Security Hub CSPM 控件参考
此控件参考提供了一个表格,其中包含可用的 AWS Security Hub CSPM 控件以及指向有关每个控件的更多信息的链接。在该表中,控件按控件 ID 的字母顺序排列。此处仅包含 Security Hub CSPM 正在使用的控件。已停用的控件不包含在表中。
该表提供了每个控件的以下信息:
-
安全控件 ID——此 ID 适用于所有标准,并表示该控件所涉及的 AWS 服务 和资源。无论账户中开启还是关闭了整合的控件调查发现,Security Hub CSPM 控制台都会显示安全控件 ID。但是,只有在账户中启用了整合的控件调查发现时,Security Hub CSPM 调查发现才会引用安全控件 ID。如果在账户中关闭了整合的控件调查发现,则控件调查发现中的某些控件 ID 可能会因标准而异。有关特定于标准的控件 ID 与安全控件 ID 的映射,请参阅 整合如何影响控件 ID 和标题。
如果您想为安全控件设置自动化,我们建议您根据控件 ID 而不是标题或描述进行筛选。尽管 Security Hub CSPM 偶尔会更新控件标题或描述,但控件 ID 保持不变。
控件 ID 可能会跳过数字。这些是未来控件的占位符。
-
安全控件标题——此标题适用于各类标准。无论账户中开启还是关闭了整合的控件调查发现,Security Hub CSPM 控制台都会显示安全控件标题。但是,只有在账户中开启了整合的控件调查发现时,Security Hub CSPM 调查发现才会引用安全控件标题。如果在账户中关闭了整合的控件调查发现,则控件调查发现中的某些控件标题可能会因标准而异。有关特定于标准的控件 ID 与安全控件 ID 的映射,请参阅 整合如何影响控件 ID 和标题。
-
适用标准——指明控件适用于哪些标准。请选择一个控件以查看第三方合规性框架的具体要求。
-
严重性——从安全角度来看,控制的严重性确定了其重要性。有关 Security Hub CSPM 如何确定控件严重性的信息,请参阅控件调查发现的严重性级别。
-
支持自定义参数-指示控件是否支持一个或多个参数的自定义值。请选择一个控件以查看参数详细信息。有关更多信息,请参阅 了解 Security Hub CSPM 中的控件参数。
-
计划类型——指明何时评估控件。有关更多信息,请参阅 有关运行安全检查的计划。
请选择一个控件以查看更多详细信息。控件按安全控件 ID 的字母顺序排列。
| 安全控件 ID | 安全控件标题 | 适用标准 | 严重性 | 支持自定义参数 | 计划类型 |
|---|---|---|---|---|---|
| Account.1 | 应为 AWS 账户 提供安全联系信息 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| Account.2 | AWS 账户 应该是 AWS Organizations 组织的一部分 | NIST SP 800-53 Rev. 5 | HIGH(高) | |
定期 |
| ACM.1 | 导入的证书和 ACM 颁发的证书应在指定时间段后更新 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
变更已触发且定期进行 |
| ACM.2 | 由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度 | AWS 基础安全最佳实践 v1.0.0、PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| ACM.3 | 应标记 ACM 证书 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Amplify.1 | 应标记 Amplify 应用 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Amplify.2 | 应标记 Amplify 分支 | AWS 资源标记标准 | 低 | 变更已触发 | |
| APIGateway.1 | 应启用 API Gateway REST 和 WebSocket API 执行日志记录 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| APIGateway.2 | API Gateway REST API 阶段应配置为使用 SSL 证书进行后端身份验证 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
变更已触发 |
| APIGateway.3 | API Gateway REST API 阶段应启用 AWS X-Ray 追踪功能 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 低 | |
变更已触发 |
| APIGateway.4 | API Gateway 应与 WAF Web ACL 关联 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| APIGateway.5 | API Gateway REST API 缓存数据应静态加密 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| APIGateway.8 | API Gateway 路由应指定授权类型 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
定期 |
| APIGateway.9 | 应为 API Gateway V2 阶段配置访问日志记录 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| AppConfig.1 | 应标记 AWS AppConfig 应用程序 | AWS 资源标记标准 | 低 | 变更已触发 | |
| AppConfig.2 | 应标记 AWS AppConfig 配置文件 | AWS 资源标记标准 | 低 | 变更已触发 | |
| AppConfig.3 | 应标记 AWS AppConfig 环境 | AWS 资源标记标准 | 低 | 变更已触发 | |
| AppConfig.4 | 应标记 AWS AppConfig 扩展关联 | AWS 资源标记标准 | 低 | 变更已触发 | |
| AppFlow.1 | 应标记 Amazon AppFlow 流 | AWS 资源标记标准 | 低 | 变更已触发 | |
| AppRunner.1 | 应标记 App Runer 服务 | AWS 资源标记标准 | 低 | 变更已触发 | |
| AppRunner.2 | 应标记 App Runner VPC 连接器 | AWS 资源标记标准 | 低 | 变更已触发 | |
| AppSync.1 | 应静态加密 AWS AppSync API 缓存 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| AppSync.2 | AWS AppSync 应启用字段级日志记录 | AWS 基础安全最佳实践 v1.0.0、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| AppSync.4 | 应标记 AWS AppSync GraphQL API | AWS 资源标记标准 | 低 | 变更已触发 | |
| AppSync.5 | 不应使用 API 密钥对 AWS AppSync GraphQL API 进行身份验证 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | HIGH(高) | |
变更已触发 |
| AppSync.6 | 应在传输过程中加密 AWS AppSync API 缓存 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| Athena.2 | 应标记 Athena 数据目录 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Athena.3 | 应标记 Athena 工作组 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Athena.4 | Athena 工作组应启用日志记录 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| AutoScaling.1 | 与负载均衡器关联的自动扩缩组应使用 ELB 运行状况检查 | AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| AutoScaling.2 | Amazon EC2 Auto Scaling 组应覆盖多个可用区 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| AutoScaling.3 | 自动扩缩组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2) | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| Autoscaling.5 | 使用自动扩缩组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| AutoScaling.6 | 自动扩缩组组应在多个可用区中使用多种实例类型 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| AutoScaling.9 | EC2 自动扩缩组应使用 EC2 启动模板 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| AutoScaling.10 | 应标记 EC2 自动扩缩组 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Backup.1 | 应对 AWS Backup 恢复点进行静态加密 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Backup.2 | 应标记 AWS Backup 恢复点 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Backup.3 | 应标记 AWS Backup 保管库 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Backup.4 | 应标记AWS Backup 报告计划 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Backup.5 | 应标记 AWS Backup 备份计划 | AWS 资源标记标准 | 低 | 变更已触发 | |
| 第 1 批 | 应标记批处理作业队列 | AWS 资源标记标准 | 低 | 变更已触发 | |
| 第 2 批 | 应标记批处理计划策略 | AWS 资源标记标准 | 低 | 变更已触发 | |
| 第 3 批 | 应标记批处理计算环境 | AWS 资源标记标准 | 低 | 变更已触发 | |
| 第 4 批 | 应标记托管批处理计算环境中的计算资源属性 | AWS 资源标记标准 | 低 | 变更已触发 | |
| CloudFormation.2 | 应标记 CloudFormation 堆栈 | AWS 资源标记标准 | 低 | 变更已触发 | |
| CloudFront.1 | CloudFront 分配应配置默认根对象。 | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| CloudFront.3 | CloudFront 分配在传输过程中应要求加密 | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.4 | CloudFront 分配应配置来源失效转移 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 低 | |
变更已触发 |
| CloudFront.5 | CloudFront 分配应启用日志记录 | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.6 | CloudFront 分配应启用 WAF | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.7 | CloudFront 分配应使用自定义 SSL/TLS 证书 | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
变更已触发 |
| CloudFront.8 | CloudFront 分配应使用 SNI 处理 HTTPS 请求 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 低 | |
变更已触发 |
| CloudFront.9 | CloudFront 分配应加密流向自定义来源的流量 | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.10 | CloudFront 分配不应在边缘站点和自定义源之间使用已弃用的 SSL 协议 | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| CloudFront.12 | CloudFront 分配不应指向不存在的 S3 来源 | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| CloudFront.13 | CloudFront 分配应使用源站访问控制 | AWS 基础安全最佳实践 v1.0.0 | 中 | |
变更已触发 |
| CloudFront.14 | 应标记 CloudFront 分配 | AWS 资源标记标准 | 低 | 变更已触发 | |
| CloudFront.15 | CloudFront 分配应使用推荐的 TLS 安全策略 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| CloudFront.16 | CloudFront 分配应对 Lambda 函数 URL 源使用源访问控件。 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| CloudTrail.1 | 应启用 CloudTrail 并至少配置一个包含读写管理事件的多区域追踪。 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5 | HIGH(高) | 定期 | |
| CloudTrail.2 | CloudTrail 应启用静态加密 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.2.0、CIS AWS 基金会基准 v1.4.0、AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
定期 |
| CloudTrail.3 | 应至少启用一个 CloudTrail 跟踪记录 | NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、PCI DSS v3.2.1 | HIGH(高) | 定期 | |
| CloudTrail.4 | 应启用 CloudTrail 日志文件验证 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、PCI DSS v3.2.1、服务托管标准:AWS Control Tower | 低 | |
定期 |
| CloudTrail.5 | CloudTrail 跟踪应与 Amazon CloudWatch Logs 集成在一起 | CIS AWS 基金会基准 v1.2.0、CIS AWS 基金会基准 v1.4.0、AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 低 | |
定期 |
| CloudTrail.6 | 确保用来存储 CloudTrail 日志的 S3 存储桶不可公开访问 | CIS AWS 基金会基准 v1.2.0、CIS AWS 基金会基准 v1.4.0、PCI DSS v4.0.1 | 关键 | |
变更已触发且定期进行 |
| CloudTrail.7 | 确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.2.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | 低 | |
定期 |
| CloudTrail.9 | 应标记 CloudTrail 跟踪记录 | AWS 资源标记标准 | 低 | 变更已触发 | |
| CloudTrail.10 | CloudTrail Lake 事件数据存储应使用客户管理型 AWS KMS keys进行加密 | NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| CloudWatch.1 | 应具有有关“根”用户使用的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1 | 低 | |
定期 |
| CloudWatch.2 | 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.3 | 确保存在关于无 MFA 的管理控制台登录的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.2.0 | 低 | |
定期 |
| CloudWatch.4 | 确保存在关于 IAM policy 更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.5 | 确保存在关于 CloudTrail 配置更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.6 | 确保存在关于 AWS 管理控制台 身份验证失败的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.7 | 确保存在关于禁用或计划删除客户创建的 CMK 的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.8 | 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.9 | 确保存在关于 AWS Config 配置更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.10 | 确保存在关于安全组更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.11 | 确保存在关于网络访问控制列表 (NACL) 更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.12 | 确保存在关于网络网关更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.13 | 确保存在关于路由表更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.14 | 确保存在关于 VPC 更改的日志指标筛选条件和警报 | CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 低 | |
定期 |
| CloudWatch.15 | CloudWatch 警报应配置指定操作 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | HIGH(高) | |
变更已触发 |
| CloudWatch.16 | CloudWatch 日志组应在指定的时间段内保留 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| CloudWatch.17 | 应启用 CloudWatch 警报操作 | NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| CodeArtifact.1 | 应标记 CodeArtifact 存储库 | AWS 资源标记标准 | 低 | 变更已触发 | |
| CodeBuild.1 | CodeBuild Bitbucket 源存储库 URL 不应包含敏感凭证 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 关键 | 变更已触发 | |
| CodeBuild.2 | CodeBuild 项目环境变量不应包含明文凭证 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 关键 | |
变更已触发 |
| CodeBuild.3 | CodeBuild S3 日志应加密 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower, | 低 | |
变更已触发 |
| CodeBuild.4 | CodeBuild 项目环境应该有日志配置 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| CodeBuild.7 | 应对 CodeBuild 报告组导出进行静态加密 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| CodeGuruProfiler.1 | 应标记 CodeGuru Profiler 分析组 | AWS 资源标记标准 | 低 | 变更已触发 | |
| CodeGurureViewer.1 | 应标记 CodeGuru Reviewer 存储库关联 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Cognito.1 | Cognito 用户池应激活威胁防护,并采用完全功能强制模式进行标准身份验证 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| Cognito.2 | Cognito 身份池不应允许未经身份验证的身份 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| Cognito.3 | Cognito 用户池的密码策略应具有可靠的配置 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| Config.1 | 应启用 AWS Config 并使用服务相关角色进行资源记录 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1 | 关键 | 定期 | |
| Connect.1 | 应标记 Amazon Connect Customer Profiles 对象类型 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Connect.2 | Amazon Connect 实例应启用 CloudWatch 日志记录 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| DataFirehose.1 | 应静态加密 Firehose 传输流 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| DataSync.1 | DataSync 任务应启用日志记录 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| DataSync.2 | 应标记 DataSync 任务 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Detective.1 | 应标记 Detective 行为图 | AWS 资源标记标准 | 低 | 变更已触发 | |
| DMS.1 | Database Migration Service 复制实例不应公开 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 关键 | |
定期 |
| DMS.2 | 应标记 DMS 证书 | AWS 资源标记标准 | 低 | 变更已触发 | |
| DMS.3 | 应标记 DMS 事件订阅 | AWS 资源标记标准 | 低 | 变更已触发 | |
| DMS.4 | 应标记 DMS 复制实例 | AWS 资源标记标准 | 低 | 变更已触发 | |
| DMS.5 | 应标记 DMS 复制子网组 | AWS 资源标记标准 | 低 | 变更已触发 | |
| DMS.6 | DMS 复制实例应启用自动次要版本升级 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.7 | 目标数据库的 DMS 复制任务应启用日志记录 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.8 | 源数据库的 DMS 复制任务应启用日志记录 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.9 | DMS 端点应使用 SSL | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DMS.10 | Neptune 数据库的 DMS 端点应启用 IAM 授权 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DMS.11 | MongoDB 的 DMS 端点应启用身份验证机制 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DMS.12 | Redis OSS 的 DMS 端点应启用 TLS | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 变更已触发 | |
| DMS.13 | DMS 复制实例应配置为使用多个可用区 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| DocumentDB.1 | Amazon DocumentDB 集群应进行静态加密 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5),服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| DocumentDB.2 | Amazon DocumentDB 集群应有足够的备份保留期 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| DocumentDB.3 | Amazon DocumentDB 手动集群快照不应公开 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| DocumentDB.4 | Amazon DocumentDB 集群应将审核日志发布到 CloudWatch Logs | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| DocumentDB.5 | Amazon DocumentDB 集群应启用删除保护 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| DocumentDB.6 | Amazon DocumentDB 集群应在传输过程中加密 | AWS 基础安全最佳实践 | 中 | 定期 | |
| DynamoDB.1 | DynamoDB 表应根据需求自动扩展容量 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
定期 |
| DynamoDB.2 | DynamoDB 表应启用时间点故障恢复 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| DynamoDB.3 | DynamoDB Accelerator (DAX) 集群应在静态状态下进行加密 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
定期 |
| DynamoDB.4 | 备份计划中应有 DynamoDB 表 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| DynamoDB.5 | 应标记 DynamoDB 表 | AWS 资源标记标准 | 低 | 变更已触发 | |
| DynamodB.6 | DynamoDB 表应启用删除保护 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| DynamoDB.7 | 应在传输过程中加密 DynamoDB Accelerator 集群 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 定期 | |
| EC2.1 | 不应公开还原 EBS 快照 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5) | 关键 | |
定期 |
| EC2.2 | VPC 默认安全组不应允许入站或出站流量 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.2.0、AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、PCI DSS v3.2.1、CIS AWS 基金会基准 v1.4.0、NIST SP 800-53 Rev. 5 | HIGH(高) | |
变更已触发 |
| EC2.3 | 挂载的 EBS 卷应进行静态加密 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| EC2.4 | 停止的 EC2 实例应在指定时间段后删除 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
定期 |
| EC2.6 | 应在所有 VPC 中启用 VPC 流日志记录 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.2.0、AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、PCI DSS v3.2.1、CIS AWS 基金会基准 v1.4.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
定期 |
| EC2.7 | EBS 默认加密应该为已启用。 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、CIS AWS 基金会基准 v1.4.0、NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| EC2.8 | EC2 实例应使用实例元数据服务版本 2 (IMDSv2) | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | |
变更已触发 |
| EC2.9 | EC2 实例不应拥有公有 IPv4 地址 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | HIGH(高) | |
变更已触发 |
| EC2.10 | 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
定期 |
| EC2.12 | 应删除未使用的 EC2 EIP | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| EC2.13 | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量 | CIS AWS 基金会基准 v1.2.0、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | HIGH(高) | 变更已触发且定期进行 | |
| EC2.14 | 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量 | CIS AWS 基金会基准 v1.2.0、PCI DSS v4.0.1 | HIGH(高) | 变更已触发且定期进行 | |
| EC2.15 | EC2 子网不应自动分配公有 IP 地址 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower, | 中 | |
变更已触发 |
| EC2.16 | 应删除未使用的网络访问控制列表 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、服务托管标准:AWS Control Tower, | 低 | |
变更已触发 |
| EC2.17 | EC2 实例不应使用多个 ENI | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 低 | |
变更已触发 |
| EC2.18 | 安全组应仅允许授权端口不受限制的传入流量 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | HIGH(高) | |
变更已触发 |
| EC2.19 | 安全组不应允许无限制地访问高风险端口 | AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 关键 | 变更已触发且定期进行 | |
| EC2.20 | AWS 站点到站点 VPN 连接的两个 VPN 隧道都应启用 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
变更已触发 |
| EC2.21 | 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| EC2.22 | 应删除未使用的 EC2 安全组 | 服务托管标准:AWS Control Tower | 中 | 定期 | |
| EC2.23 | EC2 中转网关不应自动接受 VPC 附件请求 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | HIGH(高) | |
变更已触发 |
| EC2.24 | 不应使用 EC2 半虚拟化实例类型 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| EC2.25 | EC2 启动模板不应将公共 IP 分配给网络接口 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | |
变更已触发 |
| EC2.28 | EBS 卷应包含在备份计划中 | NIST SP 800-53 Rev. 5 | 低 | |
定期 |
| EC2.33 | 应标记 EC2 中转网关连接 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.34 | 应标记 EC2 中转网关路由表 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.35 | 应标记 EC2 网络接口 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.36 | 应标记 EC2 客户网关 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.37 | 应标记 EC2 弹性 IP 地址 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.38 | 应标记 EC2 实例 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.39 | 应标记 EC2 互联网网关 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.40 | 应标记 EC2 NAT 网关 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.41 | 应标记 EC2 网络 ACL | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.42 | 应标记 EC2 路由表 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.43 | 应标记 EC2 安全组 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.44 | 应标记 EC2 子网 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.45 | 应标记 EC2 卷 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.46 | 应标记 Amazon VPC | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.47 | 应标记 Amazon VPC 端点服务 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.48 | 应标记 Amazon VPC 流日志 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.49 | 应标记 Amazon VPC 对等连接 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.50 | 应标记 EC2 VPN 网关 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.51 | EC2 Client VPN 端点应启用客户端连接日志记录 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 低 | |
变更已触发 |
| EC2.52 | 应标记 EC2 中转网关 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.53 | EC2 安全组不应允许从 0.0.0.0/0 到远程服务器管理端口的入口流量 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| EC2.54 | EC2 安全组不应允许从 ::/0 到远程服务器管理端口的入口流量 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| EC2.55 | 应为 VPC 配置用于 ECR API 的接口端点 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.56 | 应为 VPC 配置用于 Docker Registry 的接口端点 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.57 | 应为 VPC 配置用于 Systems Manager 的接口端点 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.58 | 应为 VPC 配置用于 Systems Manager Incident Manager Contacts 的接口端点 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.60 | 应为 VPC 配置用于 Systems Manager Incident Manager 的接口端点 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| EC2.170 | EC2 启动模板应使用实例元数据服务版本 2(IMDSv2) | AWS 基础安全最佳实践、PCI DSS v4.0.1 | 低 | 变更已触发 | |
| EC2.171 | EC2 VPN 连接应启用日志记录 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | 中 | 变更已触发 | |
| EC2.172 | EC2 VPC 阻止公开访问设置应阻止互联网网关流量 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| EC2.173 | 带有启动参数的 EC2 竞价型实例集请求应为连接的 EBS 卷启用加密 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| EC2.174 | 应标记 EC2 DHCP 选项集 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.175 | 应标记 EC2 启动模板 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.176 | 应标记 EC2 前缀列表 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.177 | 应标记 EC2 流量镜像会话 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.178 | 应标记 EC2 流量镜像筛选条件 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.179 | 应标记 EC2 流量镜像目标 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EC2.180 | EC2 网络接口应启用源/目标检查 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| EC2.181 | EC2 启动模板应为附加的 EBS 卷启用加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| ECR.1 | ECR 私有存储库应配置图像扫描 | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | |
定期 |
| ECR.2 | ECR 私有存储库应配置标签不可变性 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ECR.3 | ECR 存储库应至少配置一项生命周期策略 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ECR.4 | 应标记 ECR 公有存储库 | AWS 资源标记标准 | 低 | 变更已触发 | |
| ECR.5 | ECR 存储库应使用客户管理型 AWS KMS keys进行加密 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| ECS.1 | Amazon ECS 任务定义应具有安全网络模式和用户定义。 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | HIGH(高) | |
变更已触发 |
| ECS.2 | ECS 服务不应自动分配公共 IP 地址 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | |
变更已触发 |
| ECS.3 | ECS 任务定义不应共享主机的进程命名空间 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | HIGH(高) | |
变更已触发 |
| ECS.4 | ECS 容器应以非特权身份运行 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | HIGH(高) | |
变更已触发 |
| ECS.5 | ECS 容器应限制为仅对根文件系统具有只读访问权限。 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | HIGH(高) | |
变更已触发 |
| ECS.8 | 密钥不应作为容器环境变量传递 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | |
变更已触发 |
| ECS.9 | ECS 任务定义应具有日志配置 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | HIGH(高) | |
变更已触发 |
| ECS.10 | ECS Fargate 服务应在最新的 Fargate 平台版本上运行 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| ECS.12 | ECS 集群应该使用容器详情 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ECS.13 | 应标记 ECS 服务 | AWS 资源标记标准 | 低 | 变更已触发 | |
| ECS.14 | 应标记 ECS 集群 | AWS 资源标记标准 | 低 | 变更已触发 | |
| ECS.15 | 应标记 ECS 任务定义 | AWS 资源标记标准 | 低 | 变更已触发 | |
| ECS.16 | ECS 任务集不应自动分配公有 IP 地址 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| ECS.17 | ECS 任务定义不应使用主机网络模式 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| EFS.1 | Elastic File System 应配置为使用 AWS KMS 加密文件静态数据 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| EFS.2 | Amazon EFS 卷应包含在备份计划中 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
定期 |
| EFS.3 | EFS 接入点应强制使用根目录 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| EFS.4 | EFS 接入点应强制使用用户身份 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| EFS.5 | 应标记 EFS 接入点 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EFS.6 | EFS 挂载目标不应与启动时分配公有 IP 地址的子网关联 | AWS 基础安全最佳实践 | 中 | 定期 | |
| EFS.7 | EFS 文件系统应启用自动备份 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| EFS.8 | 应静态加密 EFS 文件系统 | CIS AWS 基金会基准 v5.0.0、AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| EKS.1 | EKS 集群端点不应公开访问 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| EKS.2 | EKS 集群应在受支持的 Kubernetes 版本上运行 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | |
变更已触发 |
| EKS.3 | EKS 集群应使用加密的 Kubernetes 密钥 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 定期 | |
| EKS.6 | 应标记 EKS 集群 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EKS.7 | 应标记 EKS 身份提供者配置 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EKS.8 | EKS 集群应启用审核日志记录 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| ElastiCache.1 | ElastiCache(Redis OSS)集群应启用自动备份 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | HIGH(高) | 定期 | |
| ElastiCache.2 | ElastiCache 集群应启用自动次要版本升级 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | HIGH(高) | |
定期 |
| ElastiCache.3 | ElastiCache 复制组应启用自动失效转移 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
定期 |
| ElastiCache.4 | 应静态加密 ElastiCache 复制组 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
定期 |
| ElastiCache.5 | 应在传输过程中加密 ElastiCache 复制组 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
定期 |
| ElastiCache.6 | 早期版本的 ElastiCache(Redis OSS)复制组应启用 Redis OSS AUTH | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
定期 |
| ElastiCache.7 | ElastiCache 集群不应使用默认子网组 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | HIGH(高) | |
定期 |
| ElasticBeanstalk.1 | Elastic Beanstalk 环境应启用增强型运行状况报告 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 低 | |
变更已触发 |
| ElasticBeanstalk.2 | 应启用 Elastic Beanstalk 托管平台更新 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | |
变更已触发 |
| ElasticBeanstalk.3 | Elastic Beanstalk 应该将日志流式传输到 CloudWatch | AWS 基础安全最佳实践、PCI DSS v4.0.1 | HIGH(高) | |
变更已触发 |
| ELB.1 | 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5) | 中 | |
定期 |
| ELB.2 | 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由 AWS Certificate Manager 提供的证书 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
变更已触发 |
| ELB.3 | 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| ELB.4 | 应将应用程序负载均衡器配置为删除 http 标头 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| ELB.5 | 应启用应用程序和经典负载均衡器日志记录 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ELB.6 | 应用程序、网关和网络负载均衡器应启用删除保护 | AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| ELB.7 | 经典负载均衡器应启用连接耗尽功能 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ELB.8 | 具有 SSL 侦听器的经典负载均衡器应使用具有强大配置的预定义安全策略 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| ELB.9 | 经典负载均衡器应启用跨区域负载均衡器 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ELB.10 | 经典负载均衡器应跨越多个可用区 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ELB.12 | 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| ELB.13 | 应用程序、网络和网关负载均衡器应跨越多个可用区 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ELB.14 | 经典负载均衡器应配置为防御性或最严格的异步缓解模式 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| ELB.16 | 应用程序负载均衡器应与 AWS WAF Web ACL 关联 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| ELB.17 | 带有侦听器的应用程序和网络负载均衡器应使用推荐的安全策略 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ELB.18 | 应用程序和网络负载均衡器侦听器应使用安全协议对传输中数据进行加密 | AWS 基础安全最佳实践 v1.0.0 | 中 | 变更已触发 | |
| EMR.1 | Amazon EMR 集群主节点不应有公有 IP 地址 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | 定期 | |
| EMR.2 | 应启用 Amazon EMR 屏蔽公共访问权限设置 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 关键 | 定期 | |
| EMR.3 | Amazon EMR 安全配置应静态加密 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| EMR.4 | Amazon EMR 安全配置应在传输过程中加密 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| ES.1 | Elasticsearch 域应启用静态加密 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5) | 中 | |
定期 |
| ES.2 | Elasticsearch 域名不可供公共访问 | AWS 基础安全最佳实践、PCI DSS v3.2.1、PCI DSS v4.0.1、NIST SP 800-53 Rev. 5、服务托管标准:AWS Control Tower | 关键 | |
定期 |
| ES.3 | Elasticsearch 域应加密节点之间发送的数据 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower, | 中 | |
变更已触发 |
| ES.4 | 应启用 Elasticsearch 域错误日志记录到 CloudWatch Logs 的功能。 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ES.5 | Elasticsearch 域名应该启用审核日志 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| ES.6 | Elasticsearch 域应拥有至少三个数据节点 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ES.7 | Elasticsearch 域应配置至少三个专用主节点 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| ES.8 | 与 Elasticsearch 域的连接应使用最新的 TLS 安全策略进行加密 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | 变更已触发 | |
| ES.9 | 应标记 Elasticsearch 域 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EventBridge.2 | 应标记 EventBridge 事件总线 | AWS 资源标记标准 | 低 | 变更已触发 | |
| EventBridge.3 | EventBridge 自定义事件总线应附加基于资源的策略 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 低 | |
变更已触发 |
| EventBridge.4 | EventBridge 全局端点应启用事件复制 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| FraudDetector.1 | 应标记 Amazon Fraud Detector 实体类型 | AWS 资源标记标准 | 低 | 变更已触发 | |
| FraudDetector.2 | 应标记 Amazon Fraud Detector 标签 | AWS 资源标记标准 | 低 | 变更已触发 | |
| FraudDetector.3 | 应标记 Amazon Fraud Detector 结果 | AWS 资源标记标准 | 低 | 变更已触发 | |
| FraudDetector.4 | 应标记 Amazon Fraud Detector 变量 | AWS 资源标记标准 | 低 | 变更已触发 | |
| fsx.1 | 应将 FSx for OpenZFS 文件系统配置为将标签复制到备份和卷 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 低 | |
定期 |
| FSx.2 | 应将适用于 Lustre 的 FSx 文件系统配置为将标签复制到备份 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 低 | 定期 | |
| FSx.3 | 应将适用于 OpenZFS 的 FSx 文件系统配置为多可用区部署 | AWS 基础安全最佳实践 | 中 | 定期 | |
| FSx.4 | 应将适用于 NetApp ONTAP 的 FSx 文件系统配置为多可用区部署 | AWS 基础安全最佳实践 | 中 | 定期 | |
| FSx.5 | 应将适用于 Windows File Server 的 FSx 文件系统配置为多可用区部署 | AWS 基础安全最佳实践 | 中 | 定期 | |
| Glue.1 | 应标记 AWS Glue 作业 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Glue.3 | 应静态加密 AWS Glue 机器学习转换 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| Glue.4 | AWS Glue Spark 作业应在支持的 AWS Glue 版本上运行 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| GlobalAccelerator.1 | 应标记 Global Accelerator 加速器 | AWS 资源标记标准 | 低 | 变更已触发 | |
| GuardDuty.1 | 应启用 GuardDuty | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | |
定期 |
| GuardDuty.2 | 应标记 GuardDuty 筛选条件 | AWS 资源标记标准 | 低 | 变更已触发 | |
| GuardDuty.3 | 应标记 GuardDuty IPSet | AWS 资源标记标准 | 低 | 变更已触发 | |
| GuardDuty.4 | 应标记 GuardDuty 检测器 | AWS 资源标记标准 | 低 | 变更已触发 | |
| GuardDuty.5 | 应启用 GuardDuty EKS 审计日志监控 | AWS 基础安全最佳实践 | HIGH(高) | 定期 | |
| GuardDuty.6 | 应启用 GuardDuty Lambda 保护 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.7 | 应启用 GuardDuty EKS 运行时监控 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | 中 | 定期 | |
| GuardDuty.8 | 应启用适用于 EC2 的 GuardDuty 恶意软件防护 | AWS 基础安全最佳实践 | HIGH(高) | 定期 | |
| GuardDuty.9 | 应启用 GuardDuty RDS 保护 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.10 | 应启用 GuardDuty S3 保护 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| GuardDuty.11 | 应启用 GuardDuty 运行时监控 | AWS 基础安全最佳实践 | HIGH(高) | 定期 | |
| GuardDuty.12 | 应启用 GuardDuty ECS 运行时监控 | AWS 基础安全最佳实践 | 中 | 定期 | |
| GuardDuty.13 | 应启用 GuardDuty EC2 运行时监控 | AWS 基础安全最佳实践 | 中 | 定期 | |
| IAM.1 | IAM policy 不应允许完全“*”管理权限 | CIS AWS 基金会基准 v1.2.0,AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、PCI DSS v3.2.1、CIS AWS 基金会基准 v1.4.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | HIGH(高) | |
变更已触发 |
| IAM.2 | IAM 用户不应附加 IAM policy | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.2.0、AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | |
变更已触发 |
| IAM.3 | IAM 用户访问密钥应每 90 天或更短时间轮换一次 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
定期 |
| IAM.4 | 不应存在 IAM 根用户访问密钥 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 关键 | |
定期 |
| IAM.5 | 应为拥有控制台密码的所有 IAM 用户启用 MFA | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
定期 |
| IAM.6 | 应该为根用户启用硬件 MFA | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 关键 | |
定期 |
| IAM.7 | IAM 用户的密码策略应具有可靠的配置 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
定期 |
| IAM.8 | 应移除未使用的 IAM 用户凭证 | CIS AWS 基金会基准 v1.2.0、AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
定期 |
| IAM.9 | 应为根用户启用 MFA | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 关键 | |
定期 |
| IAM.10 | IAM 用户的密码策略应具有可靠的配置 | NIST SP 800-171 Rev. 2、PCI DSS v3.2.1 | 中 | |
定期 |
| IAM.11 | 确保 IAM 密码策略要求包含至少一个大写字母 | CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.12 | 确保 IAM 密码策略要求包含至少一个小写字母 | CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.13 | 确保 IAM 密码策略要求包含至少一个符号 | CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 中 | |
定期 |
| IAM.14 | 确保 IAM 密码策略要求包含至少一个数字 | CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.15 | 确保 IAM 密码策略要求最短密码长度不低于 14 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2 | 中 | |
定期 |
| IAM.16 | 确保 IAM 密码策略阻止重复使用密码 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 低 | |
定期 |
| IAM.17 | 确保 IAM 密码策略使密码在 90 天或更短时间内失效 | CIS AWS 基金会基准 v1.2.0、PCI DSS v4.0.1 | 低 | |
定期 |
| IAM.18 | 确保创建支持角色来管理涉及 AWS 支持 的事务 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1 | 低 | |
定期 |
| IAM.19 | 应该为所有 IAM 用户启用 MFA | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | |
定期 |
| IAM.21 | 您创建的 IAM 客户管理型策略不应允许对服务执行通配符操作 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | |
变更已触发 |
| IAM.22 | 应移除在 45 天内未使用的 IAM 用户凭证 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、NIST SP 800-171 Rev. 2 | 中 | |
定期 |
| IAM.23 | 应标记 IAM Access Analyzer 分析器 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IAM.24 | 应标记 IAM 角色 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IAM.25 | 应标记 IAM 用户 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IAM.26 | 应移除 IAM 中管理的过期 SSL/TLS 证书 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0 | 中 | 定期 | |
| IAM.27 | IAM 身份不应附加 AWSCloudShellFullAccess 策略 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0 | 中 | 变更已触发 | |
| IAM.28 | 应启用 IAM Access Analyzer 外部访问分析器 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0 | HIGH(高) | 定期 | |
| Inspector.1 | 应启用 Amazon Inspector EC2 扫描 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.2 | 应启用 Amazon Inspector ECR 扫描 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.3 | 应启用 Amazon Inspector Lambda 代码扫描 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Inspector.4 | 应启用 Amazon Inspector Lambda 标准扫描 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| IoT.1 | 应标记 AWS IoT Device Defender 安全配置文件 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoT.2 | 应标记 AWS IoT Core 缓解操作 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoT.3 | 应标记 AWS IoT Core 维度 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoT.4 | 应标记 AWS IoT Core 授权方 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoT.5 | 应标记 AWS IoT Core 角色别名 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoT.6 | 应标记 AWS IoT Core 策略 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTEvents.1 | 应标记 AWS IoT Events 输入 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTEvents.2 | 应标记 AWS IoT Events 探测器模型 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTEvents.3 | 应标记 AWS IoT Events 警报模型 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTSiteWise.1 | 应标记 AWS IoT SiteWise 资产模型 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTSiteWise.2 | 应标记 AWS IoT SiteWise 控制面板 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTSiteWise.3 | 应标记 AWS IoT SiteWise 网关 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTSiteWise.4 | 应标记 AWS IoT SiteWise 门户 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTSiteWise.5 | 应标记 AWS IoT SiteWise 项目 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTTwinMaker.1 | 应标记 AWS IoT TwinMaker 同步作业 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTTwinMaker.2 | 应标记 AWS IoT TwinMaker 工作区 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTTwinMaker.3 | 应标记 AWS IoT TwinMaker 场景 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTTwinMaker.4 | 应标记 AWS IoT TwinMaker 实体 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTWireless.1 | 应标记 AWS IoT Wireless 组播组 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTWireless.2 | 应标记 AWS IoT Wiress 服务配置文件 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IoTWireless.3 | 应标记 AWS IoT Wireless FUOTA 任务 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IVS.1 | 应标记 IVS 播放密钥对 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IVS.2 | 应标记 IVS 录制配置 | AWS 资源标记标准 | 低 | 变更已触发 | |
| IVS.3 | 应标记 IVS 频道 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Keyspaces.1 | 应标记 Amazon Keyspaces 密钥空间 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Kinesis.1 | Kinesis 直播应在静态状态下进行加密 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Kinesis.2 | 应标记 Kinesis 流 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Kinesis.3 | Kinesis 流应有足够的数据留存期 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| KMS.1 | IAM 客户管理型策略不应允许对所有 KMS 密钥执行解密操作 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| KMS.2 | IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| KMS.3 | AWS KMS keys 不应在无意中删除 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 重大 | |
变更已触发 |
| KMS.4 | 应该启用 AWS KMS key 旋转 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准 v1.2.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 中 | |
定期 |
| KMS.5 | KMS 密钥不应可公开访问 | AWS 基础安全最佳实践 | 关键 | 变更已触发 | |
| Lambda.1 | Lambda 函数策略应禁止公共访问 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 关键 | |
变更已触发 |
| Lambda.2 | Lambda 函数应使用受支持的运行时系统 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| Lambda.3 | Lambda 函数应位于 VPC 中 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| Lambda.5 | VPC Lambda 函数应在多个可用区内运行 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Lambda.6 | 应标记 Lambda 函数 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Lambda.7 | Lambda 函数应启用 AWS X-Ray 主动跟踪 | NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| Macie.1 | 应启用 Amazon Macie | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
定期 |
| Macie.2 | 应启用 Macie 敏感数据自动发现 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | HIGH(高) | 定期 | |
| MSK.1 | MSK 集群应在代理节点之间传输时进行加密 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| MSK.2 | MSK 集群应配置增强监控 | NIST SP 800-53 Rev. 5 | 低 | |
变更已触发 |
| MSK.3 | 应在传输过程中加密 MSK Connect 连接器 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | 中 | 变更已触发 | |
| MSK.4 | MSK 集群应禁用公开访问 | AWS 基础安全最佳实践 | 关键 | 变更已触发 | |
| MSK.5 | MSK 连接器应启用日志记录 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| MSK.6 | MSK 集群应禁用未经身份验证的访问 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| MQ.2 | ActiveMQ 代理应将审计日志流式传输到 CloudWatch | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 变更已触发 | |
| MQ.3 | Amazon MQ 代理应启用次要版本自动升级 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 低 | 变更已触发 | |
| MQ.4 | 应标记 Amazon MQ 代理 | AWS 资源标记标准 | 低 | 变更已触发 | |
| MQ.5 | ActiveMQ 代理应使用主动/备用部署模式 | NIST SP 800-53 Rev. 5,服务托管标准:AWS Control Tower | 低 | |
变更已触发 |
| MQ.6 | RabbitMQ 代理应该使用集群部署模式 | NIST SP 800-53 Rev. 5,服务托管标准:AWS Control Tower | 低 | |
变更已触发 |
| Neptune.1 | 应对 Neptune 数据库集群进行静态加密 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5),服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| Neptune.2 | Neptune 数据库集群应将审核日志发布到 CloudWatch Logs | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| Neptune.3 | Neptune 数据库集群快照不应公开 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 关键 | |
变更已触发 |
| Neptune.4 | Neptune 数据库集群应启用删除保护 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5),服务托管标准:AWS Control Tower | 低 | |
变更已触发 |
| Neptune.5 | Neptune 数据库集群应启用自动备份 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5),服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| Neptune.6 | 应对 Neptune 数据库集群快照进行静态加密 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5),服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| Neptune.7 | Neptune 数据库集群应启用 IAM 数据库身份验证 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5),服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| Neptune.8 | 应将 Neptune 数据库集群配置为将标签复制到快照 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5),服务托管标准:AWS Control Tower | 低 | |
变更已触发 |
| Neptune.9 | Neptune 数据库集群应部署在多个可用区中 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.1 | Network Firewall 防火墙应跨多个可用区部署 | NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| NetworkFirewall.2 | 应启用 Network Firewall 日志记录 | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
定期 |
| NetworkFirewall.3 | Network Firewall 策略应至少关联一个规则组 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
变更已触发 |
| NetworkFirewall.4 | Network Firewall 策略的默认无状态操作应为丢弃或转发完整数据包 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| NetworkFirewall.5 | Network Firewall 策略的默认无状态操作应为丢弃或转发分段数据包 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
变更已触发 |
| NetworkFirewall.6 | 无状态网络防火墙规则组不应为空 | AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
变更已触发 |
| NetworkFirewall.7 | 应标记 Network Firewall 防火墙 | AWS 资源标记标准 | 低 | 变更已触发 | |
| NetworkFirewall.8 | 应标记 Network Firewall 防火墙策略 | AWS 资源标记标准 | 低 | 变更已触发 | |
| NetworkFirewall.9 | Network Firewall 防火墙应启用删除保护 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| NetworkFirewall.10 | Network Firewall 防火墙应启用子网更改保护 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| Opensearch.1 | OpenSearch 域应启用静态加密 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Opensearch.2 | OpenSearch 域名不可供公共访问 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5) | 关键 | |
变更已触发 |
| Opensearch.3 | OpenSearch 域应加密节点之间发送的数据 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Opensearch.4 | 应启用 OpenSearch 域错误日志记录到 CloudWatch Logs 的功能。 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Opensearch.5 | OpenSearch 域名应该启用审核日志 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| Opensearch.6 | OpenSearch 域应拥有至少三个数据节点 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Opensearch.7 | OpenSearch 域应启用对访问权限精细控制 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | HIGH(高) | |
变更已触发 |
| Opensearch.8 | 与 OpenSearch 域的连接应使用最新的 TLS 安全策略进行加密 | AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| Opensearch.9 | 应标记 OpenSearch 域 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Opensearch.10 | OpenSearch 域名应安装最新的软件更新 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 低 | |
变更已触发 |
| Opensearch.11 | OpenSearch 域应至少具有三个专用主节点 | NIST SP 800-53 Rev. 5 | 低 | 定期 | |
| PCA.1 | 应禁用 AWS 私有 CA 根证书颁发机构 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 低 | |
定期 |
| PCA.2 | 应标记 AWS 私有 CA 证书颁发机构 | AWS 资源标记标准 | 低 | 变更已触发 | |
| RDS.1 | RDS 快照应为私有快照 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5) | 关键 | |
变更已触发 |
| RDS.2 | RDS 数据库实例应禁止公有访问,这取决于 PubliclyAccessible 配置 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1 | 关键 | |
变更已触发 |
| RDS.3 | RDS 数据库实例应启用静态加密 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.4 | RDS 集群快照和数据库快照应进行静态加密 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| RDS.5 | RDS 数据库实例应配置多个可用区 | CIS AWS 基金会基准 v5.0.0、AWS 基础安全最佳实践 v1.0.0、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.6 | 应为 RDS 数据库实例配置增强监控 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 低 | |
变更已触发 |
| RDS.7 | RDS 集群应启用删除保护 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 低 | |
变更已触发 |
| RDS.8 | RDS 数据库实例应启用删除保护 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 低 | |
变更已触发 |
| RDS.9 | RDS 数据库实例应将日志发布到 CloudWatch Logs | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| RDS.10 | 应为 RDS 实例配置 IAM 身份验证 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| RDS.11 | RDS 实例应启用自动备份 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| RDS.12 | 应为 RDS 集群配置 IAM 身份验证 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| RDS.13 | 应启用 RDS 自动次要版本升级 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | |
变更已触发 |
| RDS.14 | Amazon Aurora 集群应启用回溯功能 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| RDS.15 | 应为多个可用区配置 RDS 数据库集群 | CIS AWS 基金会基准 v5.0.0、AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5 | 中 | |
变更已触发 |
| RDS.16 | 应将 Aurora 数据库集群配置为将标签复制到数据库快照 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 低 | 变更已触发 | |
| RDS.17 | 应将 RDS 数据库实例配置为将标签复制到快照 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 低 | |
变更已触发 |
| RDS.18 | RDS 实例应部署在 VPC 中 | 服务托管标准:AWS Control Tower | HIGH(高) | |
变更已触发 |
| RDS.19 | 应为关键集群事件配置现有 RDS 事件通知订阅 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 低 | |
变更已触发 |
| RDS.20 | 应为关键数据库实例事件配置现有 RDS 事件通知订阅 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 低 | |
变更已触发 |
| RDS.21 | 应为关键数据库参数组事件配置 RDS 事件通知订阅 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 低 | |
变更已触发 |
| RDS.22 | 应为关键数据库安全组事件配置 RDS 事件通知订阅 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 低 | |
变更已触发 |
| RDS.23 | RDS 实例不应使用数据库引擎的默认端口 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 低 | |
变更已触发 |
| RDS.24 | RDS 数据库集群应使用自定义管理员用户名 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.25 | RDS 数据库实例应使用自定义管理员用户名 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| RDS.26 | RDS 数据库实例应受备份计划保护 | NIST SP 800-53 Rev. 5 | 中 | |
定期 |
| RDS.27 | 应对 RDS 数据库集群进行静态加密 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5),服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| RDS.28 | 应标记 RDS 数据库集群 | AWS 资源标记标准 | 低 | 变更已触发 | |
| RDS.29 | 应标记 RDS 数据库集群快照 | AWS 资源标记标准 | 低 | 变更已触发 | |
| RDS.30 | 应标记 RDS 数据库实例 | AWS 资源标记标准 | 低 | 变更已触发 | |
| RDS.31 | 应标记 RDS 数据库安全组 | AWS 资源标记标准 | 低 | 变更已触发 | |
| RDS.32 | 应标记 RDS 数据库快照 | AWS 资源标记标准 | 低 | 变更已触发 | |
| RDS.33 | 应标记 RDS 数据库子网组 | AWS 资源标记标准 | 低 | 变更已触发 | |
| RDS.34 | Aurora MySQL 数据库集群应将审核日志发布到 CloudWatch Logs | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.35 | RDS 数据库集群应启用自动次要版本升级 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| RDS.36 | RDS for PostgreSQL 数据库实例应将日志发布到 CloudWatch Logs | AWS 基础安全最佳实践、PCI DSS v4.0.1 | 中 | 变更已触发 | |
| RDS.37 | Aurora PostgreSQL 数据库集群应将日志发布到 CloudWatch Logs | AWS 基础安全最佳实践、PCI DSS v4.0.1 | 中 | 变更已触发 | |
| RDS.38 | RDS for PostgreSQL 数据库实例应在传输过程中加密 | AWS 基础安全最佳实践 | 中 | 定期 | |
| RDS.39 | RDS for MySQL 数据库实例应在传输过程中加密 | AWS 基础安全最佳实践 | 中 | 定期 | |
| RDS.40 | RDS for SQL Server 数据库实例应将日志发布到 CloudWatch Logs | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| RDS.41 | RDS for SQL Server 数据库实例应在传输过程中加密 | AWS 基础安全最佳实践 | 中 | 定期 | |
| RDS.42 | RDS for MariaDB 数据库实例应将日志发布到 CloudWatch Logs | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| RDS.43 | RDS 数据库代理应要求对连接进行 TLS 加密 | AWS 基础安全最佳实践 | 中 | 定期 | |
| RDS.44 | RDS for MariaDB 数据库实例应在传输过程中加密 | AWS 基础安全最佳实践 | 中 | 定期 | |
| RDS.45 | Aurora MySQL 数据库集群应启用审核日志记录 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| RDS.46 | RDS 数据库实例不应部署在具有通往互联网网关路由的公共子网中 | AWS 基础安全最佳实践 | HIGH(高) | 定期 | |
| RDS.47 | 应将 RDS for PostgreSQL 数据库集群配置为将标签复制到数据库快照 | AWS 基础安全最佳实践 | 低 | 变更已触发 | |
| RDS.48 | 应将 RDS for MySQL 数据库集群配置为将标签复制到数据库快照 | AWS 基础安全最佳实践 | 低 | 变更已触发 | |
| Redshift.1 | Amazon Redshift 集群应禁止公共访问 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 关键 | |
变更已触发 |
| Redshift.2 | 与 Amazon Redshift 集群的连接应在传输过程中加密 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| Redshift.3 | Amazon Redshift 集群应启用自动快照 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Redshift.4 | Amazon Redshift 集群应启用审核日志记录 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| Redshift.6 | Amazon Redshift 应该启用自动升级到主要版本的功能 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Redshift.7 | Redshift 集群应使用增强型 VPC 路由 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Redshift.8 | Amazon Redshift 集群不应使用默认管理员用户名 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Redshift.10 | Redshift 集群应静态加密 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| Redshift.11 | 应标记 Redshift 集群 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Redshift.12 | 应标记 Redshift 事件通知订阅 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Redshift.13 | 应标记 Redshift 集群快照 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Redshift.14 | 应标记 Redshift 集群子网组 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Redshift.15 | Redshift 安全组应仅允许从受限来源到集群端口的入口流量 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | HIGH(高) | 定期 | |
| Redshift.16 | Redshift 集群子网组应具有来自多个可用区的子网 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| Redshift.17 | 应标记 Redshift 集群参数组 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Redshift.18 | Redshift 集群应启用多可用区部署 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| RedshiftServerless.1 | Amazon Redshift Serverless 工作组应使用增强型 VPC 路由 | AWS 基础安全最佳实践 | HIGH(高) | 定期 | |
| RedshiftServerless.2 | 连接到 Redshift Serverless 工作组时应需要使用 SSL | AWS 基础安全最佳实践 | 中 | 定期 | |
| RedshiftServerless.3 | Redshift Serverless 工作组应禁止公开访问 | AWS 基础安全最佳实践 | HIGH(高) | 定期 | |
| RedshiftServerless.4 | Redshift Serverless 命名空间应使用客户管理型 AWS KMS keys进行加密 | NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| RedshiftServerless.5 | Redshift Serverless 命名空间不应使用默认管理员用户名 | AWS 基础安全最佳实践 | 中 | 定期 | |
| RedshiftServerless.6 | Redshift Serveress 命名空间应将日志导出到 CloudWatch Logs | AWS 基础安全最佳实践 | 中 | 定期 | |
| Route53.1 | 应标记 Route53 运行状况检查 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Route53.2 | Route 53 公共托管区域应记录 DNS 查询 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| S3.1 | S3 通用存储桶应启用屏蔽公共访问权限设置 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | 定期 | |
| S3.2 | S3 通用存储桶应阻止公共读取访问权限 | AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 关键 | 变更已触发且定期进行 | |
| S3.3 | S3 通用存储桶应阻止公共写入访问权限 | AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 关键 | 变更已触发且定期进行 | |
| S3.5 | S3 通用存储桶应需要请求才能使用 SSL | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | 变更已触发 | |
| S3.6 | S3 通用存储桶策略应限制对其他 AWS 账户 的访问权限 | AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | HIGH(高) | 变更已触发 | |
| S3.7 | S3 通用存储桶应使用跨区域复制 | PCI DSS v3.2.1、NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.8 | S3 通用存储桶应屏蔽公共访问权限 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | 变更已触发 | |
| S3.9 | S3 通用存储桶应启用服务器访问日志记录 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | 变更已触发 | |
| S3.10 | 启用版本控制的 S3 通用存储桶应具有生命周期配置 | NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| S3.11 | S3 存储桶应启用事件通知 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | 变更已触发 | |
| S3.12 | 不应使用 ACL 来管理用户对 S3 通用存储桶的访问权限 | AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| S3.13 | S3 通用存储桶应具有生命周期配置 | AWS 基础安全最佳实践、服务托管标准:AWS Control Tower、NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.14 | S3 通用存储桶应启用版本控制 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 低 | 变更已触发 | |
| S3.15 | S3 通用存储桶应启用对象锁定 | NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 变更已触发 | |
| S3.17 | 应使用 AWS KMS keys 静态加密 S3 通用存储桶 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | 变更已触发 | |
| S3.19 | S3 接入点应启用屏蔽公共访问权限设置 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 关键 | 变更已触发 | |
| S3.20 | S3 通用存储桶应启用 MFA 删除功能 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、CIS AWS 基金会基准 v1.4.0、NIST SP 800-53 Rev. 5 | 低 | 变更已触发 | |
| S3.22 | S3 通用存储桶应记录对象级写入事件 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | 中 | 定期 | |
| S3.23 | S3 通用存储桶应记录对象级读取事件 | CIS AWS 基金会基准 v5.0.0、CIS AWS 基金会基准 v3.0.0、PCI DSS v4.0.1 | 中 | 定期 | |
| S3.24 | S3 多区域接入点应启用屏蔽公共访问权限设置 | AWS 基础安全最佳实践、PCI DSS v4.0.1 | HIGH(高) | 变更已触发 | |
| S3.25 | S3 目录存储桶应具有生命周期配置 | AWS 基础安全最佳实践 | 低 | 变更已触发 | |
| SageMaker.1 | Amazon SageMaker 笔记本实例不应直接访问 Internet | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | |
定期 |
| SageMaker.2 | SageMaker 笔记本实例应在自定义 VPC 中启动 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | HIGH(高) | |
变更已触发 |
| SageMaker.3 | 用户不应拥有 SageMaker 笔记本实例的根访问权限 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | HIGH(高) | |
变更已触发 |
| SageMaker.4 | SageMaker 端点生产变体的初始实例数应大于 1 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 定期 | |
| SageMaker.5 | SageMaker 模型应启用网络隔离 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| SageMaker.6 | 应标记 SageMaker 应用映像配置 | AWS 资源标记标准 | 低 | 变更已触发 | |
| SageMaker.7 | 应标记 SageMaker 映像 | AWS 资源标记标准 | 低 | 变更已触发 | |
| SageMaker.8 | SageMaker 笔记本实例应在支持的平台上运行 | AWS 基础安全最佳实践 | 中 | 定期 | |
| SecretsManager.1 | Secrets Manager 密钥应启用自动轮换 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| SecretsManager.2 | 配置自动轮换的 Secrets Manager 密钥应成功轮换 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
变更已触发 |
| SecretsManager.3 | 移除未使用 Secrets Manager 密钥 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、服务托管标准:AWS Control Tower | 中 | |
定期 |
| SecretsManager.4 | Secrets Manager 密钥应在指定的天数内轮换 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 中 | |
定期 |
| SecretsManager.5 | 应标记 Secrets Manager 密钥 | AWS 资源标记标准 | 低 | 变更已触发 | |
| ServiceCatalog.1 | Service Catalog 产品组合仅应在 AWS 组织内共享 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | HIGH(高) | 定期 | |
| SES.1 | 应标记 SES 联系人名单 | AWS 资源标记标准 | 低 | 变更已触发 | |
| SES.2 | 应标记 SES 配置集 | AWS 资源标记标准 | 低 | 变更已触发 | |
| SNS.1 | 应使用 AWS KMS 对 SNS 主题进行静态加密 | NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | 变更已触发 | |
| SNS.3 | 应标记 SNS 主题 | AWS 资源标记标准 | 低 | 变更已触发 | |
| SNS.4 | SNS 主题访问策略不应允许公共访问 | AWS 基础安全最佳实践 | HIGH(高) | 变更已触发 | |
| SQS.1 | 应对 Amazon SQS 队列进行静态加密 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| SQS.2 | 应标记 SQS 队列 | AWS 资源标记标准 | 低 | 变更已触发 | |
| SQS.3 | SQS 队列访问策略不应允许公开访问 | AWS 基础安全最佳实践 | HIGH(高) | 变更已触发 | |
| SSM.1 | EC2 实例应由 AWS Systems Manager 管理 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower、PCI DSS v3.2.1、NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| SSM.2 | 由 Systems Manager 管理的 EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态 | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | HIGH(高) | |
变更已触发 |
| SSM.3 | 由 Systems Manager 管理的 EC2 实例的关联合规性的状态应为 COMPLIANT | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、PCI DSS v3.2.1、PCI DSS v4.0.1、服务托管标准:AWS Control Tower | 低 | |
变更已触发 |
| SSM.4 | SSM 文档不应公开 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 重大 | |
定期 |
| SSM.5 | 应标记 SSM 文档 | AWS 资源标记标准 | 低 | 变更已触发 | |
| SSM.6 | SSM Automation 应启用 CloudWatch 日志记录 | AWS 基础安全最佳实践 v1.0.0 | 中 | 定期 | |
| SSM.7 | SSM 文档应启用“阻止公开共享”设置 | AWS 基础安全最佳实践 v1.0.0 | 关键 | 定期 | |
| StepFunctions.1 | Step Functions 状态机应该开启日志功能 | AWS 基础安全最佳实践 v1.0.0、PCI DSS v4.0.1 | 中 | |
变更已触发 |
| StepFunctions.2 | 应标记 Step Functions 活动 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Transfer.1 | 应标记 Transfer Family 工作流程 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Transfer.2 | Transfer Family 服务器不应使用 FTP 协议进行端点连接 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | 定期 | |
| Transfer.3 | Transfer Family 连接器应启用日志记录 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5 | 中 | 变更已触发 | |
| Transfer.4 | 应标记 Transfer Family 协议 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Transfer.5 | 应标记 Transfer Family 证书 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Transfer.6 | 应标记 Transfer Family 连接器 | AWS 资源标记标准 | 低 | 变更已触发 | |
| Transfer.7 | 应标记 Transfer Family 配置文件 | AWS 资源标记标准 | 低 | 变更已触发 | |
| WAF.1 | 应启用 AWS WAF 经典全局 Web ACL 日志记录 | AWS 基础安全最佳实践、NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 中 | |
定期 |
| WAF.2 | AWS WAF 经典区域规则应至少有一个条件 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| WAF.3 | AWS WAF 经典区域规则组应至少有一条规则 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| WAF.4 | AWS WAF 经典区域 Web ACL 应至少有一个规则或规则组 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| WAF.6 | AWS WAF 经典全局规则应至少有一个条件 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| WAF.7 | AWS WAF 经典全局规则组应至少有一条规则 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| WAF.8 | AWS WAF 经典全局 Web ACL 应至少有一个规则或规则组 | AWS 基础安全最佳实践 v1.0.0(NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| WAF.10 | AWS WAF Web ACL 应至少有一个规则或规则组 | AWS 基础安全最佳实践 v1.0.0(服务托管标准:AWS Control Tower,NIST SP 800-53 Rev. 5) | 中 | |
变更已触发 |
| WAF.11 | 应启用 AWS WAF Web ACL 日志记录 | NIST SP 800-53 Rev. 5、PCI DSS v4.0.1 | 低 | |
定期 |
| WAF.12 | AWS WAF 规则应启用 CloudWatch 指标 | AWS 基础安全最佳实践 v1.0.0、NIST SP 800-53 Rev. 5、NIST SP 800-171 Rev. 2 | 中 | |
变更已触发 |
| WorkSpaces.1 | 应静态加密 WorkSpaces 用户卷 | AWS 基础安全最佳实践 | 中 | 变更已触发 | |
| WorkSpaces.2 | 应静态加密 WorkSpaces 根卷 | AWS 基础安全最佳实践 | 中 | 变更已触发 |
