Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CIS AWS Benchmark dei fondamenti nel Security Hub CSPM

Il benchmark Center for Internet Security (CIS) AWS Foundations funge da set di best practice per la configurazione della sicurezza per. AWS Queste best practice accettate dal settore forniscono procedure di implementazione e valutazione chiare e dettagliate. Dai sistemi operativi ai servizi cloud e ai dispositivi di rete, i controlli di questo benchmark aiutano a proteggere i sistemi specifici utilizzati dall'organizzazione.

AWS Security Hub CSPM supporta le versioni CIS AWS Foundations Benchmark 5.0.0, 3.0.0, 1.4.0 e 1.2.0. Questa pagina elenca i controlli di sicurezza supportati da ciascuna versione. Fornisce inoltre un confronto tra le versioni.

CIS AWS Foundations Benchmark versione 5.0.0

Security Hub CSPM supporta la versione 5.0.0 (v5.0.0) del benchmark CIS Foundations. AWS Security Hub CSPM ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS:

Controlli che si applicano al CIS AWS Foundations Benchmark versione 5.0.0

[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS

[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata

[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata

[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC

[EC2.7] La crittografia predefinita di EBS deve essere abilitata

[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)

[EC2.21] Gli ACL di rete non dovrebbero consentire l'ingresso a partire dalla versione 0.0.0. 0/0 alla porta 22 o alla porta 3389

[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'ingresso da 0.0.0. 0/0 alle porte di amministrazione del server remoto

[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server

[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS

[EFS.8] I file system EFS devono essere crittografati quando sono inattivi

[IAM.2] Gli utenti IAM non devono avere policy IAM allegate

[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno

[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere

[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console

[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root

[IAM.9] L'MFA deve essere abilitata per l'utente root

[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14

[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password

[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS

[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse

[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi

[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess

[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato

[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS

[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible

[RDS.3] Le istanze DB RDS devono avere la crittografia a riposo abilitata

[RDS.5] Le istanze DB RDS devono essere configurate con più zone di disponibilità

[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati

[RDS.15] I cluster RDS DB devono essere configurati per più zone di disponibilità

[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL

[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata

[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto

[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto

CIS AWS Foundations Benchmark versione 3.0.0

Security Hub CSPM supporta la versione 3.0.0 (v3.0.0) del benchmark CIS Foundations. AWS Security Hub CSPM ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS:

Controlli che si applicano al CIS AWS Foundations Benchmark versione 3.0.0

[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS

[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata

[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata

[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC

[EC2.7] La crittografia predefinita di EBS deve essere abilitata

[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)

[EC2.21] Gli ACL di rete non dovrebbero consentire l'ingresso a partire dalla versione 0.0.0. 0/0 alla porta 22 o alla porta 3389

[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'ingresso da 0.0.0. 0/0 alle porte di amministrazione del server remoto

[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server

[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS

[IAM.2] Gli utenti IAM non devono avere policy IAM allegate

[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno

[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere

[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console

[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root

[IAM.9] L'MFA deve essere abilitata per l'utente root

[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14

[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password

[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS

[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse

[IAM.26] I SSL/TLS certificati scaduti gestiti in IAM devono essere rimossi

[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloud ShellFullAccess

[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato

[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS

[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, come determinato dalla configurazione PubliclyAccessible

[RDS.3] Le istanze DB RDS devono avere la crittografia a riposo abilitata

[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati

[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL

[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata

[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto

[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto

CIS AWS Foundations Benchmark versione 1.4.0

Security Hub CSPM supporta la versione 1.4.0 (v1.4.0) del benchmark CIS Foundations. AWS

Controlli che si applicano al CIS AWS Foundations Benchmark versione 1.4.0

[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata

[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata

[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch

[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail

[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»

[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM

[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione

[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione

[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente

[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3

[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione

[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza

[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)

[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete

[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte

[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC

[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC

[EC2.7] La crittografia predefinita di EBS deve essere abilitata

[EC2.21] Gli ACL di rete non dovrebbero consentire l'ingresso a partire dalla versione 0.0.0. 0/0 alla porta 22 o alla porta 3389

[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi

[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno

[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere

[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console

[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root

[IAM.9] L'MFA deve essere abilitata per l'utente root

[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14

[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password

[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS

[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse

[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS

[RDS.3] Le istanze DB RDS devono avere la crittografia a riposo abilitata

[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL

[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata

CIS AWS Foundations Benchmark versione 1.2.0

Security Hub CSPM supporta la versione 1.2.0 (v1.2.0) del benchmark CIS Foundations. AWS Security Hub CSPM ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS:

Controlli che si applicano al CIS AWS Foundations Benchmark versione 1.2.0

[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata

[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata

[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch

[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail

[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»

[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate

[CloudWatch.3] Assicurati che esistano un filtro metrico di registro e un allarme per l'accesso alla console di gestione senza MFA

[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM

[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione

[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione

[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente

[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3

[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione

[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza

[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)

[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete

[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte

[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC

[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC

[EC2.13] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0. 0/0 oppure: :/0 alla porta 22

[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0. 0/0 oppure: :/0 alla porta 3389

[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi

[IAM.2] Gli utenti IAM non devono avere policy IAM allegate

[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno

[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere

[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console

[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root

[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse

[IAM.9] L'MFA deve essere abilitata per l'utente root

[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola

[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola

[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo

[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero

[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14

[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password

[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno

[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS

[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS

Confronto delle versioni per CIS AWS Foundations Benchmark

Questa sezione riassume le differenze tra le versioni specifiche del benchmark Center for Internet Security (CIS AWS ) Foundations: v5.0.0, v3.0.0, v1.4.0 e v1.2.0. AWS Security Hub CSPM supporta ognuna di queste versioni del benchmark AWS CIS Foundations. Tuttavia, consigliamo di utilizzare la versione 5.0.0 per rimanere aggiornati sulle migliori pratiche di sicurezza. È possibile abilitare più versioni degli standard CIS AWS Foundations Benchmark contemporaneamente. Per informazioni sull'abilitazione degli standard, vedere. Abilitazione di uno standard di sicurezza Se desideri eseguire l'aggiornamento alla versione 5.0.0, abilitalo prima di disabilitare una versione precedente. In questo modo si evitano lacune nei controlli di sicurezza. Se utilizzi l'integrazione CSPM di Security Hub con AWS Organizations e desideri abilitare in batch la v5.0.0 in più account, ti consigliamo di utilizzare la configurazione centrale.

Mappatura dei controlli ai requisiti CIS in ogni versione

Scopri quali controlli supporta ogni versione di CIS AWS Foundations Benchmark.

ARN per CIS AWS Fondamenti e benchmark

Quando abiliti una o più versioni del benchmark CIS AWS Foundations, inizi a ricevere i risultati nel AWS Security Finding Format (ASFF). In ASFF, ogni versione utilizza il seguente Amazon Resource Name (ARN):

È possibile utilizzare il GetEnabledStandardsfunzionamento dell'API CSPM Security Hub per trovare l'ARN di uno standard abilitato.

I valori precedenti sono per. StandardsArn Tuttavia, StandardsSubscriptionArn si riferisce alla risorsa di abbonamento standard che Security Hub CSPM crea quando ci si abbona a uno standard chiamando una BatchEnableStandardsregione.

I campi di ricerca sono diversi se si attivano i risultati di controllo consolidati. Per informazioni su queste differenze, vedereImpatto del consolidamento sui campi e sui valori ASFF. Per esempi di risultati di controllo, vedereEsempi di risultati di controllo.

Requisiti CIS non supportati in Security Hub CSPM

Come indicato nella tabella precedente, Security Hub CSPM non supporta tutti i requisiti CIS in ogni versione del benchmark CIS Foundations. AWS Molti dei requisiti non supportati possono essere valutati solo esaminando manualmente lo stato delle risorse. AWS