Security Hub CSPM 控件的更改日志
以下更改日志跟踪现有 AWS Security Hub CSPM 控件的重大更改,这些更改可能会导致控件的整体状态及其调查发现的合规性状态发生变化。有关 Security Hub CSPM 如何评估控件状态的信息,请参阅评估合规性状态和控件状态。更改在输入此日志后可能需要几天时间才能影响该控件可用的所有 AWS 区域。
此日志跟踪自 2023 年 4 月以来发生的更改。选择一个控件以查看其相关的更多详细信息。标题更改将在控件的详细描述中记录 90 天。
| 变更日期 | 控件 ID 和标题 | 更改的说明 |
|---|---|---|
| 2025 年 10 月 23 日 | [ElastiCache.1] ElastiCache(Redis OSS)集群应启用自动备份 | Security Hub CSPM 于 2025 年 10 月 14 日恢复了对此控件的标题、描述和规则所做的更改。 |
| 2025 年 10 月 22 日 | [CloudFront.1] CloudFront 分配应配置默认根对象。 | Security Hub CSPM 更新了此控件,使其不再为使用自定义源的 Amazon CloudFront 分配生成调查发现。 |
| 2025 年 10 月 16 日 | [CloudFront.15] CloudFront 分配应使用推荐的 TLS 安全策略 | 此控件检查 Amazon CloudFront 分配是否配置为使用推荐的 TLS 安全策略。Security Hub CSPM 现在支持 |
| 2025 年 10 月 14 日 | [ElastiCache.1] ElastiCache(Redis OSS)集群应启用自动备份 | Security Hub CSPM 更改了此控件的标题、描述和规则。之前,该控件使用 elasticache-redis-cluster-automatic-backup-check 规则检查 Redis OSS 集群和所有复制组。控件的标题为:ElastiCache (Redis OSS) 集群应启用自动备份。 现在,除了 Redis OSS 集群和所有复制组之外,此控件还会使用 elasticache-automatic-backup-check-enabled 规则检查 Valkey 集群。新的标题和描述反映该控件检查两种类型的集群。 |
| 2025 年 10 月 5 日 | [Opensearch.10] OpenSearch 域应安装最新的软件更新 | 此控件的规则已更新,如果 Amazon OpenSearch Service 域没有可用的软件更新且更新状态不符合条件,则还会生成 |
| 2025 年 9 月 24 日 | [Redshift.9] Redshift 集群不应使用默认的数据库名称 [RedshiftServerless.7] Redshift Serverless 命名空间不应使用默认数据库名称 |
Security Hub CSPM 停用了这些控件,并将其从所有适用的标准中移除。Security Hub CSPM 停用了这些控件,这是因为 Amazon Redshift 固有的限制导致无法有效修复控件的 以前,控件适用于 AWS 基础安全最佳实践 (FSBP) 标准和 NIST SP 800-53 Rev. 5 标准。Redshift.9 控件也适用于 AWS Control Tower 服务托管标准。 |
| 2025 年 9 月 9 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | 此控件检查 AWS Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值匹配。Security Hub CSPM 不再支持将 |
| 2025 年 8 月 13 日 | [SageMaker.5] SageMaker 模型应启用网络隔离 | Security Hub CSPM 更改了此控件的标题和描述。新的标题和描述更准确地反映了该控件检查 Amazon SageMaker AI 托管模型的 |
| 2025 年 8 月 13 日 | [EFS.6] EFS 挂载目标不应与在启动时分配公有 IP 地址的子网关联 | Security Hub CSPM 更改了此控件的标题和描述。新的标题和描述更准确地反映了该控件所执行的检查的范围和性质。以前,此控件的标题为:EFS mount targets should not be associated with a public subnet。 |
| 2025 年 7 月 24 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件检查 Amazon EKS 集群是否在支持的 Kubernetes 版本上运行。Security Hub CSPM 将此控件的参数值从 |
| 2025 年 7 月 23 日 | [EC2.173] 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密 | Security Hub CSPM 更改了此控件的标题。新标题更准确地反映了该控件仅检查指定了启动参数的 Amazon EC2 竞价型实例集请求。以前,此控件的标题为:EC2 Spot Fleet requests should enable encryption for attached EBS volumes。 |
| 2025 年 6 月 30 日 | [IAM.13] 确保 IAM 密码策略要求包含至少一个符号 | Security Hub CSPM 从 PCI DSS v4.0.1 标准中移除了此控件。PCI DSS v4.0.1 没有明确要求在密码中使用符号。 |
| 2025 年 6 月 30 日 | [IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效 | Security Hub CSPM 从 NIST SP 800-171 修订版 2 标准中移除了此控件。NIST SP 800-171 修订版 2 没有明确要求密码过期时间为 90 天或更短。 |
| 2025 年 6 月 30 日 | [RDS.16] 应将 Aurora 数据库集群配置为将标签复制到数据库快照 | Security Hub CSPM 更改了此控件的标题。新标题更准确地反映了该控件仅检查 Amazon Aurora DB 集群。以前,此控件的标题为:RDS DB clusters should be configured to copy tags to snapshots。 |
| 2025 年 6 月 30 日 | [SageMaker.8] SageMaker 笔记本实例应在支持的平台上运行 | 此控件会根据为笔记本实例指定的平台标识符,检查 Amazon SageMaker AI 笔记本实例是否配置为在受支持的平台上运行。Security Hub CSPM 不再支持 |
| 2025 年 5 月 30 日 | [IAM.10] IAM 用户的密码策略应具有可靠的配置 | Security Hub CSPM 从 PCI DSS v4.0.1 标准中移除了此控件。此控件检查 IAM 用户的账户密码策略是否满足最低要求,包括密码长度至少为 7 个字符。PCI DSS v4.0.1 现在要求密码至少包含 8 个字符。此控件继续适用于 PCI DSS v3.2.1 标准,该标准具有不同的密码要求。 要根据 PCI DSS v4.0.1 要求评估账户密码策略,可以使用 IAM.7 控件。此控件要求密码至少包含 8 个字符。它还对密码长度和其他参数支持自定义值。IAM.7 控件是 Security Hub CSPM 中 PCI DSS v4.0.1 标准的一部分。 |
| 2025 年 5 月 8 日 | [RDS.46] RDS DB 实例不应部署在具有通往互联网网关路由的公共子网中 | Security Hub CSPM 撤销了所有 AWS 区域中 RDS.46 控件的发布。以前,此控件支持 AWS 基础安全最佳实践 (FSBP) 标准。 |
| 2025 年 4 月 7 日 | [ELB.17] 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略 | 此控件检查应用程序负载均衡器的 HTTPS 侦听器或网络负载均衡器的 TLS 侦听器是否配置为使用推荐的安全策略对传输中的数据进行加密。Security Hub CSPM 现在支持此控件的两个附加参数值: |
| 2025 年 3 月 27 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | 此控件检查 AWS Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值匹配。Security Hub CSPM 现在支持将 |
| 2025 年 3 月 26 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件可检查 Amazon Elastic Kubernetes Service(Amazon EKS)集群是否在支持的 Kubernetes 版本上运行。对于 |
| 2025 年 3 月 10 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | 此控件检查 AWS Lambda 函数的运行时设置是否与每种语言支持的运行时的预期值匹配。Security Hub CSPM 不再支持 |
| 2025 年 3 月 7 日 | [RDS.18] RDS 实例应部署在 VPC 中 | Security Hub CSPM 从 AWS 基础安全最佳实践标准中移除了此控件,并自动检查 NIST SP 800-53 Rev. 5 要求。由于 Amazon EC2-Classic 网络已停用,Amazon Relational Database Service (Amazon RDS) 实例无法再部署在 VPC 之外。该控制仍然是 AWS Control Tower 服务托管标准的一部分。 |
| 2025 年 1 月 10 日 | [Glue.2] AWS Glue 作业应启用日志记录 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。 |
| 2024 年 12 月 20 日 | EC2.61 至 EC2.169 | Security Hub CSPM 撤销了 EC2.61 至 EC2.169 控件的发布。 |
| 2024 年 12 月 12 日 | [RDS.23] RDS 实例不应使用数据库引擎的默认端口 | RDS.23 检查 Amazon Relational Database Service (Amazon RDS) 集群或实例是否使用数据库引擎的默认端口以外的端口。我们更新了该控件,以便底层 AWS Config 规则返回属于集群的 RDS 实例的 NOT_APPLICABLE 结果。 |
| 2024 年 12 月 2 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 现在支持 nodejs22.x 作为参数。 |
| 2024 年 11 月 26 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件可检查 Amazon Elastic Kubernetes Service(Amazon EKS)集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.29。 |
| 2024 年 11 月 20 日 | [Config.1] 应启用 AWS Config 并使用服务相关角色进行资源记录 | Config.1 检查 AWS Config 是否已启用、使用服务相关角色并记录已启用控件的资源。Security Hub CSPM 将此控件的严重性从 要接收 Config.1 的 |
| 2024 年 11 月 12 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 现在支持 python3.13 作为参数。 |
| 2024 年 10 月 11 日 | ElastiCache 控件 | 更改了 ElastiCache.3、ElastiCache.4、ElastiCache.5 和 ElastiCache.7 的控件标题。标题不再提及 Redis OSS,因为控件也适用于 ElastiCache for Valkey。 |
| 2024 年 9 月 27 日 | [ELB.4] 应将应用程序负载均衡器配置为丢弃无效的 http 标头 | 将控件标题从应将应用程序负载均衡器配置为删除 http 标头更改为应将应用程序负载均衡器配置为删除无效的 http 标头。 |
| 2024 年 8 月 19 日 | 对 DMS.12 和 ElastiCache 控件的标题进行了更改 | 通过 ElastiCache.7 更改了 DMS.12 和 ElastiCache.1 的控件标题。我们更改了这些标题,以反映 Amazon ElastiCache(Redis OSS)服务的名称更改。 |
| 2024 年 8 月 15 日 | [Config.1] 应启用 AWS Config 并使用服务相关角色进行资源记录 | Config.1 检查 AWS Config 是否已启用、使用服务相关角色并记录已启用控件的资源。Security Hub CSPM 添加了一个名为 includeConfigServiceLinkedRoleCheck 的自定义控件参数。通过将此参数设置为 false,您可以选择不检查 AWS Config 是否使用服务相关角色。 |
| 2024 年 7 月 31 日 | [IoT.1] 应标记 AWS IoT Device Defender 安全配置文件 | 将控件标题从应该标记 AWS IoT Core 安全配置文件更改为应该标记 AWS IoT Device Defender 安全配置文件。 |
| 2024 年 7 月 29 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 不再支持 nodejs16.x 作为参数。 |
| 2024 年 7 月 29 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件可检查 Amazon Elastic Kubernetes Service(Amazon EKS)集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.28。 |
| 2024 年 6 月 25 日 | [Config.1] 应启用 AWS Config 并使用服务相关角色进行资源记录 | 此控件检查是否已启用 AWS Config、使用服务相关角色并记录已启用控件的资源。Security Hub CSPM 更新了控件标题以反映控件评估的内容。 |
| 2024 年 6 月 14 日 | [RDS.34] Aurora MySQL 数据库集群应将审核日志发布到 CloudWatch Logs | 此控件检查 Amazon Aurora MySQL 数据库集群是否配置为将审核日志发布到 Amazon CloudWatch Logs。Security Hub CSPM 更新了控件,使其不会为 Aurora Serverless v1 数据库集群生成调查发现。 |
| 2024 年 6 月 11 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | 此控件可检查 Amazon Elastic Kubernetes Service(Amazon EKS)集群是否在支持的 Kubernetes 版本上运行。目前支持的最旧版本是 1.27。 |
| 2024 年 6 月 10 日 | [Config.1] 应启用 AWS Config 并使用服务相关角色进行资源记录 | 此控件检查是否已启用 AWS Config 及是否已开启 AWS Config 资源记录。以前,只有在为所有资源配置了记录时,控件才会生成 PASSED 调查发现。Security Hub CSPM 更新了控件,以便在为已启用控件所需的资源开启记录时生成 PASSED 调查发现。控件也已更新,以检查是否使用了 AWS Config 服务相关角色,该角色会提供记录必要资源所需的权限。 |
| 2024 年 5 月 8 日 | [S3.20] S3 通用存储桶应启用 MFA 删除 | 该控件检查受版本控制的 Amazon S3 通用存储桶是否启用了多重身份验证(MFA)删除。以前,该控件会为具有生命周期配置的存储桶生成 FAILED 调查发现。但是,无法在具有生命周期配置的存储桶上启用已启用版本控制的 MFA 删除。Security Hub CSPM 更新了控件,不会为具有生命周期配置的存储桶生成任何调查发现。控件描述已更新,以反映当前行为。 |
| 2024 年 5 月 2 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub CSPM 更新了 Kubernetes 支持的最早版本,Amazon EKS 集群可以在该版本上运行,以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.26。 |
| 2024 年 4 月 30 日 | [CloudTrail.3] 应至少启用一个 CloudTrail 跟踪记录 | 将控件标题从应该启用 CloudTrail 更改为应该启用至少一个 CloudTrail 跟踪。当前,如果启用了至少一个 AWS 账户 CloudTrail 跟踪,则此控件会生成 PASSED 调查发现。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 4 月 29 日 | [AutoScaling.1] 与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查 | 将控件标题从与经典负载均衡器关联的自动扩缩组应使用负载均衡器运行状况检查更改为与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查。此控件目前评估应用程序、网关、网络和经典负载均衡器。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 4 月 19 日 | [CloudTrail.1] 应启用 CloudTrail 并配置至少一个包含读取和写入管理事件的多区域跟踪 | 此控件检查是否已启用 AWS CloudTrail 并至少配置了一个包含读写管理事件的多区域追踪。以前,在账户启用 CloudTrail 并配置至少一个多区域跟踪时,即使没有跟踪捕获读写管理事件,此控件也会正确生成 PASSED 调查发现。现在,仅当已启用 CloudTrail 并至少配置了一个捕获读写管理事件的多区域追踪,此控件才会生成 PASSED 调查发现。 |
| 2024 年 4 月 10 日 | [Athena.1] Athena 工作组应进行静态加密 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。Athena 工作组将日志发送到 Amazon Simple Storage Service(Amazon S3)存储桶中。Amazon S3 现在使用 S3 托管式密钥 (SS3-S3) 为新的和现有的 S3 存储桶提供默认加密。 |
| 2024 年 4 月 10 日 | [AutoScaling.4] 自动扩缩组启动配置的元数据响应跳跃限制不应大于 1 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。Amazon Elastic Compute Cloud(Amazon EC2)实例的元数据响应跃点限制依赖于工作负载。 |
| 2024 年 4 月 10 日 | [CloudFormation.1] CloudFormation 堆栈应该与 Simple Notification Service(SNS)集成。 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。将 AWS CloudFormation 堆栈与 Amazon SNS 主题集成不再是一种安全最佳实践。尽管将重要的 CloudFormation 堆栈与 SNS 主题集成可能很有用,但并非所有堆栈都需要这样做。 |
| 2024 年 4 月 10 日 | [CodeBuild.5] CodeBuild 项目环境不应启用特权模式 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。在 CodeBuild 项目中启用特权模式不会给客户环境带来额外风险。 |
| 2024 年 4 月 10 日 | [IAM.20] 避免使用根用户 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。此控件的目的由另一个控件 [PCI.CW.1] 应具有有关“根”用户使用的日志指标筛选条件和警报 覆盖。 |
| 2024 年 4 月 10 日 | [SNS.2] 应为发送到主题的通知消息启用传输状态记录 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。记录 SNS 主题的传输状态不再是安全最佳实践。尽管记录重要 SNS 主题的传输状态可能很有用,但并非所有主题都必须这样做。 |
| 2024 年 4 月 10 日 | [S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置 | Security Hub CSPM 从 AWS 基础安全最佳实践和服务托管标准中移除了此控件:AWS Control Tower。此控件的目的由另两个控件覆盖:[S3.13] S3 通用存储桶应具有生命周期配置 和 [S3.14] S3 通用存储桶应启用版本控制。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 10 日 | [S3.11] S3 通用存储桶应启用事件通知 | Security Hub CSPM 从 AWS 基础安全最佳实践和服务托管标准中移除了此控件:AWS Control Tower。尽管在某些情况下,S3 存储桶的事件通知很有用,但这不是通用的安全最佳实践。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 10 日 | [SNS.1] 应使用 AWS KMS 对 SNS 主题进行静态加密 | Security Hub CSPM 从 AWS 基础安全最佳实践和服务托管标准中移除了此控件:AWS Control Tower。默认情况下,SNS 使用磁盘加密对静态主题进行加密。有关更多信息,请参阅数据加密。不再建议将使用 AWS KMS 加密主题作为安全最佳实践。此控件仍然是 NIST SP 800-53 Rev. 5 的一部分。 |
| 2024 年 4 月 8 日 | [ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护 | 将控件标题从应启用应用程序负载均衡器删除保护更改为应用程序、网关和网络负载均衡器应启用删除保护。此控件目前评估应用程序、网关和网络负载均衡器。标题和描述已更改,以准确反映当前行为。 |
| 2024 年 3 月 22 日 | [Opensearch.8] 连接到 OpenSearch 域时应使用最新的 TLS 安全策略进行加密 | 将控件标题从连接到 OpenSearch 域时应使用 TLS 1.2 进行加密更改为连接到 OpenSearch 域时应使用最新 TLS 安全策略进行加密。之前,该控件仅检查连接到 OpenSearch 域时是否使用 TLS 1.2。现在,如果使用最新的 TLS 安全策略对 OpenSearch 域进行加密,该控件会生成 PASSED 调查发现。控件标题和描述已更新,以反映当前行为。 |
| 2024 年 3 月 22 日 | [ES.8] 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密 | 将控件标题从连接到 Elasticsearch 域时应使用 TLS 1.2 进行加密更改为连接到 Elasticsearch 域时应使用最新 TLS 安全策略进行加密。之前,该控件仅检查连接到 Elasticsearch 域时是否使用 TLS 1.2。现在,如果使用最新的 TLS 安全策略对 Elasticsearch 域进行加密,该控件会生成 PASSED 调查发现。控件标题和描述已更新,以反映当前行为。 |
| 2024 年 3 月 12 日 | [S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置 | 将标题从应启用 S3 阻止公共访问权限设置更改为 S3 通用存储桶应启用屏蔽公共访问权限设置。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.2] S3 通用存储桶应阻止公共读取访问权限 | 将标题从 S3 存储桶应禁止公共读取访问权限更改为 S3 通用存储桶应屏蔽公共读取访问权限。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.3] S3 通用存储桶应阻止公共写入访问权限 | 将标题从 S3 存储桶应禁止公共写入访问权限更改为 S3 通用存储桶应阻止公共写入访问权限。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.5] S3 通用存储桶应需要请求才能使用 SSL | 将标题从 S3 存储桶应需要请求才能使用安全套接字层更改为 S3 通用存储桶应需要请求才能使用 SSL。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.6] S3 通用存储桶策略应限制对其他 AWS 账户 的访问权限 | 将标题从应限制授予存储桶策略中其他 AWS 账户 的 S3 权限更改为S3 通用存储桶策略应限制对其他 AWS 账户 的访问。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | 将标题从 S3 存储桶应启用跨区域复制更改为 S3 通用存储桶应使用跨区域复制。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | 将标题从 S3 存储桶应启用跨区域复制更改为 S3 通用存储桶应使用跨区域复制。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.8] S3 通用存储桶应屏蔽公共访问权限 | 将标题从应在存储桶级启用 S3 阻止公共访问权限设置更改为 S3 通用存储桶应阻止公共访问权限。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.9] S3 通用存储桶应启用服务器访问日志记录 | 将标题从应启用 S3 存储桶服务器访问日志记录更改为应为S3 通用存储桶启用服务器访问日志记录。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.10] 启用了版本控制的 S3 通用存储桶应具有生命周期配置 | 将标题从启用版本控制的 S3 存储桶应配置生命周期策略更改为启用版本控制的 S3 通用存储桶应具有生命周期配置。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.11] S3 通用存储桶应启用事件通知 | 将标题从 S3 存储桶应启用事件通知更改为 S3 通用存储桶应启用事件通知。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.12] 不应使用 ACL 来管理用户对 S3 通用存储桶的访问权限 | 将标题从 S3 访问控制列表(ACL)不应用于管理对存储桶的用户访问权限更改为不应使用 ACL 管理对 S3 通用存储桶的用户访问权限。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.13] S3 通用存储桶应具有生命周期配置 | 将标题从 S3 存储桶应配置生命周期策略更改为 S3 通用存储桶应具有生命周期配置。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.14] S3 通用存储桶应启用版本控制 | 将标题从 S3 存储桶应使用版本控制更改为 S3 通用存储桶应启用版本控制。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.15] S3 通用存储桶应启用对象锁定 | 将标题从应将 S3 存储桶配置为使用对象锁定更改为 S3 通用存储桶应启用对象锁定。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 12 日 | [S3.17] S3 存储桶应使用 AWS KMS keys 进行静态加密 | 将标题从应使用 AWS KMS keys 对 S3 存储桶进行静态加密更改为应使用 AWS KMS keys 对 S3 通用存储桶进行静态加密。Security Hub CSPM 更改了账户的标题,以反映新的 S3 存储桶类型。 |
| 2024 年 3 月 7 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 现在支持 nodejs20.x 和 ruby3.3 作为参数。 |
| 2024 年 2 月 22 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 现在支持 dotnet8 作为参数。 |
| 2024 年 2 月 5 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub CSPM 更新了 Kubernetes 支持的最早版本,Amazon EKS 集群可以在该版本上运行,以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.25。 |
| 2024 年 1 月 10 日 | [CodeBuild.1] CodeBuild Bitbucket 源存储库 URL 不应包含敏感凭证 | 将标题从 CodeBuild GitHub 或 Bitbucket 源存储库 URL 应使用 OAuth 更改为 CodeBuild Bitbucket 源存储库 URL 不应包含敏感凭证。Security Hub CSPM 移除了对 OAuth 的提及,因为其他连接方法也可以很安全。Security Hub CSPM 移除了对 GitHub 的提及,因为不再能够在 GitHub 源存储库 URL 中使用个人访问令牌或用户名和密码。 |
| 2024 年 1 月 8 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 不再支持 go1.x 和 java8 作为参数,因为这些运行时都已停用。 |
| 2023 年 12 月 29 日 | [RDS.8] RDS 数据库实例应启用删除保护 | RDS.8 会检查使用某个受支持数据库引擎的 Amazon RDS 数据库实例是否启用了删除保护。Security Hub CSPM 现在支持 custom-oracle-ee、oracle-ee-cdb、和 oracle-se2-cdb 作为数据库引擎。 |
| 2023 年 12 月 22 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 现在支持 java21 和 python3.12 作为参数。Security Hub CSPM 不再支持 ruby2.7 作为参数。 |
| 2023 年 12 月 15 日 | [CloudFront.1] CloudFront 分配应配置默认根对象。 | CloudFront.1 检查 Amazon CloudFront 分配是否配置了默认根对象。Security Hub CSPM 将此控件的严重性从“关键”降低到“高”,因为添加默认根对象是一个建议操作,具体取决于用户应用程序及特定需求。 |
| 2023 年 12 月 5 日 | [EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 | 将控件标题从安全组不应允许从 0.0.0.0/0 到端口 22 的入口流量更改为安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量。 |
| 2023 年 12 月 5 日 | [EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 | 将控件标题从 确保没有安全组允许从 0.0.0.0/0 到端口 3389 的入口流量更改为 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量。 |
| 2023 年 12 月 5 日 | [RDS.9] RDS 数据库实例应将日志发布到 CloudWatch Logs | 将控件标题从应启用数据库日志记录更改为 RDS 数据库实例应将日志发布到 CloudWatch Logs。Security Hub CSPM 发现,此控件仅检查日志是否已发布到 Amazon CloudWatch Logs,而不检查是否已启用 RDS 日志。如果将 RDS 数据库实例配置为将日志发布到 CloudWatch Logs,则该控件会生成 PASSED 调查发现。控件标题已更新,以反映当前行为。 |
| 2023 年 12 月 5 日 | [EKS.8] EKS 集群应启用审核日志记录 | 此控件检查 Amazon EKS 集群是否启用了审计日志记录。Security Hub CSPM 用于评估此控件的 AWS Config 规则从 eks-cluster-logging-enabled 更改为 eks-cluster-log-enabled。 |
| 2023 年 11 月 17 日 | [EC2.19] 安全组不应允许不受限制地访问高风险端口 | EC2.19 检查被认为高风险的指定端口是否可以访问安全组的不受限制的传入流量。Security Hub CSPM 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果此前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 11 月 16 日 | [CloudWatch.15] CloudWatch 警报应配置指定操作 | 将控件标题从 CloudWatch 警报应为警报状态配置操作更改为 CloudWatch 警报应配置指定的操作。 |
| 2023 年 11 月 16 日 | [CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留 | 将控件标题从 CloudWatch 日志组应至少保留 1 年改为 CloudWatch 日志组应保留给定的一段时间。 |
| 2023 年 11 月 16 日 | [Lambda.5] VPC Lambda 函数应在多个可用区内运行 | 将控件标题从 VPC Lambda 函数应在一个以上可用区中运行更改为 VPC Lambda 函数应在多个可用区中运行。 |
| 2023 年 11 月 16 日 | [AppSync.2] AWS AppSync 应该启用字段级日志记录 | 将控件标题从 AWS AppSync 应开启请求级和字段级日志记录更改为 AWS AppSync 应启用字段级日志记录。 |
| 2023 年 11 月 16 日 | [EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址 | 将控件标题从 Amazon Elastic MapReduce 集群主节点不应有公有 IP 地址更改为 Amazon EMR 集群主节点不应有公有 IP 地址。 |
| 2023 年 11 月 16 日 | [Opensearch.2] OpenSearch 域名不可供公共访问 | 将控件标题从 OpenSearch 域名应位于 VPC 中更改为 OpenSearch 域名不可供公共访问。 |
| 2023 年 11 月 16 日 | [ES.2] Elasticsearch 域名不可供公共访问 | 将控件标题从 Elasticsearch 域名应位于 VPC 中更改为 Elasticsearch 域名不可供公共访问。 |
| 2023 年 10 月 31 日 | [ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch Logs 的功能。 | ES.4 检查 Elasticsearch 域是否配置为向 Amazon CloudWatch Logs 发送错误日志。该控件之前对一个 Elasticsearch 域生成了 PASSED 调查发现,该域名的所有日志都配置为发送到 CloudWatch Logs。Security Hub CSPM 更新了该控件,仅针对配置为将错误日志发送到 CloudWatch Logs 的 Elasticsearch 域生成 PASSED 调查发现。该控件也进行了更新,将不支持错误日志的 Elasticsearch 版本排除在评估之外。 |
| 2023 年 10 月 16 日 | [EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 | EC2.13 检查安全组是否允许对端口 22 进行不受限制的入口访问。Security Hub CSPM 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 | EC2.14 检查安全组是否允许对端口 3389 进行不受限制的入口访问。Security Hub CSPM 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [EC2.18] 安全组应只允许授权端口不受限制的传入流量 | EC2.18 检查正在使用的安全组是否允许不受限制的入口流量。Security Hub CSPM 更新了此控件,以考虑到将托管前缀列表作为安全组规则来源的情况。如果前缀列表包含字符串“0.0.0.0/0”或“::/0”,则该控件会生成 FAILED 调查发现。 |
| 2023 年 10 月 16 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 现在支持 python3.11 作为参数。 |
| 2023 年 10 月 4 日 | [S3.7] S3 通用存储桶应使用跨区域复制 | Security Hub CSPM 添加了值为 CROSS-REGION 的参数 ReplicationType,以确保 S3 存储桶启用了跨区域复制,而非同区域复制。 |
| 2023 年 9 月 27 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | Security Hub CSPM 更新了 Kubernetes 支持的最早版本,Amazon EKS 集群可以在该版本上运行,以得出通过的调查发现。目前支持的最旧版本是 Kubernetes 1.24。 |
| 2023 年 9 月 20 日 | [CloudFront.2] CloudFront 分配应启用源访问身份 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。请改为参阅[CloudFront.13] CloudFront 分配应使用源站访问控制。“源访问标识”是当前的安全最佳实践。此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 20 日 | [EC2.22] 应删除未使用的 Amazon EC2 安全组 | Security Hub CSPM 从 AWS 基础安全最佳实践 (FSBP) 和美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5 中移除了此控件。它仍然是服务托管标准 AWS Control Tower 的一部分。如果安全组连接到 EC2 实例或弹性网络接口,此 控件会生成一个通过的调查发现。但是,对于某些用例,未附加的安全组不会构成安全风险。您可以使用其他 EC2 控件(例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19)来监控您的安全组。 |
| 2023 年 9 月 20 日 | [EC2.29] EC2 实例应在 VPC 中启动 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。Amazon EC2 已将 EC2-Classic 实例迁移到 VPC。此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 20 日 | [S3.4] S3 存储桶应启用服务器端加密 | Security Hub CSPM 停用了此控件,并将其从所有标准中移除。Amazon S3 现在使用 S3 托管式密钥 (SS3-S3) 为新的和现有的 S3 存储桶提供默认加密。使用 SS3-S3 或 SS3-KMS 服务器端加密的现有存储桶的加密设置保持不变。此控件将在 90 天后从文档中删除。 |
| 2023 年 9 月 14 日 | [EC2.2] VPC 默认安全组不应允许入站或出站流量 | 已将控件标题从 VPC 默认安全组不应允许入站和出站流量更改为 VPC 默认安全组不应允许入站或出站流量。 |
| 2023 年 9 月 14 日 | [IAM.9] 应为根用户启用 MFA | 已将控件标题从应为根用户启用虚拟 MFA更改为应为根用户启用 MFA。 |
|
2023 年 9 月 14 日 |
[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅 | 已将控件标题从应为关键集群事件配置 RDS 事件通知订阅更改为应为关键集群事件配置现有 RDS 事件通知订阅。 |
| 2023 年 9 月 14 日 | [RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅 | 已将控件标题从应为关键数据库实例事件配置 RDS 事件通知订阅更改为应为关键数据库实例事件配置现有 RDS 事件通知订阅。 |
| 2023 年 9 月 14 日 | [WAF.2] AWS WAF Classic Regional 规则应至少有一个条件 | 已将控件标题从WAF Regional 规则应至少有一个条件更改为 AWS WAF Classic Regional 规则应至少有一个条件。 |
| 2023 年 9 月 14 日 | [WAF.3] AWS WAF Classic Regional 规则组应至少有一条规则 | 已将控件标题从 WAF Regional 规则组应至少包含一条规则更改为 AWS WAF Classic Regional 规则组应至少包含一条规则。 |
| 2023 年 9 月 14 日 | [WAF.4] AWS WAF Classic Regional Web ACL 应至少有一个规则或规则组 | 已将控件标题从 WAF Regional web ACL 应至少有一个规则或规则组更改为 AWS WAF Classic Regional Web ACL 应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.6] AWS WAF 经典全局规则应至少有一个条件 | 已将控件标题从全局 WAF 规则应至少有一个条件更改为 Classic 全局 AWS WAF 规则应至少有一个条件。 |
| 2023 年 9 月 14 日 | [WAF.7] AWS WAF 经典全局规则组应至少有一条规则 | 已将控件标题从全局 WAF 规则组应至少包含一条规则更改为 Classic 全局 AWS WAF 规则组应至少包含一条规则。 |
| 2023 年 9 月 14 日 | [WAF.8] AWS WAF 经典全局 Web ACL 应至少有一个规则或规则组 | 已将控件标题从 WAF 全局 Web ACL 应至少包含一个规则或规则组更改为 AWS WAF Classic 全局 Web ACL 应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.10] AWS WAF Web ACL 应至少有一个规则或规则组 | 已将控件标题从 WAFv2 Web ACL 至少有一个规则或规则组更改为 AWS WAF Web ACL 应至少有一个规则或规则组。 |
| 2023 年 9 月 14 日 | [WAF.11] AWS WAF 应启用 Web ACL 日志记录 | 已将控件标题从应激活 AWS WAFv2 Web ACL 日志记录更改为应启用 AWS WAF Web ACL 日志记录。 |
|
2023 年 7 月 20 日 |
[S3.4] S3 存储桶应启用服务器端加密 | S3.4 检查一个 Amazon S3 存储桶是否启用了服务器端加密,或者 S3 存储桶策略是否明确拒绝了没有服务器端加密的 PutObject 请求。Security Hub CSPM 更新了此控件,以加入具有 KMS 密钥的双层服务器端加密 (DSSE-KMS)。当使用 SSE-S3、SSE-KMS 或 DSSE-KMS 加密 S3 存储桶时,控件会生成已通过的调查发现。 |
| 2023 年 7 月 17 日 | [S3.17] S3 存储桶应使用 AWS KMS keys 进行静态加密 | S3.17 检查 Amazon S3 存储桶是否使用了 AWS KMS key 加密。Security Hub CSPM 更新了此控件,以加入具有 KMS 密钥的双层服务器端加密 (DSSE-KMS)。当使用 SSE-KMS 或 DSSE-KMS 加密 S3 存储桶时,该控件会生成已通过的调查发现。 |
| 2023 年 6 月 9 日 | [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行 | EKS.2 检查 Amazon EKS 集群是否在受支持的 Kubernetes 版本上运行。现在支持的最旧版本是 1.23。 |
| 2023 年 6 月 9 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 现在支持 ruby3.2 作为参数。 |
| 2023 年 6 月 5 日 | [APIGateway.5] API Gateway REST API 缓存数据应进行静态加密 | APIGateway.5. 检查 Amazon API Gateway REST API 阶段中的所有方法是否都处于静态加密状态。Security Hub CSPM 更新了该控件,使其仅在为特定方法启用缓存时才评估该方法的加密。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 现在支持 java17 作为参数。 |
| 2023 年 5 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 不再支持 nodejs12.x 作为参数。 |
| 2023 年 4 月 23 日 | [ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行 | ECS.10 会检查 Amazon ECS Fargate 服务是否运行最新的 Fargate 平台版本。客户可以直接通过 ECS 部署 Amazon ECS,也可以使用 CodeDeploy 部署。Security Hub CSPM 更新了此控件,以便在您使用 CodeDeploy 部署 ECS Fargate 服务时生成通过的调查发现。 |
| 2023 年 4 月 20 日 | [S3.6] S3 通用存储桶策略应限制对其他 AWS 账户 的访问权限 | S3.6 检查 Amazon Simple Storage Service (Amazon S3) 存储桶策略是否阻止其他 AWS 账户 的主体对 S3 存储桶中的资源执行拒绝的操作。考虑存储桶策略中的条件,Security Hub CSPM 更新了该控件。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 现在支持 python3.10 作为参数。 |
| 2023 年 4 月 18 日 | [Lambda.2] Lambda 函数应使用受支持的运行时系统 | Lambda.2 检查运行时系统的 AWS Lambda 函数设置是否与为每种语言支持的运行时设置的预期值匹配。Security Hub CSPM 不再支持 dotnetcore3.1 作为参数。 |
| 2023 年 4 月 17 日 | [RDS.11] RDS 实例应启用自动备份 | RDS.11 会检查 Amazon RDS 实例是否启用了自动备份,其备份保留期大于或等于七天。Security Hub CSPM 更新了此控件,将只读副本排除在评估范围之外,因为并非所有引擎都支持对只读副本进行自动备份。此外,RDS 不提供在创建只读副本时指定备份保留期的选项。默认情况下,只读副本创建时的备份保留期为 0。 |
