Benchmark der AWS GUS-Stiftungen im Security Hub CSPM - AWS Security Hub
Benchmark der CIS AWS Foundations Version 3.0.0CIS AWS Foundations Benchmark Version 1.4.0Benchmark für AWS GUS-Stiftungen, Version 1.2.0Versionsvergleich für CIS AWS Foundations Benchmark

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Benchmark der AWS GUS-Stiftungen im Security Hub CSPM

Der Center for Internet Security (CIS) AWS Foundations Benchmark dient als eine Reihe von bewährten Methoden zur Sicherheitskonfiguration für AWS. Diese branchenweit anerkannten Best Practices bieten Ihnen klare step-by-step Implementierungs- und Bewertungsverfahren. Die Kontrollen in diesem Benchmark reichen von Betriebssystemen über Cloud-Dienste bis hin zu Netzwerkgeräten und helfen Ihnen dabei, die spezifischen Systeme zu schützen, die Ihr Unternehmen verwendet.

AWS Security Hub Cloud Security Posture Management (CSPM) unterstützt die Benchmark-Versionen 3.0.0, 1.4.0 und 1.2.0 der CIS AWS Foundations. Auf dieser Seite sind die Sicherheitskontrollen aufgeführt, die jede Version unterstützt. Sie bietet auch einen Vergleich der Versionen.

Benchmark der CIS AWS Foundations Version 3.0.0

Security Hub CSPM unterstützt Version 3.0.0 (v3.0.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet:

  • CIS Benchmark for CIS AWS Foundations Benchmark, v3.0.0, Stufe 1

  • CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v3.0.0, Stufe 2

Kontrollen, die für CIS AWS Foundations Benchmark Version 3.0.0 gelten

[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

[CloudTrail.7] Sicherstellen, dass die S3-Bucket-Zugriffsprotokollierung für den CloudTrail S3-Bucket aktiviert ist

[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs

[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2

[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

[EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 zu Remoteserver-Verwaltungsports zulassen

[EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remoteserver-Verwaltungsports zulassen

[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

[IAM.4] IAM-Root-Benutzerzugriffsschlüssel sollten nicht vorhanden sein

[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

[IAM.15] Sicherstellen, dass die IAM-Passwortrichtlinie eine Mindestpasswortrichtlinie von 14 Zeichen oder mehr erfordert

[IAM.16] Sicherstellen, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

[IAM.18] Sicherstellen, dass eine Support-Rolle zum Verwalten von Vorfällen mit erstellt wurde AWS -Support

[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

[IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

[IAM.28] IAM Access Analyzer für externen Zugriff für IAM Access Analyzer sollte aktiviert sein

[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible

[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.

[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

[S3.22] S3-Allzweck-Buckets sollten Schreibereignisse auf Objektebene protokollieren

[S3.23] S3-Allzweck-Buckets sollten Leseereignisse auf Objektebene protokollieren

CIS AWS Foundations Benchmark Version 1.4.0

Security Hub CSPM unterstützt Version 1.4.0 (v1.4.0) des CIS Foundations Benchmark. AWS

Kontrollen, die für die Version 1.4.0 von CIS Foundations Benchmark AWS gelten

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

[CloudTrail.6] Sicherstellen, dass der S3-Bucket, in dem CloudTrail Protokolle gespeichert werden, nicht öffentlich zugänglich ist

[CloudTrail.7] Sicherstellen, dass die S3-Bucket-Zugriffsprotokollierung für den CloudTrail S3-Bucket aktiviert ist

[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein

[CloudWatch.4] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der IAM-Richtlinie vorhanden sind

[CloudWatch.5] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für CloudTrail -Config--Config-Änderungen vorhanden sind

[CloudWatch.6] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für AWS Management Console Authentifizierungsfehler vorhanden sind

[CloudWatch.7] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind

[CloudWatch.8] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind

[CloudWatch.9] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für AWS Config -Config--Config-Änderungen vorhanden sind

[CloudWatch.10] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Sicherheitsgruppe vorhanden sind

[CloudWatch.11] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind

[CloudWatch.12] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an Network-Gateways vorhanden sind

[CloudWatch.13] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Routing-Tabelle vorhanden sind

[CloudWatch.14] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für VPC-Änderungen vorhanden sind

[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs

[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

[IAM.1] IAM-Richtlinien sollten keine vollständigen „*“ administrative privileges in IAM.1

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

[IAM.4] IAM-Root-Benutzerzugriffsschlüssel sollten nicht vorhanden sein

[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

[IAM.15] Sicherstellen, dass die IAM-Passwortrichtlinie eine Mindestpasswortrichtlinie von 14 Zeichen oder mehr erfordert

[IAM.16] Sicherstellen, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

[IAM.18] Sicherstellen, dass eine Support-Rolle zum Verwalten von Vorfällen mit erstellt wurde AWS -Support

[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.

[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

CIS AWS Foundations Benchmark Version 1.2.0

Security Hub CSPM unterstützt Version 1.2.0 (v1.2.0) des CIS Foundations Benchmark. AWS Security Hub CSPM hat die Anforderungen der CIS Security Software Certification erfüllt und wurde mit der CIS Security Software Certification für die folgenden CIS-Benchmarks ausgezeichnet:

  • CIS Benchmark for CIS AWS Foundations Benchmark, v1.2.0, Stufe 1

  • CIS-Benchmark für AWS GUS-Stiftungen, Benchmark, v1.2.0, Stufe 2

Kontrollen, die für CIS AWS Foundations Benchmark Version 1.2.0 gelten

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

[CloudTrail.6] Sicherstellen, dass der S3-Bucket, in dem CloudTrail Protokolle gespeichert werden, nicht öffentlich zugänglich ist

[CloudTrail.7] Sicherstellen, dass die S3-Bucket-Zugriffsprotokollierung für den CloudTrail S3-Bucket aktiviert ist

[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein

[CloudWatch.2] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind

[CloudWatch.3] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Anmeldung in der Managementkonsole ohne MFA vorhanden sind

[CloudWatch.4] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der IAM-Richtlinie vorhanden sind

[CloudWatch.5] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für CloudTrail -Config--Config-Änderungen vorhanden sind

[CloudWatch.6] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für AWS Management Console Authentifizierungsfehler vorhanden sind

[CloudWatch.7] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind

[CloudWatch.8] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind

[CloudWatch.9] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für AWS Config -Config--Config-Änderungen vorhanden sind

[CloudWatch.10] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Sicherheitsgruppe vorhanden sind

[CloudWatch.11] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind

[CloudWatch.12] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an Network-Gateways vorhanden sind

[CloudWatch.13] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Routing-Tabelle vorhanden sind

[CloudWatch.14] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für VPC-Änderungen vorhanden sind

[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs

[EC2.13] Sicherheitsgruppen sollten den Zugang von 0.0.0.0/0 oder „: /0“ oder „: /0“ zu Port 22

[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: /0 zu Port 3389 zulassen

[IAM.1] IAM-Richtlinien sollten keine vollständigen „*“ administrative privileges in IAM.1

[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

[IAM.4] IAM-Root-Benutzerzugriffsschlüssel sollten nicht vorhanden sein

[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

[IAM.13] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens ein Symbol erfordert

[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

[IAM.15] Sicherstellen, dass die IAM-Passwortrichtlinie eine Mindestpasswortrichtlinie von 14 Zeichen oder mehr erfordert

[IAM.16] Sicherstellen, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

[IAM.18] Sicherstellen, dass eine Support-Rolle zum Verwalten von Vorfällen mit erstellt wurde AWS -Support

[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

Versionsvergleich für CIS AWS Foundations Benchmark

In diesem Abschnitt werden die Unterschiede zwischen bestimmten Versionen des Center for Internet Security (CIS) AWS Foundations Benchmark — v3.0.0, v1.4.0 und v1.2.0 — zusammengefasst. AWS Security Hub Cloud Security Posture Management (CSPM) unterstützt jede dieser Versionen des CIS AWS Foundations Benchmark. Wir empfehlen jedoch, Version 3.0.0 zu verwenden, um über bewährte Sicherheitsmethoden auf dem Laufenden zu bleiben. Sie können mehrere Versionen des Standards gleichzeitig aktivieren. Informationen zur Aktivierung von Standards finden Sie unterEinen Sicherheitsstandard aktivieren. Wenn Sie ein Upgrade auf Version 3.0.0 durchführen möchten, aktivieren Sie es, bevor Sie eine ältere Version deaktivieren. Dadurch werden Lücken in Ihren Sicherheitsüberprüfungen vermieden. Wenn Sie die Security Hub CSPM-Integration mit verwenden AWS Organizations und v3.0.0 in mehreren Konten stapelweise aktivieren möchten, empfehlen wir die zentrale Konfiguration.

Zuordnung der Kontrollen zu den CIS-Anforderungen in jeder Version

Verstehen Sie, welche Kontrollen jede Version des CIS AWS Foundations Benchmark unterstützt.

Kontroll-ID und Titel Anforderung für CIS v3.0.0 CIS v1.4.0-Anforderung CIS v1.2.0-Anforderung

[Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

1.2

1.2

1.18

[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst

3.1

3.1

2.1

[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben

3.5

3.7

2.7

[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein

3.2

3.2

2.2

[CloudTrail.5] CloudTrail Trails sollten in Amazon CloudWatch Logs integriert werden

Nicht unterstützt — CIS hat diese Anforderung entfernt

3.4

2.4

[CloudTrail.6] Sicherstellen, dass der S3-Bucket, in dem CloudTrail Protokolle gespeichert werden, nicht öffentlich zugänglich ist

Nicht unterstützt — CIS hat diese Anforderung entfernt

3.3

2.3

[CloudTrail.7] Sicherstellen, dass die S3-Bucket-Zugriffsprotokollierung für den CloudTrail S3-Bucket aktiviert ist

3.4

3.6

2.6

[CloudWatch.1] Für den Benutzer „root“ sollten ein Filter und ein Alarm für die Log-Metrik vorhanden sein

Nicht unterstützt — manuelle Überprüfung

4.3

3.3

[CloudWatch.2] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für nicht autorisierte API-Aufrufe vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

3.1

[CloudWatch.3] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Anmeldung in der Managementkonsole ohne MFA vorhanden sind

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

3.2

[CloudWatch.4] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der IAM-Richtlinie vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.4

3.4

[CloudWatch.5] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für CloudTrail -Config--Config-Änderungen vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.5

3.5

[CloudWatch.6] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für AWS Management Console Authentifizierungsfehler vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.6

3.6

[CloudWatch.7] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für die Deaktivierung oder das geplante Löschen von vom Kunden verwalteten Schlüsseln vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.7

3.7

[CloudWatch.8] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der S3-Bucket-Richtlinie vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.8

3.8

[CloudWatch.9] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für AWS Config -Config--Config-Änderungen vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4,9 bis 4,9

3.9

[CloudWatch.10] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Sicherheitsgruppe vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.10

3,10

[CloudWatch.11] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an den Network Access Control Lists (NACL) vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.11

3,11

[CloudWatch.12] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an Network-Gateways vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.12

3,12

[CloudWatch.13] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für Änderungen an der Routing-Tabelle vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.13

3.13

[CloudWatch.14] Sicherstellen, dass ein Protokollmetrikfilter und ein Alarm für VPC-Änderungen vorhanden sind

Nicht unterstützt — manuelle Überprüfung

4.14

3,14

[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden

3.3

3.5

2.5

[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen

5.4

5.3

4.3

[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs

3.7

3.9

2,9

[EC2.7] Die EBS-Standardverschlüsselung sollte aktiviert sein

2.2.1

2.2.1

Nicht unterstützt

[EC2.8] EC2 Instances sollten Instance Metadata Service Version 2 () verwenden IMDSv2

5.6

Nicht unterstützt

Nicht unterstützt

[EC2.13] Sicherheitsgruppen sollten den Zugang von 0.0.0.0/0 oder „: /0“ oder „: /0“ zu Port 22

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

4.1

[EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: /0 zu Port 3389 zulassen

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

Nicht unterstützt — ersetzt durch die Anforderungen 5.2 und 5.3

4.2

[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen

5.1

5.1

Nicht unterstützt

[EC2.53] EC2 Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 zu Remoteserver-Verwaltungsports zulassen

5.2

Nicht unterstützt

Nicht unterstützt

[EC2.54] EC2 Sicherheitsgruppen sollten keinen Zugang von: :/0 zu Remoteserver-Verwaltungsports zulassen

5.3

Nicht unterstützt

Nicht unterstützt

[EFS.1] Elastic File System sollte so konfiguriert sein, dass ruhende Dateidaten verschlüsselt werden mit AWS KMS

2.4.1

Nicht unterstützt

Nicht unterstützt

[IAM.1] IAM-Richtlinien sollten keine vollständigen „*“ administrative privileges in IAM.1

Nicht unterstützt

1.16

1,22

[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein

1.15

Nicht unterstützt

1.16

[IAM.3] Die Zugriffsschlüssel von IAM-Benutzern sollten alle 90 Tage oder weniger gewechselt werden

1.14

1.14

1.4

[IAM.4] IAM-Root-Benutzerzugriffsschlüssel sollten nicht vorhanden sein

1.4

1.4

1.12

[IAM.5] MFA sollte für alle -Benutzer aktiviert sein, die über ein Konsolenpasswort verfügen

1.10

1.10

1.2

[IAM.6] Hardware-MFA sollte für den Stammbenutzer aktiviert sein.

1,6

1,6

1.14

[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden

Wird nicht unterstützt — siehe stattdessen [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

Nicht unterstützt — siehe [IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden stattdessen

1.3

[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein

1.5

1.5

1.13

[IAM.11] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Großbuchstaben erfordert

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.5

[IAM.12] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens einen Kleinbuchstaben erfordert

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1,6

[IAM.13] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens ein Symbol erfordert

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1,7

[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.8

[IAM.15] Sicherstellen, dass die IAM-Passwortrichtlinie eine Mindestpasswortrichtlinie von 14 Zeichen oder mehr erfordert

1.8

1.8

1.9

[IAM.16] Sicherstellen, dass die IAM-Passwortrichtlinie die Wiederverwendung von Passwörtern verhindert

1.9

1.9

1.10

[IAM.17] Stellen Sie sicher, dass die IAM-Passwortrichtlinie Passwörter innerhalb von 90 Tagen oder weniger abläuft

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.11

[IAM.18] Sicherstellen, dass eine Support-Rolle zum Verwalten von Vorfällen mit erstellt wurde AWS -Support

1,17

1,17

1.2

[IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers

Nicht unterstützt — CIS hat diese Anforderung entfernt

Nicht unterstützt — CIS hat diese Anforderung entfernt

1.1

[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden

1.12

1.12

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[IAM.26] Abgelaufene SSL/TLS-Zertifikate, die in IAM verwaltet werden, sollten entfernt werden

1.19

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[IAM.27] IAM-Identitäten sollte die Richtlinie nicht angehängt sein AWSCloud ShellFullAccess

1.22

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[IAM.28] IAM Access Analyzer für externen Zugriff für IAM Access Analyzer sollte aktiviert sein

1.20

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[KMS.4] Die AWS KMS Schlüsselrotation sollte aktiviert sein

3.6

3.8

2.8

[Macie.1] Amazon Macie sollte aktiviert sein

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

Nicht unterstützt — manuelle Überprüfung

[RDS.2] RDS-DB-Instances sollten, wie in der Konfiguration festgelegt, den öffentlichen Zugriff verbieten PubliclyAccessible

2.3.3

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[RDS.3] Für RDS-DB-Instances sollte die Verschlüsselung im Ruhezustand aktiviert sein.

2.3.1

2.3.1

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[RDS.13] Automatische RDS-Upgrades für Nebenversionen sollten aktiviert sein

2.3.2

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein

2.1.4

2.1.5

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern

2.1.1

2.1.2

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren

2.1.4

2.1.5

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein

2.1.2

2.1.3

Nicht unterstützt — CIS hat diese Anforderung in späteren Versionen hinzugefügt

ARNs für Benchmarks der CIS AWS Foundations

Wenn Sie eine oder mehrere Versionen von CIS AWS Foundations Benchmark aktivieren, erhalten Sie die Ergebnisse ab sofort im AWS Security Finding Format (ASFF). In ASFF verwendet jede Version den folgenden Amazon-Ressourcennamen (ARN):

Benchmark AWS v3.0.0 für CIS Foundations

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0

Benchmark v1.4.0 für AWS GUS-Stiftungen

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0

Benchmark v1.2.0 AWS für GUS-Stiftungen

arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

Sie können den GetEnabledStandardsBetrieb der Security Hub CSPM-API verwenden, um den ARN eines aktivierten Standards zu ermitteln.

Die vorherigen Werte sind für. StandardsArn StandardsSubscriptionArnBezieht sich jedoch auf die Standard-Abonnementressource, die Security Hub CSPM erstellt, wenn Sie einen Standard abonnieren, indem Sie BatchEnableStandardsin einer Region anrufen.

Anmerkung

Wenn Sie eine Version des CIS AWS Foundations Benchmark aktivieren, kann es bis zu 18 Stunden dauern, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe AWS Config serviceverknüpfte Regel verwenden wie aktivierte Kontrollen in anderen aktivierten Standards. Weitere Informationen zum Zeitplan für die Generierung von Kontrollbefunden finden Sie unter. Zeitplan für die Ausführung von Sicherheitsprüfungen

Suchfelder unterscheiden sich, wenn Sie konsolidierte Kontrollergebnisse aktivieren. Informationen zu diesen Unterschieden finden Sie unterAuswirkungen der Konsolidierung auf ASFF-Felder und -Werte. Ergebnisse der Stichprobenkontrolle finden Sie unterStichproben von Kontrollbefunden.

CIS-Anforderungen, die in Security Hub CSPM nicht unterstützt werden

Wie in der obigen Tabelle erwähnt, unterstützt Security Hub CSPM nicht jede CIS-Anforderung in jeder Version des CIS AWS Foundations Benchmark. Viele der nicht unterstützten Anforderungen können nur bewertet werden, indem der Status Ihrer Ressourcen manuell überprüft wird. AWS