Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Benchmark der AWS GUS-Stiftungen im Security Hub CSPM
Der Center for Internet Security (CIS) AWS Foundations Benchmark dient als eine Reihe von bewährten Methoden zur Sicherheitskonfiguration für AWS. Diese branchenweit anerkannten Best Practices bieten Ihnen klare step-by-step Implementierungs- und Bewertungsverfahren. Die Kontrollen in diesem Benchmark reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und helfen Ihnen dabei, die spezifischen Systeme zu schützen, die Ihr Unternehmen verwendet.
AWS Security Hub Cloud Security Posture Management (CSPM) unterstützt die Benchmark-Versionen 3.0.0, 1.4.0 und 1.2.0 der CIS AWS Foundations. Auf dieser Seite sind die Sicherheitskontrollen aufgeführt, die jede Version unterstützt. Sie bietet auch einen Vergleich der Versionen.
Benchmark der CIS AWS Foundations Version 3.0.0
Security Hub CSPM unterstützt Version 3.0.0 (v3.0.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet:
-
CIS Benchmark for CIS AWS Foundations Benchmark, v3.0.0, Stufe 1
-
CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v3.0.0, Stufe 2
Kontrollen, die für CIS AWS Foundations Benchmark Version 3.0.0 gelten
[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto
[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben
[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein
[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs
[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein
[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2
[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
[IAM.4] IAM-Root-Benutzerzugriffsschlüssel sollten nicht vorhanden sein
[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen
[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.
[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
[IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess
[IAM.28] IAM Access Analyzer für externen Zugriff für IAM Access Analyzer sollte aktiviert sein
[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein
[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.
[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein
[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein
[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren
[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren
CIS AWS Foundations Benchmark Version 1.4.0
Security Hub CSPM unterstützt Version 1.4.0 (v1.4.0) des CIS Foundations Benchmark. AWS
Kontrollen, die für die Version 1.4.0 von CIS Foundations Benchmark AWS gelten
[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben
[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein
[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden
[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs
[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein
[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen
[IAM.1] IAM-Richtlinien sollten keine vollständigen „*“ administrative privileges in IAM.1
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
[IAM.4] IAM-Root-Benutzerzugriffsschlüssel sollten nicht vorhanden sein
[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen
[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.
[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein
[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.
[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren
[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein
CIS AWS Foundations Benchmark Version 1.2.0
Security Hub CSPM unterstützt Version 1.2.0 (v1.2.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet:
-
CIS Benchmark for CIS AWS Foundations Benchmark, v1.2.0, Stufe 1
-
CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v1.2.0, Stufe 2
Kontrollen, die für CIS AWS Foundations Benchmark Version 1.2.0 gelten
[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben
[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein
[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden
[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs
[EC2.13] Sicherheitsgruppen sollten den Zugang von 0.0.0.0/0 oder „: /0“ oder „: /0“ zu Port 22
[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: /0 zu Port 3389 zulassen
[IAM.1] IAM-Richtlinien sollten keine vollständigen „*“ administrative privileges in IAM.1
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden
[IAM.4] IAM-Root-Benutzerzugriffsschlüssel sollten nicht vorhanden sein
[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen
[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein
[IAM.13] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens ein Symbol erfordert
[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert
[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein
Versionsvergleich für CIS AWS Foundations Benchmark
In diesem Abschnitt werden die Unterschiede zwischen bestimmten Versionen des Center for Internet Security (CIS) AWS Foundations Benchmark — v3.0.0, v1.4.0 und v1.2.0 — zusammengefasst. AWS Security Hub Cloud Security Posture Management (CSPM) unterstützt jede dieser Versionen des CIS AWS Foundations Benchmark. Wir empfehlen jedoch, Version 3.0.0 zu verwenden, um über bewährte Sicherheitsmethoden auf dem Laufenden zu bleiben. Sie können mehrere Versionen des Standards gleichzeitig aktivieren. Informationen zur Aktivierung von Standards finden Sie unterEinen Sicherheitsstandard aktivieren. Wenn Sie ein Upgrade auf Version 3.0.0 durchführen möchten, aktivieren Sie es, bevor Sie eine ältere Version deaktivieren. Dadurch werden Lücken in Ihren Sicherheitsüberprüfungen vermieden. Wenn Sie die Security Hub CSPM-Integration mit verwenden AWS Organizations und v3.0.0 in mehreren Konten stapelweise aktivieren möchten, empfehlen wir die zentrale Konfiguration.
Zuordnung der Kontrollen zu den CIS-Anforderungen in jeder Version
Verstehen Sie, welche Kontrollen jede Version des CIS AWS Foundations Benchmark unterstützt.
Kontroll-ID und Titel | Anforderung für CIS v3.0.0 | CIS v1.4.0-Anforderung | CIS v1.2.0-Anforderung |
---|---|---|---|
[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto |
1.2 |
1.2 |
1.18 |
3.1 |
3.1 |
2.1 |
|
[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben |
3.5 |
3.7 |
2.7 |
[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein |
3.2 |
3.2 |
2.2 |
[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden |
Nicht unterstützt — CIS hat diese Anforderung entfernt |
3.4 |
2.4 |
Nicht unterstützt — CIS hat diese Anforderung entfernt |
3.3 |
2.3 |
|
3.4 |
3.6 |
2.6 |
|
Nicht unterstützt — manuelle Überprüfung |
4.3 |
3.3 |
|
Nicht unterstützt — manuelle Überprüfung |
Nicht unterstützt — manuelle Überprüfung |
3.1 |
|
Nicht unterstützt — manuelle Überprüfung |
Nicht unterstützt — manuelle Überprüfung |
3.2 |
|
Nicht unterstützt — manuelle Überprüfung |
4.4 |
3.4 |
|
Nicht unterstützt — manuelle Überprüfung |
4.5 |
3.5 |
|
Nicht unterstützt — manuelle Überprüfung |
4.6 |
3.6 |
|
Nicht unterstützt — manuelle Überprüfung |
4.7 |
3.7 |
|
Nicht unterstützt — manuelle Überprüfung |
4.8 |
3.8 |
|
Nicht unterstützt — manuelle Überprüfung |
4,9 bis 4,9 |
3.9 |
|
Nicht unterstützt — manuelle Überprüfung |
4.10 |
3,10 |
|
Nicht unterstützt — manuelle Überprüfung |
4.11 |
3,11 |
|
Nicht unterstützt — manuelle Überprüfung |
4.12 |
3,12 |
|
Nicht unterstützt — manuelle Überprüfung |
4.13 |
3.13 |
|
Nicht unterstützt — manuelle Überprüfung |
4.14 |
3,14 |
|
3.3 |
3.5 |
2.5 |
|
5.4 |
5.3 |
4.3 |
|
[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs |
3.7 |
3.9 |
2,9 |
[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein |
2.2.1 |
2.2.1 |
Nicht unterstützt |
[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2 |
5.6 |
Nicht unterstützt |
Nicht unterstützt |
[EC2.13] Sicherheitsgruppen sollten den Zugang von 0.0.0.0/0 oder „: /0“ oder „: /0“ zu Port 22 |
Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3 |
Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3 |
4.1 |
[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: /0 zu Port 3389 zulassen |
Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3 |
Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3 |
4.2 |
[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen |
5.1 |
5.1 |
Nicht unterstützt |
5.2 |
Nicht unterstützt |
Nicht unterstützt |
|
5.3 |
Nicht unterstützt |
Nicht unterstützt |
|
2.4.1 |
Nicht unterstützt |
Nicht unterstützt |
|
[IAM.1] IAM-Richtlinien sollten keine vollständigen „*“ administrative privileges in IAM.1 |
Nicht unterstützt |
1.16 |
1,22 |
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein |
1.15 |
Nicht unterstützt |
1.16 |
[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden |
1.14 |
1.14 |
1.4 |
[IAM.4] IAM-Root-Benutzerzugriffsschlüssel sollten nicht vorhanden sein |
1.4 |
1.4 |
1.12 |
[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen |
1.10 |
1.10 |
1.2 |
[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein. |
1,6 |
1,6 |
1.14 |
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden |
Wird nicht unterstützt — siehe stattdessen [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden |
Nicht unterstützt — siehe [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden stattdessen |
1.3 |
1.5 |
1.5 |
1.13 |
|
Nicht unterstützt — CIS hat diese Anforderung entfernt |
Nicht unterstützt — CIS hat diese Anforderung entfernt |
1.5 |
|
Nicht unterstützt — CIS hat diese Anforderung entfernt |
Nicht unterstützt — CIS hat diese Anforderung entfernt |
1,6 |
|
[IAM.13] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens ein Symbol erfordert |
Nicht unterstützt — CIS hat diese Anforderung entfernt |
Nicht unterstützt — CIS hat diese Anforderung entfernt |
1,7 |
[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert |
Nicht unterstützt — CIS hat diese Anforderung entfernt |
Nicht unterstützt — CIS hat diese Anforderung entfernt |
1.8 |
1.8 |
1.8 |
1.9 |
|
1.9 |
1.9 |
1.10 |
|
Nicht unterstützt — CIS hat diese Anforderung entfernt |
Nicht unterstützt — CIS hat diese Anforderung entfernt |
1.11 |
|
1,17 |
1,17 |
1.2 |
|
Nicht unterstützt — CIS hat diese Anforderung entfernt |
Nicht unterstützt — CIS hat diese Anforderung entfernt |
1.1 |
|
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden |
1.12 |
1.12 |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
[IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden |
1.19 |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess |
1.22 |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
[IAM.28] IAM Access Analyzer für externen Zugriff für IAM Access Analyzer sollte aktiviert sein |
1.20 |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
3.6 |
3.8 |
2.8 |
|
Nicht unterstützt — manuelle Überprüfung |
Nicht unterstützt — manuelle Überprüfung |
Nicht unterstützt — manuelle Überprüfung |
|
2.3.3 |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
|
[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein. |
2.3.1 |
2.3.1 |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein |
2.3.2 |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
2.1.4 |
2.1.5 |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
|
[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern |
2.1.1 |
2.1.2 |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren |
2.1.4 |
2.1.5 |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein |
2.1.2 |
2.1.3 |
Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt |
ARNs für Benchmarks der CIS AWS Foundations
Wenn Sie eine oder mehrere Versionen von CIS AWS Foundations Benchmark aktivieren, erhalten Sie die Ergebnisse ab sofort im AWS Security Finding Format (ASFF). In ASFF verwendet jede Version den folgenden Amazon-Ressourcennamen (ARN):
- Benchmark AWS v3.0.0 für CIS Foundations
arn:aws:securityhub:
region
::standards/cis-aws-foundations-benchmark/v/3.0.0- Benchmark v1.4.0 für AWS GUS-Stiftungen
arn:aws:securityhub:
region
::standards/cis-aws-foundations-benchmark/v/1.4.0- Benchmark v1.2.0 AWS für GUS-Stiftungen
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
Sie können den GetEnabledStandardsBetrieb der Security Hub CSPM-API verwenden, um den ARN eines aktivierten Standards zu ermitteln.
Die vorherigen Werte sind für. StandardsArn
StandardsSubscriptionArn
Bezieht sich jedoch auf die Standard-Abonnementressource, die Security Hub CSPM erstellt, wenn Sie einen Standard abonnieren, indem Sie BatchEnableStandardsin einer Region anrufen.
Anmerkung
Wenn Sie eine Version des CIS AWS Foundations Benchmark aktivieren, kann es bis zu 18 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe AWS Config serviceverknüpfte Regel verwenden wie aktivierte Kontrollen in anderen aktivierten Standards. Weitere Informationen zum Zeitplan für die Generierung von Kontrollbefunden finden Sie unter. Zeitplan für die Ausführung von Sicherheitsprüfungen
Suchfelder unterscheiden sich, wenn Sie konsolidierte Kontrollergebnisse aktivieren. Informationen zu diesen Unterschieden finden Sie unterAuswirkungen der Konsolidierung auf ASFF-Felder und -Werte. Ergebnisse der Stichprobenkontrolle finden Sie unterStichproben von Kontrollbefunden.
CIS-Anforderungen, die in Security Hub CSPM nicht unterstützt werden
Wie in der obigen Tabelle erwähnt, unterstützt Security Hub CSPM nicht jede CIS-Anforderung in jeder Version des CIS AWS Foundations Benchmark. Viele der nicht unterstützten Anforderungen können nur bewertet werden, indem der Status Ihrer Ressourcen manuell überprüft wird. AWS