應設定為將標籤複製到資料庫快照](rds-controls.md#rds-16) | Security Hub CSPM 已變更此控制項的標題。新標題更準確地反映控制項只會檢查 Amazon Aurora 資料庫叢集。先前,此控制項的標題為:*RDS DB clusters should be configured to copy tags to snapshots*。 | | 2025 年 6 月 30 日 | [【SageMaker.8] SageMaker 筆記本執行個體應在支援的平台上執行](sagemaker-controls.md#sagemaker-8) | 此控制項會根據筆記本執行個體指定的平台識別符,檢查 Amazon SageMaker AI 筆記本執行個體是否設定為在支援的平台上執行。Security Hub CSPM 不再支援 `notebook-al2-v1`和 `notebook-al2-v2`做為此控制項的參數值。在這些平台上執行的筆記本執行個體已於 2025 年 6 月 30 日終止支援。 | | 2025 年 5 月 30 日 | [【IAM.10】 IAM 使用者的密碼政策應具有強大的組態](iam-controls.md#iam-10) | Security Hub CSPM 從 [PCI DSS v4.0.1 標準](pci-standard.md)中移除此控制項。此控制項會檢查 IAM 使用者的帳戶密碼政策是否符合最低要求,包括至少 7 個字元的密碼長度。PCI DSS v4.0.1 現在需要密碼至少 8 個字元。控制項會繼續套用至具有不同密碼要求的 PCI DSS v3.2.1 標準。 若要根據 PCI DSS v4.0.1 要求評估帳戶密碼政策,您可以使用 [IAM.7 控制項。](iam-controls.md#iam-7)此控制項需要密碼至少 8 個字元。它也支援密碼長度和其他參數的自訂值。IAM.7 控制項是 Security Hub CSPM 中 PCI DSS v4.0.1 標準的一部分。 | | 2025 年 5 月 8 日 | 【RDS.46】 RDS 資料庫執行個體不應部署在具有網際網路閘道路由的公有子網路中 | Security Hub CSPM 完全復原了 RDS.46 控制項的版本。 AWS 區域先前,此控制項支援 AWS 基礎安全最佳實務 (FSBP) 標準。 | | 2025 年 4 月 7 日 | [【ELB.17】 具有接聽程式的應用程式和網路負載平衡器應使用建議的安全政策](elb-controls.md#elb-17) | 此控制項會檢查 Application Load Balancer 的 HTTPS 接聽程式或 Network Load Balancer 的 TLS 接聽程式是否設定為使用建議的安全政策來加密傳輸中的資料。Security Hub CSPM 現在支援此控制項的兩個額外參數值: `ELBSecurityPolicy-TLS13-1-2-Res-2021-06`和 `ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04`。 | | 2025 年 3 月 27 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 現在支援 `ruby3.4`做為此控制項的參數值。 AWS Lambda 已新增此執行時間的支援。 | | 2025 年 3 月 26 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。針對 `oldestVersionSupported` 參數,Security Hub CSPM 會將值從 變更為 `1.29` `1.30`。最舊支援的 Kubernetes 版本現在為 `1.30`。 | | 2025 年 3 月 10 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | 此控制項會檢查 AWS Lambda 函數的執行時間設定是否符合每種語言中支援執行時間的預期值。Security Hub CSPM 不再支援 `dotnet6`和 `python3.8`作為此 control 的參數值。 AWS Lambda 不再支援這些執行時間。 | | 2025 年 3 月 7 日 | [【RDS.18】 RDS 執行個體應部署在 VPC 中](rds-controls.md#rds-18) | Security Hub CSPM 已從 AWS 基礎安全最佳實務標準和自動檢查 NIST SP 800-53 修訂版 5 要求中移除此控制項。由於 Amazon EC2-Classic 網路已淘汰,因此 Amazon Relational Database Service (Amazon RDS) 執行個體無法再部署在 VPC 外部。控制項仍是[AWS Control Tower 服務受管標準](service-managed-standard-aws-control-tower.md)的一部分。 | | 2025 年 1 月 10 日 | 【Glue.2】 AWS Glue 任務應該已啟用記錄 | Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。 | | 2024 年 12 月 20 日 | EC2.61 到 EC2.169 | Security Hub CSPM 透過 EC2.169 控制項復原 EC2.61 的版本。 | | 2024 年 12 月 12 日 | [【RDS.23】 RDS 執行個體不應使用資料庫引擎預設連接埠](rds-controls.md#rds-23) | RDS.23 會檢查 Amazon Relational Database Service (Amazon RDS) 叢集或執行個體是否使用資料庫引擎預設連接埠以外的連接埠。我們會更新控制項,讓基礎 AWS Config 規則NOT\$1APPLICABLE針對屬於叢集的 RDS 執行個體傳回 的結果。 | | 2024 年 12 月 2 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 nodejs22.x做為參數。 | | 2024 年 11 月 26 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本現在是 1.29。 | | 2024 年 11 月 20 日 | [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1) | Config.1 會檢查 AWS Config 是否已啟用、使用 服務連結角色,並記錄已啟用控制項的資源。Security Hub CSPM 將此控制項的嚴重性從 提高`MEDIUM`為 `CRITICAL`。Security Hub CSPM 也為失敗的 Config.1 調查結果新增[了新的狀態碼和狀態原因](controls-findings-create-update.md#control-findings-asff-compliance)。這些變更反映 Config.1 對 Security Hub CSPM 控制項操作的重要性。如果您已停用 AWS Config 或 資源錄製,則可能會收到不正確的控制問題清單。 若要接收 Config.1 的問題`PASSED`清單,請開啟對應至已啟用 Security Hub CSPM 控制項之資源的資源記錄,並停用組織中不需要的控制項。如需 AWS Config 設定 Security Hub CSPM 的說明,請參閱 [啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。如需 Security Hub CSPM 控制項及其對應資源的清單,請參閱 [控制問題清單所需的 AWS Config 資源](controls-config-resources.md)。 | | 2024 年 11 月 12 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 python3.13做為參數。 | | 2024 年 10 月 11 日 | ElastiCache 控制項 | 已變更 ElastiCache.3,ElastiCache.4,ElastiCache.5, 和 ElastiCache.7. 標題不再提及 Redis OSS,因為控制項也適用於 ElastiCache for Valkey。 | | 2024 年 9 月 27 日 | [【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭](elb-controls.md#elb-4) | 從 Application Load Balancer 變更的控制標題應設定為捨棄 http 標頭至 Application Load Balancer 應設定為捨棄無效的 http 標頭。 | | 2024 年 8 月 19 日 | DMS.12 和 ElastiCache 控制項的標題變更 | 透過 ElastiCache.7 變更 DMS.12 和 ElastiCache.1 ElastiCache.7. 我們變更了這些標題,以反映 Amazon ElastiCache (Redis OSS) 服務中的名稱變更。 | | 2024 年 8 月 15 日 | [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1) | Config.1 會檢查 AWS Config 是否已啟用、使用 服務連結角色,並記錄已啟用控制項的資源。Security Hub CSPM 新增了名為 的自訂控制參數includeConfigServiceLinkedRoleCheck。透過將此參數設定為 false,您可以選擇不檢查 是否 AWS Config 使用服務連結角色。 | | 2024 年 7 月 31 日 | [【IoT.1] AWS IoT Device Defender 安全設定檔應加上標籤](iot-controls.md#iot-1) | 從AWS IoT Core 安全性描述檔變更的控制標題應標記為AWS IoT Device Defender 安全性描述檔應標記。 | | 2024 年 7 月 29 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 nodejs16.x 做為參數。 | | 2024 年 7 月 29 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本是 1.28。 | | 2024 年 6 月 25 日 | [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1) | 此控制項會檢查 AWS Config 是否已啟用、 是否使用服務連結角色,以及記錄已啟用控制項的資源。Security Hub CSPM 已更新控制項標題,以反映控制項評估的內容。 | | 2024 年 6 月 14 日 | [【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs](rds-controls.md#rds-34) | 此控制項會檢查 Amazon Aurora MySQL 資料庫叢集是否已設定為將稽核日誌發佈至 Amazon CloudWatch Logs。Security Hub CSPM 已更新控制項,因此不會產生 Aurora Serverless v1 資料庫叢集的問題清單。 | | 2024 年 6 月 11 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。最舊支援的版本為 1.27。 | | 2024 年 6 月 10 日 | [【Config.1】 AWS Config 應啟用並使用服務連結角色進行資源記錄](config-controls.md#config-1) | 此控制項會檢查 AWS Config 是否已啟用,以及是否開啟 AWS Config 資源記錄。先前,只有在您為所有資源設定記錄時,控制項才會產生PASSED調查結果。Security Hub CSPM 已更新控制項,以在啟用控制項所需的資源開啟記錄時產生PASSED問題清單。控制項也已更新,以檢查是否使用 AWS Config 服務連結角色,這可提供記錄必要資源的許可。 | | 2024 年 5 月 8 日 | [【S3.20】 S3 一般用途儲存貯體應啟用 MFA 刪除](s3-controls.md#s3-20) | 此控制項會檢查 Amazon S3 一般用途版本控制的儲存貯體是否已啟用多重要素驗證 (MFA) 刪除。在過去,控制項會針對具有生命週期組態的儲存貯體產生FAILED調查結果。不過,無法在具有生命週期組態的儲存貯體上啟用具有版本控制的 MFA 刪除。Security Hub CSPM 已更新控制項,對具有生命週期組態的儲存貯體不會產生問題清單。控制項描述已更新,以反映目前的行為。 | | 2024 年 5 月 2 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | Security Hub CSPM 更新了 Amazon EKS 叢集可執行的最舊支援 Kubernetes 版本,以產生傳遞的問題清單。目前最舊支援的版本是 Kubernetes 1.26。 | | 2024 年 4 月 30 日 | [【CloudTrail.3] 至少應啟用一個 CloudTrail 追蹤](cloudtrail-controls.md#cloudtrail-3) | 應將 CloudTrail 的控制標題變更為至少應啟用一個 CloudTrail 追蹤。如果 AWS 帳戶 至少已啟用一個 CloudTrail 追蹤,則此控制項目前會產生PASSED問題清單。已變更標題和描述,以準確反映目前的行為。 | | 2024 年 4 月 29 日 | [【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查](autoscaling-controls.md#autoscaling-1) | 與 Classic Load Balancer 相關聯的 Auto Scaling 群組變更控制標題應使用負載平衡器運作狀態檢查,而與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查。此控制項目前評估 Application、Gateway、Network 和 Classic Load Balancer。已變更標題和描述,以準確反映目前的行為。 | | 2024 年 4 月 19 日 | [【CloudTrail.1] CloudTrail 應該啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤](cloudtrail-controls.md#cloudtrail-1) | 控制項會檢查 AWS CloudTrail 是否已啟用並設定至少一個包含讀取和寫入管理事件的多區域線索。先前,當帳戶已啟用 CloudTrail 並設定至少一個多區域追蹤時,即使沒有擷取讀取和寫入管理事件,控制項仍錯誤地產生PASSED調查結果。控制項現在只會在啟用 CloudTrail 並設定至少一個擷取讀取和寫入管理事件的多區域線索時產生PASSED調查結果。 | | 2024 年 4 月 10 日 | 【Athena.1】 Athena 工作群組應靜態加密 | Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。Athena 工作群組會將日誌傳送至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。Amazon S3 現在會在新的和現有的 S3 儲存貯體上使用 S3 受管金鑰 (SS3-S3) 提供預設加密。 | | 2024 年 4 月 10 日 | 【AutoScaling.4] Auto Scaling 群組啟動組態的中繼資料回應跳轉限制不應大於 1 | Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的中繼資料回應跳轉限制取決於工作負載。 | | 2024 年 4 月 10 日 | 【CloudFormation.1] CloudFormation 堆疊應與 Simple Notification Service (SNS) 整合 | Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。將 AWS CloudFormation 堆疊與 Amazon SNS 主題整合不再是安全最佳實務。雖然整合重要的 CloudFormation 堆疊與 SNS 主題可能很有用,但並非所有堆疊都需要。 | | 2024 年 4 月 10 日 | 【CodeBuild.5] CodeBuild 專案環境不應啟用特權模式 | Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。在 CodeBuild 專案中啟用特權模式不會對客戶環境造成額外的風險。 | | 2024 年 4 月 10 日 | 【IAM.20】 避免使用根使用者 | Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。此控制項的目的涵蓋於另一個控制項 [【CloudWatch.1] 應該存在日誌指標篩選條件和警示以使用「根」使用者](cloudwatch-controls.md#cloudwatch-1)。 | | 2024 年 4 月 10 日 | 【SNS.2】 應針對傳送至主題的通知訊息啟用傳遞狀態記錄 | Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。記錄 SNS 主題的交付狀態不再是安全最佳實務。雖然重要 SNS 主題的記錄傳遞狀態可能很有用,但並非所有主題都需要這樣做。 | | 2024 年 4 月 10 日 | [【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態](s3-controls.md#s3-10) | Security Hub CSPM 已從 AWS 基礎安全最佳實務和服務受管標準中移除此控制項: AWS Control Tower。此控制項的目的由另外兩個控制項涵蓋: [【S3.13】 S3 一般用途儲存貯體應具有生命週期組態](s3-controls.md#s3-13)和 [【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制](s3-controls.md#s3-14)。此控制項仍然是 NIST SP 800-53 修訂版 5 的一部分。 | | 2024 年 4 月 10 日 | [【S3.11】 S3 一般用途儲存貯體應啟用事件通知](s3-controls.md#s3-11) | Security Hub CSPM 已從 AWS 基礎安全最佳實務和服務受管標準中移除此控制項: AWS Control Tower。雖然在某些情況下S3 儲存貯體的事件通知很有用,但這不是通用的安全最佳實務。此控制項仍然是 NIST SP 800-53 修訂版 5 的一部分。 | | 2024 年 4 月 10 日 | [【SNS.1】 SNS 主題應使用 進行靜態加密 AWS KMS](sns-controls.md#sns-1) | Security Hub CSPM 已從 AWS 基礎安全最佳實務和服務受管標準中移除此控制項: AWS Control Tower。根據預設,SNS 會使用磁碟加密來加密靜態主題。如需詳細資訊,請參閱[資料加密](https://docs.aws.amazon.com/sns/latest/dg/sns-data-encryption.html)。不再建議使用 AWS KMS 加密主題做為安全最佳實務。此控制項仍然是 NIST SP 800-53 修訂版 5 的一部分。 | | 2024 年 4 月 8 日 | [【ELB.6】 應用程式、閘道和 Network Load Balancer 應啟用刪除保護](elb-controls.md#elb-6) | 從 Application Load Balancer 刪除保護變更的控制標題應啟用至 Application、Gateway 和 Network Load Balancer 應啟用刪除保護。此控制項目前評估 Application、Gateway 和 Network Load Balancer。已變更標題和描述,以準確反映目前的行為。 | | 2024 年 3 月 22 日 | [【Opensearch.8】 應使用最新的 TLS 安全政策加密 OpenSearch 網域的連線](opensearch-controls.md#opensearch-8) | 從連線至 OpenSearch 網域變更控制標題應使用 TLS 1.2 加密為連線至 OpenSearch 網域應使用最新的 TLS 安全政策加密。先前,控制項只會檢查 OpenSearch 網域的連線是否使用 TLS 1.2。如果使用最新的 TLS 安全政策加密 OpenSearch 網域,控制項現在會產生PASSED問題清單。控制項標題和描述已更新,以反映目前的行為。 | | 2024 年 3 月 22 日 | [【ES.8】 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線](es-controls.md#es-8) | 從連線至 Elasticsearch 網域變更的控制標題應使用 TLS 1.2 加密為連線至 Elasticsearch 網域,應使用最新的 TLS 安全政策加密。先前,控制項只會檢查與 Elasticsearch 網域的連線是否使用 TLS 1.2。如果使用最新的 TLS 安全政策加密 Elasticsearch 網域,控制項現在會產生PASSED問題清單。控制項標題和描述已更新,以反映目前的行為。 | | 2024 年 3 月 12 日 | [【S3.1】 S3 一般用途儲存貯體應啟用封鎖公開存取設定](s3-controls.md#s3-1) | 從 S3 封鎖公開存取設定變更為 S3 一般用途儲存貯體時,應該啟用封鎖公開存取設定。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.2】 S3 一般用途儲存貯體應封鎖公開讀取存取](s3-controls.md#s3-2) | 從 S3 儲存貯體變更的標題應禁止公開讀取存取 S3 一般用途儲存貯體應封鎖公開讀取存取。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.3】 S3 一般用途儲存貯體應封鎖公有寫入存取](s3-controls.md#s3-3) | 從 S3 儲存貯體變更的標題應禁止公開寫入存取 S3 一般用途儲存貯體應封鎖公開寫入存取。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.5】 S3 一般用途儲存貯體應要求請求使用 SSL](s3-controls.md#s3-5) | 從 S3 儲存貯體變更的標題應要求請求使用 Secure Socket Layer 到 S3 一般用途儲存貯體應要求請求使用 SSL。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶](s3-controls.md#s3-6) | 從授予其他儲存貯體政策 AWS 帳戶 之 S3 許可變更的標題,應限制為 S3 一般用途儲存貯體政策應限制對其他政策的存取 AWS 帳戶。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫](s3-controls.md#s3-7) | 從 S3 儲存貯體變更的標題應啟用跨區域複寫至 S3 一般用途儲存貯體應使用跨區域複寫。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫](s3-controls.md#s3-7) | 從 S3 儲存貯體變更的標題應啟用跨區域複寫至 S3 一般用途儲存貯體應使用跨區域複寫。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.8】 S3 一般用途儲存貯體應封鎖公開存取](s3-controls.md#s3-8) | 應該在儲存貯體層級將 S3 封鎖公開存取設定的標題變更為 S3 一般用途儲存貯體應該封鎖公開存取。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.9】 S3 一般用途儲存貯體應啟用伺服器存取記錄](s3-controls.md#s3-9) | 應針對 S3 一般用途儲存貯體啟用從 S3 儲存貯體伺服器存取記錄變更的標題至伺服器存取記錄S3。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.10】 已啟用版本控制的 S3 一般用途儲存貯體應該具有生命週期組態](s3-controls.md#s3-10) | 從已啟用版本控制的 S3 儲存貯體變更標題時,生命週期政策應設定為已啟用版本控制的 S3 一般用途儲存貯體時,應具有生命週期組態。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.11】 S3 一般用途儲存貯體應啟用事件通知](s3-controls.md#s3-11) | 從 S3 儲存貯體變更的標題應啟用事件通知至 S3 一般用途儲存貯體應啟用事件通知。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.12】 ACLs 不應用於管理使用者對 S3 一般用途儲存貯體的存取](s3-controls.md#s3-12) | 來自 S3 存取控制清單 (ACLs) 的變更標題不應用於管理使用者對 ACL 的存取不應用於管理使用者對 S3 一般用途儲存貯體的存取 ACLs。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.13】 S3 一般用途儲存貯體應具有生命週期組態](s3-controls.md#s3-13) | 從 S3 儲存貯體變更的標題應該將生命週期政策設定為 S3 一般用途儲存貯體應該具有生命週期組態。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.14】 S3 一般用途儲存貯體應該已啟用版本控制](s3-controls.md#s3-14) | 從 S3 儲存貯體變更的標題應該使用版本控制到 S3 一般用途儲存貯體應該已啟用版本控制。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.15】 S3 一般用途儲存貯體應啟用物件鎖定](s3-controls.md#s3-15) | 從 S3 儲存貯體變更的標題應設定為使用物件鎖定到 S3 一般用途儲存貯體應啟用物件鎖定。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 12 日 | [【S3.17】 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys](s3-controls.md#s3-17) | 從 S3 儲存貯體變更的標題應使用 靜態加密 AWS KMS keys為 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys。Security Hub CSPM 已變更標題以考慮新的 S3 儲存貯體類型。 | | 2024 年 3 月 7 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 nodejs20.x和 ruby3.3做為參數。 | | 2024 年 2 月 22 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 dotnet8做為參數。 | | 2024 年 2 月 5 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | Security Hub CSPM 更新了 Amazon EKS 叢集可執行的最舊支援 Kubernetes 版本,以產生傳遞的問題清單。目前最舊支援的版本是 Kubernetes 1.25。 | | 2024 年 1 月 10 日 | [【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感登入資料](codebuild-controls.md#codebuild-1) | 從 CodeBuild GitHub 或 Bitbucket 來源儲存庫 URLs 變更的標題應使用 OAuth 至 CodeBuild Bitbucket 來源儲存庫 URLs不應包含敏感憑證。Security Hub CSPM 已移除提及 OAuth,因為其他連線方法也可能是安全的。Security Hub CSPM 已移除提及 GitHub,因為在 GitHub 來源儲存庫 URLs 中無法再擁有個人存取字符或使用者名稱和密碼。 | | 2024 年 1 月 8 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 go1.x和 java8做為參數,因為這些是淘汰的執行時間。 | | 2023 年 12 月 29 日 | [【RDS.8】 RDS 資料庫執行個體應啟用刪除保護](rds-controls.md#rds-8) | RDS.8 會檢查使用其中一個受支援資料庫引擎的 Amazon RDS 資料庫執行個體是否已啟用刪除保護。Security Hub CSPM 現在支援 custom-oracle-ee、 oracle-ee-cdb和 oracle-se2-cdb做為資料庫引擎。 | | 2023 年 12 月 22 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 java21和 python3.12做為參數。Security Hub CSPM 不再支援 ruby2.7 做為參數。 | | 2023 年 12 月 15 日 | [【CloudFront.1] CloudFront 分佈應設定預設根物件](cloudfront-controls.md#cloudfront-1) | CloudFront.1 會檢查 Amazon CloudFront 分佈是否已設定預設根物件。Security Hub CSPM 將此控制項的嚴重性從 CRITICAL 降低為 HIGH,因為新增預設根物件是取決於使用者應用程式和特定需求的建議。 | | 2023 年 12 月 5 日 | [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22](ec2-controls.md#ec2-13) | 安全群組的變更控制標題不應允許從 0.0.0.0/0 傳入連接埠 22 到安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22。 | | 2023 年 12 月 5 日 | [【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389](ec2-controls.md#ec2-14) | 變更控制標題自 確保沒有安全群組允許從 0.0.0.0/0 傳入連接埠 3389 到安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389。 | | 2023 年 12 月 5 日 | [【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs](rds-controls.md#rds-9) | 從資料庫記錄變更的控制標題應啟用至 RDS 資料庫執行個體,並將日誌發佈至 CloudWatch Logs。Security Hub CSPM 已識別此控制項只會檢查日誌是否發佈至 Amazon CloudWatch Logs,而不會檢查是否啟用 RDS 日誌。如果 RDS 資料庫執行個體設定為將日誌發佈至 CloudWatch Logs,控制項會產生PASSED問題清單。控制項標題已更新,以反映目前的行為。 | | 2023 年 12 月 5 日 | [【EKS.8】 EKS 叢集應該啟用稽核記錄](eks-controls.md#eks-8) | 此控制項會檢查 Amazon EKS 叢集是否已啟用稽核記錄。Security Hub CSPM 用來評估此控制項的 AWS Config 規則從 變更為 eks-cluster-logging-enabled eks-cluster-log-enabled。 | | 2023 年 11 月 17 日 | [【EC2.19】 安全群組不應允許無限制存取高風險的連接埠](ec2-controls.md#ec2-19) | EC2.19 會檢查安全群組的無限制傳入流量是否可供被視為高風險的指定連接埠存取。Security Hub CSPM 更新了此控制項,以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。 | | 2023 年 11 月 16 日 | [【CloudWatch.15] CloudWatch 警示應已設定指定的動作](cloudwatch-controls.md#cloudwatch-15) | 從 CloudWatch 警示變更控制標題時,應針對 ALARM 狀態設定動作至 CloudWatch 警示時,應已設定指定的動作。 | | 2023 年 11 月 16 日 | [【CloudWatch.16] CloudWatch 日誌群組應保留一段指定的時間](cloudwatch-controls.md#cloudwatch-16) | 從 CloudWatch 日誌群組變更的控制標題應保留至少 1 年,而 CloudWatch 日誌群組應保留一段指定的時間。 | | 2023 年 11 月 16 日 | [【Lambda.5】 VPC Lambda 函數應該在多個可用區域中操作](lambda-controls.md#lambda-5) | 從 VPC Lambda 函數變更的控制標題應該在多個可用區域中操作,而 VPC Lambda 函數應該在多個可用區域中操作。 | | 2023 年 11 月 16 日 | [【AppSync.2] AWS AppSync 應該啟用欄位層級記錄](appsync-controls.md#appsync-2) | 從 變更的控制標題AWS AppSync 應開啟請求層級和欄位層級記錄,AWS AppSync 且應啟用欄位層級記錄。 | | 2023 年 11 月 16 日 | [【EMR.1】 Amazon EMR 叢集主節點不應具有公有 IP 地址](emr-controls.md#emr-1) | 從 Amazon Elastic MapReduce 叢集主節點變更的控制標題不應具有 Amazon EMR 叢集主節點的公有 IP 地址,不應具有公有 IP 地址。 | | 2023 年 11 月 16 日 | [【Opensearch.2】 不應公開存取 OpenSearch 網域](opensearch-controls.md#opensearch-2) | 從 OpenSearch 網域變更的控制標題應位於 VPC 中,不應公開存取 OpenSearch 網域。 | | 2023 年 11 月 16 日 | [【ES.2】 不應公開存取 Elasticsearch 網域](es-controls.md#es-2) | 從 Elasticsearch 網域變更的控制標題應位於 VPC 中,不應公開存取 Elasticsearch 網域。 | | 2023 年 10 月 31 日 | [【ES.4】 應啟用記錄至 CloudWatch Logs 的 Elasticsearch 網域錯誤](es-controls.md#es-4) | ES.4 會檢查 Elasticsearch 網域是否設定為將錯誤日誌傳送至 Amazon CloudWatch Logs。控制項先前為 Elasticsearch 網域產生了一個PASSED問題清單,該網域已將任何日誌設定為傳送至 CloudWatch Logs。Security Hub CSPM 已更新控制項,僅針對設定為將錯誤日誌傳送至 CloudWatch Logs 的 Elasticsearch 網域產生PASSED調查結果。控制項也已更新,將不支援錯誤日誌的 Elasticsearch 版本排除在評估之外。 | | 2023 年 10 月 16 日 | [【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22](ec2-controls.md#ec2-13) | EC2.13 會檢查安全群組是否允許不受限制的連接埠 22 傳入存取。Security Hub CSPM 更新了此控制項,以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。 | | 2023 年 10 月 16 日 | [【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389](ec2-controls.md#ec2-14) | EC2.14 會檢查安全群組是否允許不受限制的連接埠 3389 傳入存取。Security Hub CSPM 更新了此控制項,以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。 | | 2023 年 10 月 16 日 | [【EC2.18】 安全群組應僅允許授權連接埠不受限制的傳入流量](ec2-controls.md#ec2-18) | EC2.18 會檢查使用中的安全群組是否允許不受限制的傳入流量。Security Hub CSPM 更新了此控制項,以便在做為安全群組規則的來源提供受管字首清單時將其納入考量。如果字首清單包含字串 '0.0.0.0/0' 或 '::/0',則控制項會產生FAILED調查結果。 | | 2023 年 10 月 16 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 python3.11做為參數。 | | 2023 年 10 月 4 日 | [【S3.7】 S3 一般用途儲存貯體應使用跨區域複寫](s3-controls.md#s3-7) | Security Hub CSPM 新增了 值ReplicationType為 的 參數,CROSS-REGION以確保 S3 儲存貯體已啟用跨區域複寫,而不是啟用相同區域複寫。 | | 2023 年 9 月 27 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | Security Hub CSPM 更新了 Amazon EKS 叢集可執行的最舊支援 Kubernetes 版本,以產生傳遞的問題清單。目前最舊支援的版本是 Kubernetes 1.24。 | | 2023 年 9 月 20 日 | 【CloudFront.2] CloudFront 分佈應啟用原始存取身分 | Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。反之,請參閱 [【CloudFront.13] CloudFront 分佈應使用原始存取控制](cloudfront-controls.md#cloudfront-13)。原始存取控制是目前的安全最佳實務。此控制項將在 90 天內從文件中移除。 | | 2023 年 9 月 20 日 | [【EC2.22】 應移除未使用的 Amazon EC2 安全群組](ec2-controls.md#ec2-22) | Security Hub CSPM 已從 AWS 基礎安全最佳實務 (FSBP) 和國家標準技術研究所 (NIST) SP 800-53 修訂版 5 中移除此控制。它仍然是服務受管標準的一部分: AWS Control Tower。如果安全群組連接到 EC2 執行個體或彈性網路介面,此控制項會產生傳遞的問題清單。不過,對於某些使用案例,未連接的安全群組不會構成安全風險。您可以使用其他 EC2 控制項,例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19,來監控您的安全群組。 | | 2023 年 9 月 20 日 | 【EC2.29】 應在 VPC 中啟動 EC2 執行個體 | Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。Amazon EC2 已將 EC2-Classic 執行個體遷移至 VPC。此控制項將在 90 天內從文件中移除。 | | 2023 年 9 月 20 日 | [S3.4] S3 儲存貯體應啟用伺服器端加密 | Security Hub CSPM 已淘汰此控制項,並將其從所有標準中移除。Amazon S3 現在會在新的和現有的 S3 儲存貯體上使用 S3 受管金鑰 (SS3-S3) 提供預設加密。使用 SS3-S3 或 SS3-KMS 伺服器端加密的現有儲存貯體的加密設定保持不變。此控制項將在 90 天內從文件中移除。 | | 2023 年 9 月 14 日 | [【EC2.2】 VPC 預設安全群組不應允許傳入或傳出流量](ec2-controls.md#ec2-2) | 來自 VPC 預設安全群組的變更控制標題不應允許傳入和傳出至 VPC 預設安全群組的流量不應允許傳入或傳出流量。 | | 2023 年 9 月 14 日 | [【IAM.9】 應為根使用者啟用 MFA](iam-controls.md#iam-9) | 應該為根使用者啟用從虛擬 MFA 到 MFA 的變更控制標題。 | | 2023 年 9 月 14 日 | [【RDS.19】 應為關鍵叢集事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-19) | 應將關鍵叢集事件的 RDS 事件通知訂閱變更控制標題設定為關鍵叢集事件的現有 RDS 事件通知訂閱。 | | 2023 年 9 月 14 日 | [【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱](rds-controls.md#rds-20) | 應將關鍵資料庫執行個體事件的 RDS 事件通知訂閱變更控制標題,設定為關鍵資料庫執行個體事件的現有 RDS 事件通知訂閱。 | | 2023 年 9 月 14 日 | [【WAF.2】 AWS WAF 傳統區域規則應至少有一個條件](waf-controls.md#waf-2) | 從 WAF 區域規則變更控制標題應至少有一個條件變更為AWS WAF 傳統區域規則應至少有一個條件。 | | 2023 年 9 月 14 日 | [【WAF.3】 AWS WAF 傳統區域規則群組應至少有一個規則](waf-controls.md#waf-3) | 從 WAF 區域規則群組變更控制標題時,至少應有一個規則變更為 AWS WAF Classic 區域規則群組時,至少應有一個規則。 | | 2023 年 9 月 14 日 | [【WAF.4】 AWS WAF 傳統區域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-4) | 從 WAF 區域 Web ACL 變更的控制項標題應具有至少一個規則或規則群組,而 AWS WAF Classic 區域 Web ACLs 應具有至少一個規則或規則群組。 | | 2023 年 9 月 14 日 | [【WAF.6】 AWS WAF 傳統全域規則應至少有一個條件](waf-controls.md#waf-6) | 從 WAF 全域規則變更控制標題應至少有一個條件變更為 AWS WAF Classic 全域規則應至少有一個條件。 | | 2023 年 9 月 14 日 | [【WAF.7】 AWS WAF 傳統全域規則群組應至少有一個規則](waf-controls.md#waf-7) | 將控制項標題從 WAF 全域規則群組變更為 Classic 全域規則群組時,AWS WAF 至少應有一個規則。 | | 2023 年 9 月 14 日 | [【WAF.8】 AWS WAF 傳統全域 Web ACLs 應至少有一個規則或規則群組](waf-controls.md#waf-8) | 從 WAF 全域 Web ACL 變更控制標題應至少有一個規則或規則群組,變更為 AWS WAF Classic 全域 Web ACLs 應至少有一個規則或規則群組。 | | 2023 年 9 月 14 日 | [【WAF.10】 AWS WAF Web ACLs應至少有一個規則或規則群組](waf-controls.md#waf-10) | 從 WAFv2 Web ACL 變更的控制標題應該至少有一個規則或規則群組到 AWS WAF Web ACLs 應該至少有一個規則或規則群組。 | | 2023 年 9 月 14 日 | [【WAF.11】應該啟用 AWS WAF Web ACL 記錄](waf-controls.md#waf-11) | AWS WAF應該啟用從 v2 Web ACL 記錄到 AWS WAF Web ACL 記錄的變更控制標題。 | | 2023 年 7 月 20 日 | [S3.4] S3 儲存貯體應啟用伺服器端加密 | S3.4 會檢查 Amazon S3 儲存貯體是否已啟用伺服器端加密,或 S3 儲存貯體政策是否明確拒絕沒有伺服器端加密的PutObject請求。Security Hub CSPM 已更新此控制項,以包含使用 KMS 金鑰 (DSSE-KMS) 的雙層伺服器端加密。當 S3 儲存貯體使用 SSE-S3、SSE-KMS 或 DSSE-KMS 加密時,控制項會產生傳遞的調查結果。 | | 2023 年 7 月 17 日 | [【S3.17】 S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys](s3-controls.md#s3-17) | S3.17 會檢查 Amazon S3 儲存貯體是否使用 加密 AWS KMS key。Security Hub CSPM 已更新此控制項,以包含使用 KMS 金鑰 (DSSE-KMS) 的雙層伺服器端加密。當 S3 儲存貯體使用 SSE-KMS 或 DSSE-KMS 加密時,控制項會產生傳遞的問題清單。 | | 2023 年 6 月 9 日 | [【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行](eks-controls.md#eks-2) | EKS.2 會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。最舊的支援版本現在是 1.23。 | | 2023 年 6 月 9 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 ruby3.2 做為參數。 | | 2023 年 6 月 5 日 | [【APIGateway.5] API Gateway REST API 快取資料應靜態加密](apigateway-controls.md#apigateway-5) | APIGateway.5.checks Amazon API Gateway REST API 階段中的所有方法是否靜態加密。Security Hub CSPM 已更新控制項,僅在對該方法啟用快取時評估特定方法的加密。 | | 2023 年 5 月 18 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 java17 做為參數。 | | 2023 年 5 月 18 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 nodejs12.x 做為參數。 | | 2023 年 4 月 23 日 | [【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行](ecs-controls.md#ecs-10) | ECS.10 會檢查 Amazon ECS Fargate 服務是否正在執行最新的 Fargate 平台版本。客戶可以直接透過 ECS 或使用 CodeDeploy 部署 Amazon ECS。Security Hub CSPM 更新了此控制項,以便在您使用 CodeDeploy 部署 ECS Fargate 服務時產生傳遞的問題清單。 | | 2023 年 4 月 20 日 | [【S3.6】 S3 一般用途儲存貯體政策應限制對其他 的存取 AWS 帳戶](s3-controls.md#s3-6) | S3.6 會檢查 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策是否防止委託人對 S3 儲存貯體中的資源 AWS 帳戶 執行拒絕動作。Security Hub CSPM 已更新控制項,以考慮儲存貯體政策中的條件。 | | 2023 年 4 月 18 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 現在支援 python3.10 做為參數。 | | 2023 年 4 月 18 日 | [【Lambda.2】 Lambda 函數應使用支援的執行時間](lambda-controls.md#lambda-2) | Lambda.2 會檢查執行時間的 AWS Lambda 函數設定是否符合每種語言中支援執行時間設定的預期值。Security Hub CSPM 不再支援 dotnetcore3.1 做為參數。 | | 2023 年 4 月 17 日 | [【RDS.11】 RDS 執行個體應該啟用自動備份](rds-controls.md#rds-11) | RDS.11 會檢查 Amazon RDS 執行個體是否已啟用自動備份,且備份保留期間大於或等於七天。Security Hub CSPM 已更新此控制項,以排除僅供讀取複本的評估,因為並非所有引擎都支援在僅供讀取複本上自動備份。此外,RDS 不提供在建立僅供讀取複本時指定備份保留期的選項。依0預設,會建立備份保留期為 的僅供讀取複本。 |