本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # CIS AWS 基準 1.4.0 版 CIS AWS 基準 1.4 版 AWS Audit Manager 提供兩個預先建置的標準架構,支援 Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0。 **注意** 如需支援 v1.2.0 之 Audit Manager 架構的相關資訊,請參閱 [CIS AWS 基準 1.2.0 版](CIS-1-2.md)。 如需支援 v1.3.0 之 Audit Manager 架構的相關資訊,請參閱 [CIS AWS 基準 1.3.0 版](CIS-1-3.md)。 **Topics** + [ ## 什麼是 CIS AWS 基準? ](#what-is-CIS-1-4) + [使用這些架構](#framework-CIS-1-4) + [ ## 後續步驟 ](#next-steps-CIS-1-4) + [ ## 其他資源 ](#resources-CIS-1-4) ## 什麼是 CIS AWS 基準? CIS AWS Benchmark v1.4.0 提供為 Amazon Web Services 子集設定安全選項的規範性指導。其將基礎、可測試和體系結構不可知的設定做為重點。本文件部分特定 Amazon Web Services 範圍包含以下項目: + AWS Identity and Access Management (IAM) + IAM Access Analyzer + AWS Config + AWS CloudTrail + Amazon CloudWatch + Amazon Simple Notification Service (Amazon SNS) + Amazon Simple Storage Service (Amazon S3) + Amazon Elastic Compute Cloud (Amazon EC2) + Amazon Relational Database Service (Amazon RDS) + Amazon Virtual Private Cloud **CIS 基準和 CIS 控制項之間的區別** *CIS 基準*是針對供應商產品的安全性最佳實務指南。從操作系統到雲端服務和網路裝置,基準測試套用的設定可保護正在使用的系統。*CIS 控制項*是基本最佳實務指南,供組織遵循以協助防範已知的網路攻擊媒介。 **範例** + CIS 基準是一系列的方案。它們通常會參考可在廠商產品中檢閱和配置的特定設定。 **範例:**CIS AWS Benchmark v1.3.0 - 確保已為「根使用者」帳戶啟用 MFA 此建議提供如何檢查此項目以及如何在 AWS 環境的根帳戶上設定此項目的規範性指導。 + CIS 控制項適用於您的組織整體,而不是只針對單一供應商產品。 **範例:**CIS v7.1 - 對所有管理存取使用多重要素驗證 此控制項描述預期要在組織內套用的項目。然而,它不會說明您應該如何將其應用於正在執行的系統和工作負載中 (無論它們位於何處)。 ## 使用此架構支援您進行稽核準備 使用這些架構 您可以使用 中的 CIS AWS Benchmark v1.4.0 架構 AWS Audit Manager 來協助您準備 CIS 稽核。您也可以根據特定需求自訂這些架構和他們的控制項,以支援內部稽核。 使用架構作為起點,您可以建立 Audit Manager 評估,並開始收集與稽核相關的證據。建立評估之後,Audit Manager 會開始評估您的 AWS 資源。其根據 CIS 架構中定義的控制項來執行此動作。需要進行稽核時,您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾,並選擇要包含在評估報告中的證據。或者,如果您啟用了證據搜尋工具,您就可以搜尋特定證據並以 CSV 格式匯出,或者從搜尋結果建立評估報告。不論何種方式,您都可以使用此評估報告來顯示您的控制項正在按預期運作。 架構的詳細資訊如下: | 中的架構名稱 AWS Audit Manager | 自動化控制項數量 | 手動控制項數量 | 控制集數 | | --- | --- | --- | --- | | Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.4.0,第 1 級 | 32 | 6 | 5 | | Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.4.0,第 1 級和第 2 級 | 50 | 8 | 5 | **重要** 為了確保這些架構從中收集預期證據 AWS Security Hub CSPM,請務必在 Security Hub CSPM 中啟用所有標準。 為了確保這些架構從中收集預期證據 AWS Config,請務必啟用必要的 AWS Config 規則。若要檢閱做為這些標準架構之資料來源映射的 AWS Config 規則清單,請下載下列檔案: [ AuditManager\$1ConfigDataSourceMappings\$1CIS-AWS-Benchmark-v1.4.0,-Level-1.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.4.0,-Level-1.zip) [ AuditManager\$1ConfigDataSourceMappings\$1CIS-AWS-Benchmark-v1.4.0,-Level-1-and-2.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.4.0,-Level-1-and-2.zip) 這些架構中的控制項無意驗證您的系統是否符合 CIS AWS Benchmark v1.4.0。此外,他們無法保證您會通過 CIS 稽核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控制。 ## 後續步驟 如需如何檢視這些架構的詳細資訊,包括其中包含的標準控制項清單,請參閱 [在 中檢閱架構 AWS Audit Manager](review-frameworks.md)。 如需使用這些架構建立評估方式的說明,請參閱 [在 中建立評估 AWS Audit Manager](create-assessments.md)。 如需如何自訂這些架構以支援特定需求的指示,請參閱 [在 中製作現有架構的可編輯複本 AWS Audit Manager](create-custom-frameworks-from-existing.md)。 ## 其他資源 + *Center for Internet Security*的 [CIS 基準](https://benchmarks.cisecurity.org) + [CIS AWS Foundations Benchmark*AWS 安全部落格*貼文](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/)