Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Registro delle modifiche per i controlli CSPM di Security Hub
Il seguente registro delle modifiche tiene traccia delle modifiche sostanziali ai controlli di sicurezza AWS Security Hub Cloud Security Posture Management (CSPM) esistenti, che possono comportare modifiche allo stato generale di un controllo e allo stato di conformità dei risultati. Per informazioni su come Security Hub CSPM valuta lo stato del controllo, vedere. Valutazione dello stato di conformità e dello stato di controllo Le modifiche possono richiedere alcuni giorni dopo la loro immissione in questo registro per avere effetto su tutte le aree Regioni AWS in cui il controllo è disponibile.
Questo registro tiene traccia delle modifiche avvenute dall'aprile 2023. Scegli un controllo per visualizzare ulteriori dettagli al riguardo. Le modifiche al titolo vengono annotate nella descrizione dettagliata del controllo per 90 giorni.
| Data di modifica | ID e titolo del controllo | Descrizione della modifica |
|---|---|---|
| 30 maggio 2025 | [IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide | Security Hub CSPM ha rimosso questo controllo dallo standard PCI DSS v4.0.1. Questo controllo verifica se le politiche relative alle password degli account per gli utenti IAM soddisfano i requisiti minimi, inclusa una lunghezza minima della password di 7 caratteri. PCI DSS v4.0.1 ora richiede che le password abbiano un minimo di 8 caratteri. Il controllo continua ad applicarsi allo standard PCI DSS v3.2.1, che ha requisiti di password diversi. Per valutare le politiche relative alle password degli account rispetto ai requisiti PCI DSS v4.0.1, è possibile utilizzare il controllo IAM.7. Questo controllo richiede che le password abbiano un minimo di 8 caratteri. Supporta anche valori personalizzati per la lunghezza della password e altri parametri. Il controllo IAM.7 fa parte dello standard PCI DSS v4.0.1 in Security Hub CSPM. |
| 8 maggio 2025 | [RDS.46] Le istanze DB RDS non devono essere distribuite in sottoreti pubbliche con percorsi verso i gateway Internet | Security Hub CSPM ha ripristinato completamente il rilascio del controllo RDS.46. Regioni AWS In precedenza, questo controllo supportava lo standard AWS Foundational Security Best Practices (FSBP). |
| 7 aprile 2025 | [ELB.17] Gli Application and Network Load Balancer con listener devono utilizzare le politiche di sicurezza consigliate | Questo controllo verifica se il listener HTTPS per un Application Load Balancer o il listener TLS per un Network Load Balancer è configurato per crittografare i dati in transito utilizzando una politica di sicurezza consigliata. Security Hub CSPM ora supporta due valori di parametro aggiuntivi per questo controllo: |
| 27 marzo 2025 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta |
| 26 marzo 2025 | [EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. Per il |
| 10 marzo 2025 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Questo controllo verifica se le impostazioni di runtime per una AWS Lambda funzione corrispondono ai valori previsti per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più |
| 7 marzo 2025 | [RDS.18] Le istanze RDS devono essere distribuite in un VPC | Security Hub CSPM ha rimosso questo controllo dallo standard AWS Foundational Security Best Practices e dai controlli automatici per i requisiti NIST SP 800-53 Rev. 5. Da quando il networking Amazon EC2 -Classic è stato ritirato, le istanze di Amazon Relational Database Service (Amazon RDS) non possono più essere distribuite all'esterno di un VPC. Il controllo continua a far parte dello standard di gestione dei servizi.AWS Control Tower |
| 10 gennaio 2025 | [Glue.2] I lavori AWS Glue dovrebbero avere la registrazione abilitata | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. |
| 20 dicembre 2024 | EC2da 6.1 a 1.69 EC2 | Security Hub CSPM ha ripristinato la versione dei controlli da EC2 .61 a .169. EC2 |
| 12 dicembre 2024 | [RDS.23] Le istanze RDS non devono utilizzare una porta predefinita del motore di database | RDS.23 verifica se un cluster o un'istanza di Amazon Relational Database Service (Amazon RDS) utilizza una porta diversa dalla porta predefinita del motore di database. Abbiamo aggiornato il controllo in modo che la AWS Config regola sottostante restituisca un risultato di NOT_APPLICABLE per le istanze RDS che fanno parte di un cluster. |
| 2 dicembre 2024 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta nodejs22.x come parametro. |
| 26 novembre 2024 | [EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. La versione più vecchia supportata è ora. 1.29 |
| 20 novembre 2024 | [Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | Config.1 verifica se AWS Config è abilitato, utilizza il ruolo collegato al servizio e registra le risorse per i controlli abilitati. Security Hub CSPM ha aumentato la severità di questo controllo da a Per ricevere un |
| 12 novembre 2024 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta python3.13 come parametro. |
| 11 ottobre 2024 | ElastiCache controlli | Titoli di controllo modificati per ElastiCache .3, ElastiCache .4, ElastiCache .5 e .7. ElastiCache I titoli non menzionano più Redis OSS perché i controlli si applicano anche a Valkey. ElastiCache |
| 27 settembre 2024 | [ELB.4] L'Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide | Il titolo di controllo modificato da Application Load Balancer deve essere configurato per eliminare le intestazioni http su Application Load Balancer deve essere configurato per eliminare le intestazioni http non valide. |
| 19 agosto 2024 | Modifiche al titolo e ai controlli di DMS.12 ElastiCache | Titoli di controllo modificati per DMS.12 e da DMS.1 a .7. ElastiCache ElastiCache Abbiamo modificato questi titoli per riflettere un cambio di nome nel servizio Amazon ElastiCache (Redis OSS). |
| 15 agosto 2024 | [Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | Config.1 verifica se AWS Config è abilitato, utilizza il ruolo collegato al servizio e registra le risorse per i controlli abilitati. Security Hub CSPM ha aggiunto un parametro di controllo personalizzato denominato. includeConfigServiceLinkedRoleCheck Impostando questo parametro sufalse, è possibile scegliere di non verificare se AWS Config utilizza il ruolo collegato al servizio. |
| 31 luglio 2024 | [IoT.1] i profili di AWS IoT Device Defender sicurezza devono essere etichettati | Il titolo di controllo modificato dai profili AWS IoT Core di sicurezza deve essere taggato ai profili AWS IoT Device Defender di sicurezza devono essere etichettati. |
| 29 luglio 2024 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più nodejs16.x come parametro. |
| 29 luglio 2024 | [EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. La versione più vecchia supportata è. 1.28 |
| 25 giugno 2024 | [Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | Questo controllo verifica se AWS Config è abilitato, utilizza il ruolo collegato al servizio e registra le risorse per i controlli abilitati. Security Hub CSPM ha aggiornato il titolo del controllo per riflettere ciò che il controllo valuta. |
| 14 giugno 2024 | [RDS.34] I cluster Aurora MySQL DB devono pubblicare i log di controllo nei registri CloudWatch | Questo controllo verifica se un cluster Amazon Aurora MySQL DB è configurato per pubblicare log di audit su Amazon Logs. CloudWatch Security Hub CSPM ha aggiornato il controllo in modo che non generasse risultati per i cluster DB Aurora Serverless v1. |
| 11 giugno 2024 | [EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata | Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. La versione più vecchia supportata è. 1.27 |
| 10 giugno 2024 | [Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse | Questo controllo verifica se AWS Config è abilitato e la registrazione AWS Config delle risorse è attivata. In precedenza, il controllo produceva un PASSED risultato solo se si configurava la registrazione per tutte le risorse. Security Hub CSPM ha aggiornato il controllo per produrre un PASSED risultato quando la registrazione è attivata per le risorse necessarie per i controlli abilitati. Il controllo è stato inoltre aggiornato per verificare se viene utilizzato il ruolo AWS Config collegato al servizio, che fornisce le autorizzazioni per registrare le risorse necessarie. |
| 8 maggio 2024 | [S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata | Questo controllo verifica se un bucket con versione generica di Amazon S3 è abilitata l'eliminazione dell'autenticazione a più fattori (MFA). In precedenza, il controllo produceva una FAILED ricerca di bucket con una configurazione del ciclo di vita. Tuttavia, l'eliminazione MFA con controllo delle versioni non può essere abilitata su un bucket con una configurazione del ciclo di vita. Security Hub CSPM ha aggiornato il controllo per non produrre risultati per i bucket con una configurazione del ciclo di vita. La descrizione del controllo è stata aggiornata per riflettere il comportamento corrente. |
| 2 maggio 2024 | [EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata | Security Hub CSPM ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il cluster Amazon EKS per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.26 |
| 30 aprile 2024 | [CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail | Il titolo di controllo modificato da CloudTrail dovrebbe essere abilitato a Dovrebbe essere abilitato almeno un CloudTrail percorso. Questo controllo attualmente produce un PASSED risultato se un Account AWS ha almeno un CloudTrail percorso abilitato. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento attuale. |
| 29 aprile 2024 | [AutoScaling.1] I gruppi di Auto Scaling associati a un sistema di bilanciamento del carico devono utilizzare i controlli di integrità ELB | La modifica del titolo di controllo dai gruppi Auto Scaling associati a un Classic Load Balancer dovrebbe utilizzare i controlli dello stato del bilanciamento del carico, mentre i gruppi Auto Scaling associati a un sistema di bilanciamento del carico dovrebbero utilizzare i controlli di integrità ELB. Questo controllo attualmente valuta Application, Gateway, Network e Classic Load Balancer. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento corrente. |
| 19 aprile 2024 | [CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura | Il controllo verifica se AWS CloudTrail è abilitato e configurato con almeno un percorso multiregionale che include eventi di gestione di lettura e scrittura. In precedenza, il controllo generava erroneamente PASSED i risultati quando un account aveva CloudTrail abilitato e configurato almeno un percorso multiregionale, anche se nessun trail includeva eventi di gestione di lettura e scrittura. Il controllo ora genera un PASSED risultato solo quando CloudTrail è abilitato e configurato con almeno un percorso multiregionale che acquisisce gli eventi di gestione di lettura e scrittura. |
| 10 aprile 2024 | [Athena.1] I gruppi di lavoro Athena devono essere crittografati quando sono inattivi | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. I gruppi di lavoro Athena inviano i log ai bucket Amazon Simple Storage Service (Amazon S3). Amazon S3 ora fornisce la crittografia predefinita con chiavi gestite S3 (SS3-S3) su bucket S3 nuovi ed esistenti. |
| 10 aprile 2024 | [AutoScaling.4] La configurazione di avvio del gruppo Auto Scaling non deve avere un limite di hop di risposta ai metadati superiore a 1 | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. I limiti degli hop di risposta ai metadati per le istanze di Amazon Elastic Compute Cloud EC2 (Amazon) dipendono dal carico di lavoro. |
| 10 aprile 2024 | [CloudFormation.1] gli CloudFormation stack devono essere integrati con Simple Notification Service (SNS) | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. L'integrazione degli AWS CloudFormation stack con gli argomenti di Amazon SNS non è più una best practice di sicurezza. Sebbene l'integrazione di CloudFormation stack importanti con argomenti SNS possa essere utile, non è necessaria per tutti gli stack. |
| 10 aprile 2024 | [CodeBuild.5] gli ambienti di CodeBuild progetto non dovrebbero avere la modalità privilegiata abilitata | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. L'attivazione della modalità privilegiata in un CodeBuild progetto non comporta un rischio aggiuntivo per l'ambiente del cliente. |
| 10 aprile 2024 | [IAM.20] Evita l'uso dell'utente root | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Lo scopo di questo controllo è coperto da un altro controllo,. [CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root» |
| 10 aprile 2024 | [SNS.2] La registrazione dello stato di consegna deve essere abilitata per i messaggi di notifica inviati a un argomento | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. La registrazione dello stato di consegna per gli argomenti SNS non è più una best practice di sicurezza. Sebbene la registrazione dello stato di consegna per importanti argomenti SNS possa essere utile, non è necessaria per tutti gli argomenti. |
| 10 aprile 2024 | [S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices e Service-Managed Standard:. AWS Control Tower Lo scopo di questo controllo è coperto da altri due controlli: e. [S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato Questo controllo fa ancora parte del NIST SP 800-53 Rev. 5. |
| 10 aprile 2024 | [S3.11] I bucket S3 per uso generico devono avere le notifiche degli eventi abilitate | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices e Service-Managed Standard:. AWS Control Tower Sebbene ci siano alcuni casi in cui le notifiche di eventi per i bucket S3 sono utili, questa non è una best practice di sicurezza universale. Questo controllo fa ancora parte del NIST SP 800-53 Rev. 5. |
| 10 aprile 2024 | [SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices e Service-Managed Standard:. AWS Control Tower Per impostazione predefinita, SNS crittografa gli argomenti inattivi con la crittografia del disco. Per ulteriori informazioni, consulta Crittografia dei dati. L'utilizzo AWS KMS per crittografare gli argomenti non è più consigliato come best practice di sicurezza. Questo controllo fa ancora parte di NIST SP 800-53 Rev. 5. |
| 8 aprile 2024 | [ELB.6] Application, Gateway e Network Load Balancer devono avere la protezione da eliminazione abilitata | Il titolo di controllo modificato dalla protezione da eliminazione di Application Load Balancer deve essere abilitato a Application, Gateway e Network Load Balancer dovrebbe avere la protezione da eliminazione abilitata. Questo controllo attualmente valuta Application, Gateway e Network Load Balancer. Il titolo e la descrizione sono stati modificati per riflettere accuratamente il comportamento attuale. |
| 22 marzo 2024 | [Opensearch.8] Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS | Il titolo di controllo modificato da Connessioni ai OpenSearch domini deve essere crittografato utilizzando TLS 1.2 a Le connessioni ai OpenSearch domini devono essere crittografate utilizzando la più recente politica di sicurezza TLS. In precedenza, il controllo controllava solo se le connessioni ai OpenSearch domini utilizzavano TLS 1.2. Il controllo ora consente di determinare se i OpenSearch domini sono crittografati utilizzando la più recente politica di sicurezza TLS. PASSED Il titolo e la descrizione del controllo sono stati aggiornati per riflettere il comportamento corrente. |
| 22 marzo 2024 | [ES.8] Le connessioni ai domini Elasticsearch devono essere crittografate utilizzando la più recente politica di sicurezza TLS | Il titolo di controllo modificato da Connessioni ai domini Elasticsearch deve essere crittografato utilizzando TLS 1.2 a Connessioni ai domini Elasticsearch deve essere crittografato utilizzando la politica di sicurezza TLS più recente. In precedenza, il controllo controllava solo se le connessioni ai domini Elasticsearch utilizzavano TLS 1.2. Il controllo ora determina se i domini Elasticsearch sono crittografati utilizzando la più recente politica di sicurezza TLS. PASSED Il titolo e la descrizione del controllo sono stati aggiornati per riflettere il comportamento corrente. |
| 12 marzo 2024 | [S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate | Il titolo modificato dall'impostazione S3 Block Public Access deve essere abilitato ai bucket generici S3 devono avere le impostazioni di accesso pubblico a blocchi abilitate. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.2] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in lettura | La modifica del titolo dei bucket S3 dovrebbe vietare l'accesso pubblico in lettura ai bucket S3 generici e dovrebbe bloccare l'accesso pubblico in lettura. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.3] I bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico in scrittura | La modifica del titolo dei bucket S3 dovrebbe vietare l'accesso pubblico in scrittura ai bucket S3 generici e dovrebbe bloccare l'accesso pubblico in scrittura. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL | Il titolo modificato dai bucket S3 dovrebbe richiedere richieste di utilizzo di Secure Socket Layer, mentre i bucket S3 per uso generico dovrebbero richiedere l'utilizzo di SSL. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS | Il titolo modificato dalle autorizzazioni S3 concesse ad altre politiche Account AWS in bucket dovrebbe essere limitato alle policy dei bucket per uso generico di S3 dovrebbero limitare l'accesso ad altri. Account AWS Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni | Il titolo modificato dai bucket S3 dovrebbe avere la replica tra regioni abilitata, mentre i bucket S3 per uso generico dovrebbero utilizzare la replica tra regioni. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni | Il titolo modificato dai bucket S3 dovrebbe avere la replica tra regioni abilitata, mentre i bucket S3 per uso generico dovrebbero utilizzare la replica tra regioni. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico | Il titolo modificato dall'impostazione S3 Block Public Access deve essere abilitato a livello di bucket, mentre i bucket S3 per uso generico dovrebbero bloccare l'accesso pubblico. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata | Il titolo modificato da S3 bucket La registrazione degli accessi al server deve essere abilitata a La registrazione degli accessi al server deve essere abilitata per i bucket S3 per uso generico. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.10] I bucket generici S3 con il controllo delle versioni abilitato devono avere configurazioni del ciclo di vita | Il titolo modificato dai bucket S3 con il controllo delle versioni abilitato dovrebbe avere politiche del ciclo di vita configurate in base ai bucket S3 per uso generico con il controllo delle versioni abilitato dovrebbero avere configurazioni del ciclo di vita. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.11] I bucket S3 per uso generico devono avere le notifiche degli eventi abilitate | Il titolo modificato dai bucket S3 dovrebbe avere le notifiche degli eventi abilitate, mentre i bucket S3 per uso generico dovrebbero avere le notifiche degli eventi abilitate. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.12] non ACLs deve essere usato per gestire l'accesso degli utenti ai bucket generici S3 | Il titolo modificato dagli elenchi di controllo degli accessi S3 (ACLs) non deve essere utilizzato per gestire l'accesso degli utenti ai bucket né per ACLs gestire l'accesso degli utenti ai bucket S3 per uso generico. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.13] I bucket generici S3 devono avere configurazioni del ciclo di vita | Il titolo modificato dai bucket S3 dovrebbe avere politiche del ciclo di vita configurate in base ai bucket S3 per uso generico e i bucket S3 dovrebbero avere configurazioni del ciclo di vita. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato | Il titolo modificato dai bucket S3 dovrebbe utilizzare il controllo delle versioni, mentre i bucket S3 per uso generico dovrebbero avere il controllo delle versioni abilitato. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.15] I bucket generici S3 devono avere Object Lock abilitato | Il titolo modificato dai bucket S3 deve essere configurato per utilizzare Object Lock, mentre i bucket per uso generico S3 devono avere Object Lock abilitato. Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 12 marzo 2024 | [S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys | Il titolo modificato dai bucket S3 deve essere crittografato con i bucket AWS KMS keys inattivi con i bucket S3 per uso generico. AWS KMS keys Security Hub CSPM ha cambiato il titolo per tenere conto di un nuovo tipo di bucket S3. |
| 7 marzo 2024 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta nodejs20.x e ruby3.3 come parametri. |
| 22 febbraio 2024 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta dotnet8 come parametro. |
| 5 febbraio 2024 | [EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata | Security Hub CSPM ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il cluster Amazon EKS per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.25 |
| 10 gennaio 2024 | [CodeBuild.1] L'archivio sorgente di CodeBuild Bitbucket non URLs deve contenere credenziali sensibili | Il titolo modificato da CodeBuild GitHub o utilizzato dal repository di origine Bitbucket in L'archivio di origine di CodeBuild Bitbucket URLs non deve OAuth contenere credenziali sensibili. URLs Security Hub CSPM ha rimosso la menzione OAuth perché anche altri metodi di connessione possono essere sicuri. Security Hub CSPM ha rimosso la menzione GitHub perché non è più possibile avere un token di accesso personale o un nome utente e una password nell'archivio dei GitHub sorgenti. URLs |
| 8 gennaio 2024 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più go1.x e java8 come parametri perché si tratta di runtime ritirati. |
| 29 dicembre 2023 | [RDS.8] Le istanze DB RDS devono avere la protezione da eliminazione abilitata | RDS.8 verifica se un'istanza Amazon RDS DB che utilizza uno dei motori di database supportati ha la protezione da eliminazione abilitata. Security Hub CSPM ora supporta custom-oracle-ee e oracle-se2-cdb come motori di database. oracle-ee-cdb |
| 22 dicembre 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta java21 e python3.12 come parametri. Security Hub CSPM non supporta più ruby2.7 come parametro. |
| 15 dicembre 2023 | [CloudFront.1] CloudFront le distribuzioni devono avere un oggetto root predefinito | CloudFront.1 verifica se una CloudFront distribuzione Amazon ha un oggetto root predefinito configurato. Security Hub CSPM ha ridotto la severità di questo controllo da CRITICAL a HIGH perché l'aggiunta dell'oggetto root predefinito è una raccomandazione che dipende dall'applicazione dell'utente e dai requisiti specifici. |
| 5 dicembre 2023 | [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0.0/0 o: :/0 alla porta 22 | Il titolo di controllo modificato dai gruppi di sicurezza non dovrebbe consentire l'ingresso da 0.0.0.0/0 alla porta 22 a I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22. |
| 5 dicembre 2023 | [EC2.14] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0.0/0 o: :/0 alla porta 3389 | Titolo di controllo modificato da Assicura che i gruppi di sicurezza non consentano l'ingresso dalla porta 0.0.0.0/0 alla porta 3389 a I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389. |
| 5 dicembre 2023 | [RDS.9] Le istanze DB RDS devono pubblicare i log in Logs CloudWatch | Il titolo di controllo modificato dalla registrazione del database deve essere abilitato alle istanze DB RDS. Le istanze DB devono pubblicare i registri nei registri. CloudWatch Security Hub CSPM ha rilevato che questo controllo verifica solo se i log sono pubblicati su Amazon CloudWatch Logs e non verifica se i log RDS sono abilitati. Il controllo rileva se le istanze DB RDS sono configurate per pubblicare log su Logs. PASSED CloudWatch Il titolo del controllo è stato aggiornato per riflettere il comportamento corrente. |
| 5 dicembre 2023 | [EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata | Questo controllo verifica se i cluster Amazon EKS hanno abilitato la registrazione di audit. La AWS Config regola utilizzata da Security Hub CSPM per valutare questo controllo è stata modificata da aeks-cluster-logging-enabled. eks-cluster-log-enabled |
| 17 novembre 2023 | [EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio | EC2.19 verifica se il traffico in entrata senza restrizioni per un gruppo di sicurezza è accessibile alle porte specificate considerate ad alto rischio. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. |
| 16 novembre 2023 | [CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate | Il titolo di controllo modificato dagli CloudWatch allarmi dovrebbe avere un'azione configurata per lo stato ALARM, mentre gli allarmi dovrebbero avere delle azioni specificate configurate. CloudWatch |
| 16 novembre 2023 | [CloudWatch.16] i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato | Il titolo di controllo modificato dei gruppi di CloudWatch log deve essere conservato per almeno 1 anno, mentre i gruppi di CloudWatch log devono essere conservati per un periodo di tempo specificato. |
| 16 novembre 2023 | [Lambda.5] Le funzioni VPC Lambda devono funzionare in più zone di disponibilità | Il titolo di controllo modificato dalle funzioni VPC Lambda deve funzionare in più di una zona di disponibilità, mentre le funzioni VPC Lambda devono funzionare in più zone di disponibilità. |
| 16 novembre 2023 | [AppSync.2] AWS AppSync dovrebbe avere la registrazione a livello di campo abilitata | La modifica del titolo di controllo da AWS AppSync dovrebbe avere la registrazione a livello di richiesta e di campo attivata a dovrebbe avere la registrazione a livello di campo abilitata.AWS AppSync |
| 16 novembre 2023 | [EMR.1] I nodi primari del cluster Amazon EMR non devono avere indirizzi IP pubblici | Il titolo di controllo modificato dai nodi master MapReduce del cluster Amazon Elastic non dovrebbe avere indirizzi IP pubblici, mentre i nodi primari del cluster Amazon EMR non dovrebbero avere indirizzi IP pubblici. |
| 16 novembre 2023 | I OpenSearch domini [Opensearch.2] non devono essere accessibili al pubblico | Il titolo di controllo modificato dai OpenSearch domini dovrebbe essere in un VPC, in quanto i domini non dovrebbero essere accessibili OpenSearch al pubblico. |
| 16 novembre 2023 | [ES.2] I domini Elasticsearch non devono essere accessibili al pubblico | Il titolo di controllo modificato dai domini Elasticsearch dovrebbe essere in un VPC, mentre i domini Elasticsearch non dovrebbero essere accessibili al pubblico. |
| 31 ottobre 2023 | [ES.4] La registrazione degli errori del dominio Elasticsearch nei log deve essere abilitata CloudWatch | ES.4 verifica se i domini Elasticsearch sono configurati per inviare log di errore ad Amazon Logs. CloudWatch Il controllo in precedenza produceva una PASSED ricerca per un dominio Elasticsearch con tutti i log configurati per l'invio a Logs. CloudWatch Security Hub CSPM ha aggiornato il controllo per produrre un PASSED risultato solo per un dominio Elasticsearch configurato per inviare i log degli errori ai registri. CloudWatch Il controllo è stato inoltre aggiornato per escludere dalla valutazione le versioni di Elasticsearch che non supportano i log degli errori. |
| 16 ottobre 2023 | [EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0.0/0 o: :/0 alla porta 22 | EC2.13 verifica se i gruppi di sicurezza consentono l'accesso illimitato in ingresso alla porta 22. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. |
| 16 ottobre 2023 | [EC2.14] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0.0/0 o: :/0 alla porta 3389 | EC2.14 verifica se i gruppi di sicurezza consentono l'accesso illimitato in ingresso alla porta 3389. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. |
| 16 ottobre 2023 | [EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate | EC2.18 verifica se i gruppi di sicurezza in uso consentono il traffico in entrata senza restrizioni. Security Hub CSPM ha aggiornato questo controllo per tenere conto degli elenchi di prefissi gestiti quando vengono forniti come origine per una regola del gruppo di sicurezza. Il controllo rileva se gli elenchi di FAILED prefissi contengono le stringhe '0.0.0.0/0' o ': :/0'. |
| 16 ottobre 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta python3.11 come parametro. |
| 4 ottobre 2023 | [S3.7] I bucket S3 per uso generico devono utilizzare la replica tra regioni | Security Hub CSPM ha aggiunto il parametro ReplicationType con un valore pari CROSS-REGION a per garantire che nei bucket S3 sia abilitata la replica tra regioni anziché la replica nella stessa regione. |
| 27 settembre 2023 | [EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata | Security Hub CSPM ha aggiornato la versione più vecchia supportata di Kubernetes su cui può essere eseguito il cluster Amazon EKS per produrre un risultato superato. La versione più vecchia attualmente supportata è Kubernetes. 1.24 |
| 20 settembre 2023 | [CloudFront.2] le CloudFront distribuzioni devono avere l'identità di accesso all'origine abilitata | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Altrimenti, consulta [CloudFront.13] CloudFront le distribuzioni devono utilizzare il controllo dell'accesso all'origine. Il controllo degli accessi Origin è l'attuale best practice di sicurezza. Questo controllo verrà rimosso dalla documentazione entro 90 giorni. |
| 20 settembre 2023 | [EC2.22] I gruppi di EC2 sicurezza Amazon non utilizzati devono essere rimossi | Security Hub CSPM ha rimosso questo controllo da AWS Foundational Security Best Practices (FSBP) e National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Fa ancora parte di Service-Managed Standard:. AWS Control Tower Questo controllo produce un risultato positivo se i gruppi di sicurezza sono collegati a EC2 istanze o a un'interfaccia di rete elastica. Tuttavia, in alcuni casi d'uso, i gruppi di sicurezza non collegati non rappresentano un rischio per la sicurezza. Puoi utilizzare altri EC2 controlli, ad esempio EC2 .2, EC2 .13, EC2 .14, EC2 .18 e.19, per monitorare i tuoi gruppi di sicurezza. EC2 |
| 20 settembre 2023 | [EC2.29] EC2 le istanze devono essere avviate in un VPC | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Amazon EC2 ha migrato le istanze EC2 -Classic a un VPC. Questo controllo verrà rimosso dalla documentazione entro 90 giorni. |
| 20 settembre 2023 | [S3.4] I bucket S3 devono avere abilitata la crittografia lato server | Security Hub CSPM ha ritirato questo controllo e lo ha rimosso da tutti gli standard. Amazon S3 ora fornisce la crittografia predefinita con chiavi gestite S3 (SS3-S3) su bucket S3 nuovi ed esistenti. Le impostazioni di crittografia sono invariate per i bucket esistenti crittografati con la crittografia lato server -S3 o -KMS. SS3 SS3 Questo controllo verrà rimosso dalla documentazione tra 90 giorni. |
| 14 settembre 2023 | [EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita | Titolo di controllo modificato da Il gruppo di sicurezza predefinito VPC non dovrebbe consentire il traffico in entrata e in uscita ai gruppi di sicurezza predefiniti VPC non dovrebbe consentire il traffico in entrata o in uscita. |
| 14 settembre 2023 | [IAM.9] L'MFA deve essere abilitata per l'utente root | Il titolo di controllo modificato da Virtual MFA deve essere abilitato per l'utente root a MFA deve essere abilitato per l'utente root. |
|
14 settembre 2023 |
[RDS.19] Le sottoscrizioni esistenti per le notifiche di eventi RDS devono essere configurate per gli eventi critici del cluster | Titolo di controllo modificato da Un abbonamento per le notifiche di eventi RDS deve essere configurato per gli eventi critici del cluster a Gli abbonamenti di notifica degli eventi RDS esistenti devono essere configurati per gli eventi critici del cluster. |
| 14 settembre 2023 | [RDS.20] Le sottoscrizioni di notifica degli eventi RDS esistenti devono essere configurate per gli eventi critici delle istanze di database | Titolo di controllo modificato da Un abbonamento alle notifiche di eventi RDS deve essere configurato per gli eventi critici delle istanze di database Gli abbonamenti di notifica degli eventi RDS esistenti devono essere configurati per gli eventi critici delle istanze di database. |
| 14 settembre 2023 | [WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione | Il titolo di controllo modificato da una regola regionale WAF dovrebbe avere almeno una condizione, mentre le regole regionali AWS WAF classiche dovrebbero avere almeno una condizione. |
| 14 settembre 2023 | [WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola | Il titolo di controllo modificato da Un gruppo di regole regionali WAF dovrebbe avere almeno una regola, mentre i gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola. |
| 14 settembre 2023 | [WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole | Il titolo di controllo modificato da Un ACL Web regionale WAF dovrebbe avere almeno una regola o un gruppo di regole a un sito Web regionale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole. |
| 14 settembre 2023 | [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione | Il titolo di controllo modificato da Una regola globale WAF dovrebbe avere almeno una condizione, mentre le regole globali AWS WAF classiche dovrebbero avere almeno una condizione. |
| 14 settembre 2023 | [WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola | Il titolo di controllo modificato da Un gruppo di regole globale WAF dovrebbe avere almeno una regola, mentre i gruppi di regole globali AWS WAF Classic dovrebbero avere almeno una regola. |
| 14 settembre 2023 | [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole | Titolo di controllo modificato da Un ACL web globale WAF dovrebbe avere almeno una regola o un gruppo di regole a AWS WAF Classic global Web ACLs dovrebbe avere almeno una regola o un gruppo di regole. |
| 14 settembre 2023 | [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole | Il titolo di controllo modificato da Un ACL WAFv2 web dovrebbe avere almeno una regola o un gruppo di regole, mentre il AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole. |
| 14 settembre 2023 | [WAF.11] La registrazione AWS WAF web ACL deve essere abilitata | Il titolo di controllo modificato dalla registrazione ACL Web AWS WAF v2 deve essere attivato e la registrazione ACL AWS WAF Web deve essere abilitata. |
|
20 luglio 2023 |
[S3.4] I bucket S3 devono avere abilitata la crittografia lato server | S3.4 verifica se un bucket Amazon S3 ha la crittografia lato server abilitata o se la policy del bucket S3 nega esplicitamente le richieste senza crittografia lato server. PutObject Security Hub CSPM ha aggiornato questo controllo per includere la crittografia lato server a doppio livello con chiavi KMS (DSSE-KMS). Il controllo produce un risultato superato quando un bucket S3 viene crittografato con SSE-S3, SSE-KMS o DSSE-KMS. |
| 17 luglio 2023 | [S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys | S3.17 verifica se un bucket Amazon S3 è crittografato con un. AWS KMS key Security Hub CSPM ha aggiornato questo controllo per includere la crittografia lato server a doppio livello con chiavi KMS (DSSE-KMS). Il controllo produce un risultato superato quando un bucket S3 viene crittografato con SSE-KMS o DSSE-KMS. |
| 9 giugno 2023 | [EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata | EKS.2 verifica se un cluster Amazon EKS è in esecuzione su una versione di Kubernetes supportata. La versione più vecchia supportata è ora. 1.23 |
| 9 giugno 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta ruby3.2 come parametro. |
| 5 giugno 2023 | [APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi | APIGateway.5.verifica se tutti i metodi nelle fasi dell'API REST di Amazon API Gateway sono crittografati a riposo. Security Hub CSPM ha aggiornato il controllo per valutare la crittografia di un particolare metodo solo quando la memorizzazione nella cache è abilitata per quel metodo. |
| 18 maggio 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta java17 come parametro. |
| 18 maggio 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più nodejs12.x come parametro. |
| 23 aprile 2023 | [ECS.10] I servizi ECS Fargate devono essere eseguiti sulla versione più recente della piattaforma Fargate | ECS.10 verifica se i servizi Amazon ECS Fargate eseguono l'ultima versione della piattaforma Fargate. I clienti possono implementare Amazon ECS tramite ECS direttamente o utilizzando. CodeDeploy Security Hub CSPM ha aggiornato questo controllo per produrre risultati Passed da utilizzare CodeDeploy per distribuire i servizi ECS Fargate. |
| 20 aprile 2023 | [S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS | S3.6 verifica se una policy sui bucket di Amazon Simple Storage Service (Amazon S3) impedisce ai principali di eseguire azioni Account AWS negate sulle risorse nel bucket S3. Security Hub CSPM ha aggiornato il controllo per tenere conto dei condizionali in una policy bucket. |
| 18 aprile 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM ora supporta python3.10 come parametro. |
| 18 aprile 2023 | [Lambda.2] Le funzioni Lambda devono utilizzare runtime supportati | Lambda.2 verifica se le impostazioni delle AWS Lambda funzioni per i runtime corrispondono ai valori previsti impostati per i runtime supportati in ogni lingua. Security Hub CSPM non supporta più dotnetcore3.1 come parametro. |
| 17 aprile 2023 | [RDS.11] Le istanze RDS devono avere i backup automatici abilitati | RDS.11 verifica se nelle istanze Amazon RDS sono abilitati i backup automatici, con un periodo di conservazione dei backup maggiore o uguale a sette giorni. Security Hub CSPM ha aggiornato questo controllo per escludere le repliche di lettura dalla valutazione, poiché non tutti i motori supportano i backup automatici sulle repliche di lettura. Inoltre, RDS non offre la possibilità di specificare un periodo di conservazione dei backup durante la creazione di repliche di lettura. Le repliche di lettura vengono create con un periodo di conservazione dei backup di 0 default. |
