本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
支付卡產業資料安全標準 (PCI DSS) 是第三方合規架構,提供一組規則和指導方針,以安全地處理信用卡和簽帳金融卡資訊。PCI 安全標準委員會 (SSC) 會建立和更新此架構。
AWS Security Hub 具有 PCI DSS 標準,可協助您遵守此第三方架構。您可以使用此標準來探索處理持卡人資料之 AWS 資源中的安全漏洞。建議您在 中啟用此標準 AWS 帳戶 ,這些標準具有儲存、處理或傳輸持卡人資料或敏感身分驗證資料的資源。PCI SSC 的評估驗證了此標準。
Security Hub 支援 PCI DSS v3.2.1 和 PCI DSS v4.0.1。我們建議您使用 v4.0.1 來掌握最新的安全最佳實務。您可以同時啟用兩個版本的標準。如需啟用標準的指示,請參閱 在 Security Hub 中啟用安全標準。如果您目前使用 v3.2.1,但只想要使用 v4.0.1,請先啟用較新版本,再停用較舊版本。這可防止安全檢查中的差距。如果您使用 Security Hub 與 整合, AWS Organizations 並想要在多個帳戶中批次啟用 v4.0.1,我們建議您使用中央組態來執行此操作。
以下各節顯示哪些控制項適用於 PCI DSS v3.2.1 和 PCI DSS v4.0.1。
適用於 PCI DSS v3.2.1 的控制項
【AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢查
[CloudTrail.2] CloudTrail 應啟用靜態加密
【CloudTrail.3] 至少應啟用一個 CloudTrail 追蹤
【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證
【CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch Logs 整合
【CloudWatch.1] 日誌指標篩選條件和警示應存在,以供「根」使用者的使用
【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感憑證
【CodeBuild.2] CodeBuild 專案環境變數不應包含純文字登入資料
【Config.1】 AWS Config 應啟用,並使用服務連結角色進行資源記錄
【DMS.1】 Database Migration Service 複寫執行個體不應為公有
【EC2.6】 應在所有 VPC 中啟用 VPCs 流程記錄
【EC2.12】 應移除未使用的 Amazon EC2 EIPs
【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22
【ELB.1】 Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS
【ES.1】 Elasticsearch 網域應該啟用靜態加密
【ES.2】 不應公開存取 Elasticsearch 網域
【IAM.1】 IAM 政策不應允許完整的 "*" 管理權限
【IAM.10】 IAM AWS Config使用者的密碼政策應具有強烈的衝動
【Lambda.3】 Lambda 函數應該位於 VPC 中
【Opensearch.1】 OpenSearch 網域應該啟用靜態加密
【Opensearch.2】 不應公開存取 OpenSearch 網域
【RDS.2】 RDS 資料庫執行個體應禁止公開存取,如 PubliclyAccessible 組態所決定
【Redshift.1】 Amazon Redshift 叢集應禁止公開存取
【S3.5】 S3 一般用途儲存貯體應要求 請求才能使用 SSL
【SageMaker.1] Amazon SageMaker AI 筆記本執行個體不應具有直接網際網路存取
【SSM.1】 Amazon EC2 執行個體應該由 管理 AWS Systems Manager
【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態
【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態
適用於 PCI DSS v4.0.1 的控制項
【ACM.1】 匯入和 ACM 發行的憑證應在指定的期間之後續約
【ACM.2】 ACM 管理的 RSA 憑證應使用至少 2,048 位元的金鑰長度
【APIGateway.9] 應為 API Gateway V2 階段設定存取記錄
【AppSync.2] AWS AppSync 應該啟用欄位層級記錄
【AutoScaling.3] Auto Scaling 群組啟動組態應設定 EC2 執行個體,以要求執行個體中繼資料服務第 2 版 (IMDSv2)
【Autoscaling.5】 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址
【CloudFront.1] CloudFront 分佈應設定預設根物件
【CloudFront.10] CloudFront 分佈不應在節點和自訂原始伺服器之間使用已棄用 SSL 通訊協定
【CloudFront.12] CloudFront 分佈不應指向不存在的 S3 原始伺服器
【CloudFront.3] CloudFront 分佈應要求傳輸中加密
【CloudFront.5] CloudFront 分佈應該已啟用記錄
【CloudFront.6] CloudFront 分佈應該啟用 WAF
【CloudFront.9] CloudFront 分佈應該加密流量到自訂原始伺服器
[CloudTrail.2] CloudTrail 應啟用靜態加密
【CloudTrail.3] 至少應啟用一個 CloudTrail 追蹤
【CloudTrail.4] 應啟用 CloudTrail 日誌檔案驗證
【CloudTrail.6] 確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取
【CloudTrail.7] 確定 CloudTrail S3 儲存貯體上已啟用 S3 儲存貯體存取記錄
【CodeBuild.1] CodeBuild Bitbucket 來源儲存庫 URLs 不應包含敏感憑證
【CodeBuild.2] CodeBuild 專案環境變數不應包含純文字登入資料
【CodeBuild.3] CodeBuild S3 日誌應加密
【DMS.1】 Database Migration Service 複寫執行個體不應為公有
【DMS.10】 Neptune 資料庫的 DMS 端點應啟用 IAM 授權
【DMS.11】 MongoDB 的 DMS 端點應啟用身分驗證機制
【DMS.12】 Redis OSS 的 DMS 端點應該已啟用 TLS
【DMS.6】 DMS 複寫執行個體應該啟用自動次要版本升級
【DMS.7】 目標資料庫的 DMS 複寫任務應該已啟用記錄
【DMS.8】 來源資料庫的 DMS 複寫任務應該已啟用記錄
【DocumentDB.2] Amazon DocumentDB 叢集應具有足夠的備份保留期
【DocumentDB.3] Amazon DocumentDB 手動叢集快照不應公開
【DocumentDB.4] Amazon DocumentDB 叢集應將稽核日誌發佈至 CloudWatch Logs
【DynamoDB.7] DynamoDB Accelerator 叢集應在傳輸中加密
【EC2.13】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 22
【EC2.14】 安全群組不應允許從 0.0.0.0/0 或 ::/0 傳入連接埠 3389
【EC2.15】 Amazon EC2 子網路不應自動指派公有 IP 地址
【EC2.170】 EC2 啟動範本應使用執行個體中繼資料服務第 2 版 (IMDSv2)
【EC2.21】 網路 ACLs 不應允許從 0.0.0.0/0 傳入連接埠 22 或連接埠 3389
【EC2.25】 Amazon EC2 啟動範本不應將公有 IPs指派給網路介面
【EC2.51】 EC2 Client VPN 端點應該啟用用戶端連線記錄
【EC2.53】 EC2 安全群組不應允許從 0.0.0.0/0 傳入遠端伺服器管理連接埠
【EC2.54】 EC2 安全群組不應允許從 ::/0 傳入遠端伺服器管理連接埠
【EC2.8】 EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2)
【ECS.10】 ECS Fargate 服務應在最新的 Fargate 平台版本上執行
【ECS.16】 ECS 任務集不應自動指派公有 IP 地址
【ECS.2】 ECS 服務不應自動為其指派公有 IP 地址
【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行
【EKS.3】 EKS 叢集應使用加密的 Kubernetes 秘密
【ElastiCache.2] ElastiCache 叢集應該啟用自動次要版本升級
【ElastiCache.5] ElastiCache 複寫群組應在傳輸中加密
【ElastiCache.6] 較早版本的 ElastiCache (Redis OSS) 複寫群組應該已啟用 Redis OSS AUTH
【ElasticBeanstalk.2] 應啟用 Elastic Beanstalk 受管平台更新
【ElasticBeanstalk.3] Elastic Beanstalk 應將日誌串流到 CloudWatch
【ELB.12】 Application Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式
【ELB.14】 Classic Load Balancer 應設定為防禦性或最嚴格的非同步緩解模式
【ELB.3】 Classic Load Balancer 接聽程式應使用 HTTPS 或 TLS 終止設定
【ELB.4】 Application Load Balancer 應設定為捨棄無效的 http 標頭
【ELB.8】 具有 SSL AWS Config接聽程式的 Classic Load Balancer 應該使用具有強烈追趕的預先定義安全政策
【EMR.1】 Amazon EMR 叢集主要節點不應具有公有 IP 地址
【EMR.2】 應啟用 Amazon EMR 區塊公開存取設定
【ES.2】 不應公開存取 Elasticsearch 網域
【ES.3】 Elasticsearch 網域應該加密節點之間傳送的資料
【ES.5】 Elasticsearch 網域應該啟用稽核記錄
【ES.8】 應使用最新的 TLS 安全政策加密與 Elasticsearch 網域的連線
【EventBridge.3] EventBridge 自訂事件匯流排應連接以資源為基礎的政策
【GuardDuty.10] 應啟用 GuardDuty S3 保護
【GuardDuty.6] 應啟用 GuardDuty Lambda 保護
【GuardDuty.7] 應啟用 GuardDuty EKS 執行期監控
【GuardDuty.9] 應啟用 GuardDuty RDS 保護
【IAM.10】 IAM AWS Config使用者的密碼政策應具有強烈的衝動
【IAM.11】 確保 IAM 密碼政策至少需要一個大寫字母
【IAM.12】 確保 IAM 密碼政策至少需要一個小寫字母
【IAM.17】 確保 IAM 密碼政策在 90 天內過期密碼
【IAM.18】 確保已建立支援角色,以使用 管理事件 支援
【IAM.3】 IAM 使用者的存取金鑰應每 90 天或更短時間輪換一次
[IAM.5] 應為所有擁有主控台密碼的 IAM 使用者啟用 MFA
【Inspector.1】 應啟用 Amazon Inspector EC2 掃描
【Inspector.2】 應啟用 Amazon Inspector ECR 掃描
【Inspector.3】 應啟用 Amazon Inspector Lambda 程式碼掃描
【Inspector.4】 應啟用 Amazon Inspector Lambda 標準掃描
【Lambda.2】 Lambda 函數應使用支援的執行時間
【MQ.2】 ActiveMQ 代理程式應將稽核日誌串流至 CloudWatch
【MQ.3】 Amazon MQ 代理程式應該啟用自動次要版本升級
【MSK.3】 MSK Connect 連接器應在傳輸中加密
【Neptune.2】 Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs
【Neptune.3】 Neptune 資料庫叢集快照不應公開
【Opensearch.10】 OpenSearch 網域應已安裝最新的軟體更新
【Opensearch.5】 OpenSearch 網域應該啟用稽核記錄
【RDS.2】 RDS 資料庫執行個體應禁止公開存取,如 PubliclyAccessible 組態所決定
【RDS.20】 應為關鍵資料庫執行個體事件設定現有的 RDS 事件通知訂閱
【RDS.21】 應為關鍵資料庫參數群組事件設定 RDS 事件通知訂閱
【RDS.22】 應為關鍵資料庫安全群組事件設定 RDS 事件通知訂閱
【RDS.24】 RDS 資料庫叢集應使用自訂管理員使用者名稱
【RDS.25】 RDS 資料庫執行個體應使用自訂管理員使用者名稱
【RDS.34】 Aurora MySQL 資料庫叢集應將稽核日誌發佈至 CloudWatch Logs
【RDS.35】 RDS 資料庫叢集應該啟用自動次要版本升級
【RDS.36】 RDS for PostgreSQL 資料庫執行個體應將日誌發佈至 CloudWatch Logs
【RDS.37】 Aurora PostgreSQL 資料庫叢集應將日誌發佈至 CloudWatch Logs
【RDS.9】 RDS 資料庫執行個體應將日誌發佈至 CloudWatch Logs
【Redshift.1】 Amazon Redshift 叢集應禁止公開存取
【Redshift.15】 Redshift 安全群組應僅允許從受限原始伺服器傳入叢集連接埠
【Redshift.2】 與 Amazon Redshift 叢集的連線應在傳輸中加密
【Redshift.4】 Amazon Redshift 叢集應該啟用稽核記錄
【Route53.2】 Route 53 公有託管區域應記錄 DNS 查詢
【S3.17】 S3 一般用途儲存貯體應該使用 靜態加密 AWS KMS keys
【S3.22】 S3 一般用途儲存貯體應記錄物件層級寫入事件
【S3.23】 S3 一般用途儲存貯體應記錄物件層級讀取事件
【S3.5】 S3 一般用途儲存貯體應要求 請求才能使用 SSL
【SageMaker.1] Amazon SageMaker AI 筆記本執行個體不應具有直接網際網路存取
【SecretsManager.1] Secrets Manager 秘密應該已啟用自動輪換
【SecretsManager.2] 設定為自動輪換的 Secrets Manager 秘密應能成功輪換
【SecretsManager.4] Secrets Manager 秘密應該在指定的天數內輪換
【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態
【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態
【StepFunctions.1] Step Functions 狀態機器應該已開啟記錄
【Transfer.2】 Transfer Family 伺服器不應使用 FTP 通訊協定進行端點連線
【WAF.1】應啟用 AWS WAF 傳統全域 Web ACL 記錄
【WAF.11】應該啟用 AWS WAF Web ACL 記錄
