Änderungsprotokoll für Security Hub-Steuerelemente

Im folgenden Änderungsprotokoll werden wesentliche Änderungen an bestehenden AWS Security Hub Sicherheitskontrollen aufgezeichnet, die zu Änderungen des Gesamtstatus einer Kontrolle und des Compliance-Status der Ergebnisse führen können. Informationen darüber, wie Security Hub den Kontrollstatus auswertet, finden Sie unterBewertung des Konformitätsstatus und des Kontrollstatus in Security Hub. Es kann einige Tage nach ihrem Eintrag in diesem Protokoll dauern, bis sich Änderungen auf alle AWS-Regionen auswirken, für die das Steuerelement verfügbar ist.

In diesem Protokoll werden Änderungen aufgezeichnet, die seit April 2023 vorgenommen wurden. Wählen Sie ein Steuerelement aus, um weitere Details dazu zu überprüfen. Titeländerungen werden 90 Tage lang in der detaillierten Beschreibung eines Steuerelements vermerkt.

Datum der Änderung	Kontroll-ID und Titel	Beschreibung der Änderung
7. März 2025	[RDS.18] RDS-Instances sollten in einer VPC bereitgestellt werden	Security Hub hat dieses Steuerelement aus dem Standard AWS Foundation Security Best Practices v1.0.0 entfernt und die Überprüfung der Anforderungen von NIST SP 800-53 Rev. 5 automatisiert. Da Amazon EC2 -Classic Networking eingestellt wurde, können Amazon Relational Database Service (Amazon RDS) -Instances nicht mehr außerhalb einer VPC bereitgestellt werden. Die Steuerung ist weiterhin Teil des Service-Managed-Standards.AWS Control Tower
10. Januar 2025	[Glue.2] Bei AWS Glue-Jobs sollte die Protokollierung aktiviert sein	Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt.
20. Dezember 2024	EC26.1 bis 1.69 EC2	Security Hub hat die Version der Steuerelemente EC2 6.1 bis EC2 1.69 rückgängig gemacht.
12. Dezember 2024	[RDS.23] RDS-Instances sollten keinen Standard-Port für die Datenbank-Engine verwenden	RDS.23 prüft, ob ein Amazon Relational Database Service (Amazon RDS) -Cluster oder eine Instance einen anderen Port als den Standardport der Datenbank-Engine verwendet. Wir haben das Steuerelement aktualisiert, sodass die zugrunde liegende AWS Config Regel das Ergebnis von NOT_APPLICABLE für RDS-Instances zurückgibt, die Teil eines Clusters sind.
2. Dezember 2024	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt nodejs22.x als Parameter.
26. November 2024	[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden	Dieses Steuerelement prüft, ob ein Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Die älteste unterstützte Version ist. 1.29
20. November 2024	[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden	Config.1 prüft, ob aktiviert AWS Config ist, verwendet die serviceverknüpfte Rolle und zeichnet Ressourcen für aktivierte Steuerelemente auf. Security Hub hat den Schweregrad dieser Kontrolle von MEDIUM bis erhöhtCRITICAL. Security Hub hat außerdem neue Statuscodes und Statusgründe für fehlgeschlagene Config.1-Ergebnisse hinzugefügt. Diese Änderungen spiegeln die Bedeutung von Config.1 für den Betrieb der Security Hub-Steuerelemente wider. Wenn Sie AWS Config oder Resource Recording deaktiviert haben, kann es sein, dass Sie falsche Kontrollergebnisse erhalten. Um ein PASSED Ergebnis für Config.1 zu erhalten, aktivieren Sie die Ressourcenaufzeichnung für Ressourcen, die den aktivierten Security Hub-Steuerelementen entsprechen, und deaktivieren Sie Kontrollen, die in Ihrer Organisation nicht erforderlich sind. Anweisungen zur Konfiguration AWS Config für Security Hub finden Sie unterAktivierung und Konfiguration AWS Config für Security Hub. Eine Liste der Security Hub-Steuerelemente und der entsprechenden Ressourcen finden Sie unterErforderliche AWS Config Ressourcen für die Ergebnisse der Security Hub Hub-Kontrolle.
12. November 2024	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt python3.13 als Parameter.
11. Oktober 2024	ElastiCache steuert	Die Titel der Steuerelemente für ElastiCache .3, ElastiCache .4, ElastiCache .5 und ElastiCache .7 wurden geändert. In den Titeln wird Redis OSS nicht mehr erwähnt, da die Steuerelemente auch für Valkey gelten. ElastiCache
27. September 2024	[ELB.4] Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden	Der geänderte Titel des Steuerelements von Application Load Balancer sollte so konfiguriert werden, dass HTTP-Header gelöscht werden. Application Load Balancer sollte so konfiguriert sein, dass ungültige HTTP-Header gelöscht werden.
19. August 2024	Der Titel ändert sich zu DMS.12 und zu den Steuerelementen ElastiCache	Die Titel der Steuerelemente für DMS.12 und ElastiCache DMS.1 bis 1.7 wurden geändert. ElastiCache Wir haben diese Titel geändert, um einer Namensänderung im Amazon-Dienst ElastiCache (Redis OSS) Rechnung zu tragen.
15. August 2024	[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden	Config.1 prüft, ob aktiviert AWS Config ist, verwendet die serviceverknüpfte Rolle und zeichnet Ressourcen für aktivierte Steuerelemente auf. Security Hub hat einen benutzerdefinierten Steuerparameter mit dem Namen hinzugefügtincludeConfigServiceLinkedRoleCheck. Wenn Sie diesen Parameter auf setzenfalse, können Sie die Überprüfung deaktivieren, ob die serviceverknüpfte Rolle AWS Config verwendet wird.
31. Juli 2024	[IoT.1] AWS IoT Device Defender Sicherheitsprofile sollten markiert werden	Der Titel des Steuerelements wurde von AWS IoT Core Sicherheitsprofilen sollte markiert werden zu AWS IoT Device Defender Sicherheitsprofile sollten markiert werden geändert.
29. Juli 2024	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt nicht mehr nodejs16.x als Parameter.
29. Juli 2024	[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden	Dieses Steuerelement prüft, ob ein Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Die älteste unterstützte Version ist. 1.28
25. Juni 2024	[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden	Dieses Steuerelement überprüft, ob AWS Config es aktiviert ist, verwendet die dienstbezogene Rolle und zeichnet Ressourcen für aktivierte Steuerelemente auf. Security Hub hat den Titel des Steuerelements aktualisiert, um widerzuspiegeln, was das Steuerelement auswertet.
14. Juni 2024	[RDS.34] Aurora MySQL-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch	Diese Steuerung prüft, ob ein Amazon Aurora MySQL-DB-Cluster so konfiguriert ist, dass er Audit-Logs in Amazon CloudWatch Logs veröffentlicht. Security Hub hat das Steuerelement aktualisiert, sodass es keine Ergebnisse für Aurora Serverless v1-DB-Cluster generiert.
11. Juni 2024	[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden	Dieses Steuerelement prüft, ob ein Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster auf einer unterstützten Kubernetes-Version ausgeführt wird. Die älteste unterstützte Version ist. 1.27
10. Juni 2024	[Config.1] AWS Config sollte aktiviert sein und die serviceverknüpfte Rolle für die Ressourcenaufzeichnung verwenden	Dieses Steuerelement überprüft, ob aktiviert AWS Config ist und ob die AWS Config Ressourcenaufzeichnung aktiviert ist. Bisher führte das Steuerelement nur dann PASSED zu einem Ergebnis, wenn Sie die Aufzeichnung für alle Ressourcen konfiguriert hatten. Security Hub hat das Steuerelement aktualisiert, sodass ein PASSED Ergebnis angezeigt wird, wenn die Aufzeichnung für Ressourcen aktiviert ist, die für aktivierte Steuerungen erforderlich sind. Das Steuerelement wurde außerdem aktualisiert, um zu überprüfen, ob die AWS Config serviceverknüpfte Rolle verwendet wird, die Berechtigungen zum Aufzeichnen der erforderlichen Ressourcen bereitstellt.
8. Mai 2024	[S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein	Dieses Steuerelement prüft, ob bei einem versionsbasierten Amazon S3-Bucket für allgemeine Zwecke das Löschen mit Multi-Faktor-Authentifizierung (MFA) aktiviert ist. Zuvor ergab die Kontrolle einen FAILED Befund für Buckets, die über eine Lifecycle-Konfiguration verfügen. Das Löschen von MFA mit Versionierung kann jedoch nicht für einen Bucket aktiviert werden, der über eine Lifecycle-Konfiguration verfügt. Security Hub hat das Steuerelement aktualisiert, sodass es keine Ergebnisse für Buckets mit einer Lifecycle-Konfiguration gibt. Die Beschreibung des Steuerelements wurde aktualisiert, um das aktuelle Verhalten widerzuspiegeln.
2. Mai 2024	[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden	Security Hub hat die älteste unterstützte Version von Kubernetes, auf der der Amazon EKS-Cluster ausgeführt werden kann, aktualisiert, um ein erfolgreiches Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.26
30. April 2024	[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein	Der Titel des Steuerelements wurde von „CloudTrail sollte aktiviert“ auf „Mindestens ein CloudTrail Trail sollte aktiviert sein“ geändert. Dieses Steuerelement zeigt derzeit PASSED an AWS-Konto , ob für mindestens ein CloudTrail Trail aktiviert ist. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln.
29. April 2024	[AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden	Der Titel der Steuerung wurde von Auto Scaling Scaling-Gruppen, die einem Classic Load Balancer zugeordnet sind, sollten Load Balancer-Integritätsprüfungen verwenden, zu Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, ELB-Zustandsprüfungen verwenden. Dieses Steuerelement bewertet derzeit Anwendungs-, Gateway-, Netzwerk- und Classic Load Balancer. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln.
19. April 2024	[CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst	Das Steuerelement überprüft, ob AWS CloudTrail es aktiviert und mit mindestens einem Multiregionspfad konfiguriert ist, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst. Bisher generierte das Steuerelement fälschlicherweise PASSED Ergebnisse, wenn ein Konto mit mindestens einem Multiregions-Trail CloudTrail aktiviert und konfiguriert war, auch wenn kein Trail Lese- und Schreibverwaltungsereignisse aufzeichnete. Das Steuerelement generiert jetzt nur noch PASSED Ergebnisse, wenn CloudTrail es aktiviert und mit mindestens einem multiregionalen Trail konfiguriert ist, der Verwaltungsereignisse für Lese- und Schreibvorgänge erfasst.
10. April 2024	[Athena.1] Athena-Arbeitsgruppen sollten im Ruhezustand verschlüsselt werden	Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Athena-Arbeitsgruppen senden Protokolle an Amazon Simple Storage Service (Amazon S3) -Buckets. Amazon S3 bietet jetzt Standardverschlüsselung mit S3-verwalteten Schlüsseln (SS3-S3) für neue und bestehende S3-Buckets.
10. April 2024	[AutoScaling.4] Die Auto Scaling Scaling-Gruppenstartkonfiguration sollte kein Metadaten-Response-Hop-Limit größer als 1 haben	Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Die Limits für Metadaten-Antwort-Hops für Amazon Elastic Compute Cloud (Amazon EC2) -Instances hängen von der Arbeitslast ab.
10. April 2024	[CloudFormation.1] CloudFormation Stacks sollten in Simple Notification Service (SNS) integriert werden	Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Die Integration von AWS CloudFormation Stacks mit Amazon SNS SNS-Themen ist keine bewährte Sicherheitsmethode mehr. Die Integration wichtiger CloudFormation Stacks mit SNS-Themen kann zwar nützlich sein, ist aber nicht für alle Stacks erforderlich.
10. April 2024	[CodeBuild.5] In CodeBuild Projektumgebungen sollte der privilegierte Modus nicht aktiviert sein	Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Die Aktivierung des privilegierten Modus in einem CodeBuild Projekt stellt kein zusätzliches Risiko für die Kundenumgebung dar.
10. April 2024	[IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers	Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Der Zweck dieser Kontrolle wird durch eine andere Kontrolle abgedeckt,[CloudWatch.1] Für den Benutzer „root“ sollten ein Metrik-Logfilter und ein Alarm vorhanden sein.
10. April 2024	[SNS.2] Die Protokollierung des Zustellungsstatus sollte für Benachrichtigungen aktiviert werden, die an ein Thema gesendet werden	Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Das Protokollieren des Zustellungsstatus für SNS-Themen ist keine bewährte Sicherheitsmethode mehr. Die Protokollierung des Zustellungsstatus für wichtige SNS-Themen kann zwar nützlich sein, ist aber nicht für alle Themen erforderlich.
10. April 2024	[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben	Security Hub hat dieses Steuerelement aus AWS Foundation Security Best Practices v1.0.0 und Service-Managed Standard: entfernt. AWS Control Tower Der Zweck dieses Steuerelements wird durch zwei weitere Steuerelemente abgedeckt: und. [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein Diese Steuerung ist immer noch Teil von NIST SP 800-53 Rev. 5.
10. April 2024	[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein	Security Hub hat dieses Steuerelement aus AWS Foundation Security Best Practices v1.0.0 und Service-Managed Standard: entfernt. AWS Control Tower Es gibt zwar einige Fälle, in denen Ereignisbenachrichtigungen für S3-Buckets nützlich sind, dies ist jedoch keine allgemein bewährte Sicherheitsmethode. Diese Steuerung ist immer noch Teil von NIST SP 800-53 Rev. 5.
10. April 2024	[SNS.1] SNS-Themen sollten im Ruhezustand verschlüsselt werden mit AWS KMS	Security Hub hat dieses Steuerelement aus AWS Foundation Security Best Practices v1.0.0 und Service-Managed Standard: entfernt. AWS Control Tower Standardmäßig verschlüsselt SNS ruhende Themen mit Festplattenverschlüsselung. Weitere Informationen finden Sie unter Datenverschlüsselung. Die Verwendung AWS KMS zur Verschlüsselung von Themen wird als bewährte Sicherheitsmethode nicht mehr empfohlen. Dieses Steuerelement ist immer noch Teil von NIST SP 800-53 Rev. 5.
8. April 2024	[ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein	Der Steuerelementtitel wurde von Application Load Balancer Balancer-Löschschutz aktiviert in Application, Gateway und Network Load Balancer sollten den Löschschutz aktiviert haben geändert. Dieses Steuerelement bewertet derzeit Application, Gateway und Network Load Balancer. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln.
22. März 2024	[Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden	Der Titel des Steuerelements wurde von Verbindungen zu OpenSearch Domänen sollten mit TLS 1.2 verschlüsselt werden in Verbindungen zu OpenSearch Domänen sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden geändert. Bisher überprüfte das Steuerelement nur, ob Verbindungen zu OpenSearch Domänen TLS 1.2 verwendeten. Das Steuerelement stellt nun PASSED fest, ob OpenSearch Domänen mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt wurden. Der Titel und die Beschreibung des Steuerelements wurden aktualisiert, um das aktuelle Verhalten widerzuspiegeln.
22. März 2024	[ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden	Der Titel des Steuerelements wurde von Connections zu Elasticsearch-Domains geändert und sollte mit TLS 1.2 verschlüsselt werden. Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden. Bisher überprüfte das Steuerelement nur, ob Verbindungen zu Elasticsearch-Domains TLS 1.2 verwendeten. Das Steuerelement stellt nun PASSED fest, ob Elasticsearch-Domains mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt wurden. Der Titel und die Beschreibung des Steuerelements wurden aktualisiert, um das aktuelle Verhalten widerzuspiegeln.
12. März 2024	[S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein	Der Titel sollte von der Einstellung „Öffentlichen Zugriff blockieren“ auf die Einstellung „Öffentlichen Zugriff blockieren“ in S3-Allzweck-Buckets geändert werden. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren	Der geänderte Titel von S3-Buckets sollte den öffentlichen Lesezugriff auf S3-Buckets verbieten. Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren	Der geänderte Titel von S3-Buckets sollte den öffentlichen Schreibzugriff auf S3-Buckets verbieten. Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern	Die Änderung des Titels von S3-Buckets sollte Anfragen zur Verwendung von Secure Socket Layer erfordern, zu S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten	Der geänderte Titel von S3-Berechtigungen, die anderen AWS-Konten in Bucket-Richtlinien gewährt wurden, sollte auf S3-Allzweck-Bucket-Richtlinien beschränkt werden, sollten den Zugriff auf andere einschränken AWS-Konten. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden	Bei der Änderung des Titels von S3-Buckets sollte die regionsübergreifende Replikation aktiviert sein, sodass für S3-Buckets für allgemeine Zwecke die regionsübergreifende Replikation verwendet werden sollte. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden	Bei der Änderung des Titels von S3-Buckets sollte die regionsübergreifende Replikation aktiviert sein, sodass für S3-Buckets für allgemeine Zwecke die regionsübergreifende Replikation verwendet werden sollte. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren	Der Titel sollte von der Einstellung S3-Zugriff blockieren auf Bucket-Ebene zu S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein	Der Titel wurde von der Protokollierung des S3-Bucket-Serverzugriffs aktiviert in die Serverzugriffsprotokollierung sollte für S3-Allzweck-Buckets aktiviert sein geändert. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben	Bei der Änderung des Titels von S3-Buckets mit aktivierter Versionierung sollten Lebenszyklusrichtlinien so konfiguriert sein, dass S3-Allzweck-Buckets mit aktivierter Versionierung Lifecycle-Konfigurationen haben sollten. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein	Bei der Änderung des Titels von S3-Buckets sollten Ereignisbenachrichtigungen aktiviert sein, bei S3-Buckets für allgemeine Zwecke sollten Ereignisbenachrichtigungen aktiviert sein. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.12] ACLs sollte nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden	Der geänderte Titel aus den S3-Zugriffskontrolllisten (ACLs) sollte nicht zur Verwaltung des Benutzerzugriffs auf Buckets verwendet werden. Er ACLs sollte auch nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben	Bei der Änderung des Titels von S3-Buckets sollten die Lebenszyklusrichtlinien so konfiguriert sein, dass für S3-Allzweck-Buckets Lifecycle-Konfigurationen konfiguriert werden sollten. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein	Bei der Änderung des Titels von S3-Buckets sollte Versionierung verwendet werden, bei S3-Buckets für allgemeine Zwecke sollte die Versionierung aktiviert sein. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein	Der geänderte Titel von S3-Buckets sollte so konfiguriert werden, dass Object Lock verwendet wird. Für S3-Allzweck-Buckets sollte Object Lock aktiviert sein. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
12. März 2024	[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys	Der Titel wurde von S3-Buckets sollten im Ruhezustand mit AWS KMS keys verschlüsselt werden in S3-Buckets für allgemeine Zwecke geändert. AWS KMS keys Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen.
7. März 2024	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt nodejs20.x und ruby3.3 als Parameter.
22. Februar 2024	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt dotnet8 als Parameter.
5. Februar 2024	[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden	Security Hub hat die älteste unterstützte Version von Kubernetes, auf der der Amazon EKS-Cluster ausgeführt werden kann, aktualisiert, um ein erfolgreiches Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.25
10. Januar 2024	[CodeBuild.1] Das CodeBuild Bitbucket-Quell-Repository URLs sollte keine vertraulichen Anmeldeinformationen enthalten	Der geänderte Titel CodeBuild GitHub oder das Bitbucket-Quell-Repository URLs sollte in das CodeBuild Bitbucket-Quell-Repository geändert werden und URLs darf keine vertraulichen Anmeldeinformationen enthalten. OAuth Security Hub hat die Erwähnung von entfernt OAuth , da auch andere Verbindungsmethoden sicher sein können. Security Hub hat die Erwähnung von entfernt GitHub , da es nicht mehr möglich ist, ein persönliches Zugriffstoken oder einen Benutzernamen und ein Passwort im GitHub Quell-Repository zu haben URLs.
8. Januar 2024	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt go1.x und nicht mehr java8 als Parameter, da es sich dabei um ausgemusterte Laufzeiten handelt.
29. Dezember 2023	[RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein	RDS.8 prüft, ob für eine Amazon RDS-DB-Instance, die eine der unterstützten Datenbank-Engines verwendet, der Löschschutz aktiviert ist. Security Hub unterstützt jetzt custom-oracle-eeoracle-ee-cdb, und oracle-se2-cdb als Datenbank-Engines.
22. Dezember 2023	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt java21 und python3.12 als Parameter. Security Hub unterstützt nicht mehr ruby2.7 als Parameter.
15. Dezember 2023	Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein	CloudFront.1 prüft, ob für eine CloudFront Amazon-Distribution ein Standard-Root-Objekt konfiguriert ist. Security Hub hat den Schweregrad dieser Kontrolle von CRITICAL auf HIGH herabgesetzt, da das Hinzufügen des Standard-Root-Objekts eine Empfehlung ist, die von der Anwendung und den spezifischen Anforderungen des Benutzers abhängt.
05. Dezember 2023	[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen	Der Titel des Steuerelements wurde von Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 auf Port 22 zulassen in Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 22 zulassen geändert.
05. Dezember 2023	[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen	Der Kontrolltitel wurde von „Sicherstellen, dass keine Sicherheitsgruppen den Zugriff von 0.0.0.0/0 auf Port 3389 zulassen“ in „Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen“ geändert.
05. Dezember 2023	[RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch	Der Kontrolltitel wurde von Datenbankprotokollierung sollte aktiviert sein in RDS-DB-Instances geändert, sodass RDS-DB-Instances Protokolle in Logs veröffentlichen sollten. CloudWatch Security Hub hat festgestellt, dass dieses Steuerelement nur prüft, ob Protokolle in Amazon CloudWatch Logs veröffentlicht werden, und nicht, ob RDS-Protokolle aktiviert sind. Das Steuerelement stellt PASSED fest, ob RDS-DB-Instances so konfiguriert sind, dass sie CloudWatch Protokolle in Logs veröffentlichen. Der Titel des Steuerelements wurde aktualisiert, um das aktuelle Verhalten widerzuspiegeln.
05. Dezember 2023	[EKS.8] Bei EKS-Clustern sollte die Auditprotokollierung aktiviert sein	Diese Steuerung prüft, ob bei Amazon EKS-Clustern die Auditprotokollierung aktiviert ist. Die AWS Config Regel, die Security Hub zur Auswertung dieser Kontrolle verwendet, wurde von eks-cluster-logging-enabled zu geänderteks-cluster-log-enabled.
17. November 2023	[EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen	EC2.19 überprüft, ob uneingeschränkter eingehender Datenverkehr für eine Sicherheitsgruppe über die angegebenen Ports zugänglich ist, die als risikoreich eingestuft werden. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten.
16. November 2023	[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein	Der Titel des Steuerelements wurde von „CloudWatch Alarme sollte eine Aktion für den ALARM-Status konfigurieren“ zu „ CloudWatch Alarme sollten bestimmte Aktionen konfiguriert haben“ geändert.
16. November 2023	[CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden	Der geänderte Kontrolltitel aus CloudWatch Protokollgruppen sollte mindestens ein Jahr lang aufbewahrt werden, während CloudWatch Protokollgruppen für einen bestimmten Zeitraum aufbewahrt werden sollten.
16. November 2023	[Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren	Der Titel der Steuerung wurde von VPC-Lambda-Funktionen sollten in mehr als einer Availability Zone funktionieren, in VPC-Lambda-Funktionen geändert, die in mehreren Availability Zones funktionieren sollten.
16. November 2023	[AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben	Der Titel des Steuerelements wurde von AWS AppSync sollte die Protokollierung auf Anforderungs- und Feldebene aktiviert haben in Die Protokollierung auf Feldebene sollte aktiviert sein geändert.AWS AppSync
16. November 2023	[EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben	Der Kontrolltitel wurde von Amazon Elastic MapReduce Cluster-Masterknoten sollten keine öffentlichen IP-Adressen haben zu Amazon EMR-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben.
16. November 2023	[Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein	Der Titel der Steuerung wurde von OpenSearch Domänen, die sich in einer VPC befinden sollten, zu OpenSearchDomänen geändert, die nicht öffentlich zugänglich sein sollten.
16. November 2023	[ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein	Der Titel des Steuerelements wurde von Elasticsearch-Domains in einer VPC geändert und Elasticsearch-Domains sollten nicht öffentlich zugänglich sein.
31. Oktober 2023	[ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein	ES.4 prüft, ob Elasticsearch-Domains so konfiguriert sind, dass sie Fehlerprotokolle an Amazon CloudWatch Logs senden. Die Kontrolle ergab zuvor einen PASSED Befund für eine Elasticsearch-Domain, deren Logs so konfiguriert sind, dass sie an Logs gesendet werden. CloudWatch Security Hub hat das Steuerelement aktualisiert, sodass nur Ergebnisse für PASSED eine Elasticsearch-Domain generiert werden, die so konfiguriert ist, dass sie CloudWatch Fehlerprotokolle an Logs sendet. Das Steuerelement wurde außerdem aktualisiert, um Elasticsearch-Versionen, die Fehlerprotokolle nicht unterstützen, von der Auswertung auszuschließen.
16. Oktober 2023	[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen	EC2.13 prüft, ob Sicherheitsgruppen uneingeschränkten Eingangszugriff auf Port 22 zulassen. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten.
16. Oktober 2023	[EC2.14] Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen	EC2.14 überprüft, ob Sicherheitsgruppen uneingeschränkten Zugriff auf Port 3389 zulassen. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten.
16. Oktober 2023	[EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen	EC2.18 überprüft, ob die verwendeten Sicherheitsgruppen uneingeschränkten eingehenden Datenverkehr zulassen. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten.
16. Oktober 2023	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt python3.11 als Parameter.
04. Oktober 2023	[S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden	Security Hub hat den Parameter ReplicationType mit dem Wert von hinzugefügt, CROSS-REGION um sicherzustellen, dass bei S3-Buckets die regionsübergreifende Replikation aktiviert ist und nicht die Replikation derselben Region.
27. September 2023	[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden	Security Hub hat die älteste unterstützte Version von Kubernetes, auf der der Amazon EKS-Cluster ausgeführt werden kann, aktualisiert, um ein erfolgreiches Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.24
20. September 2023	[CloudFront.2] Bei CloudFront Distributionen sollte die Origin-Zugriffsidentität aktiviert sein	Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Folgen Sie stattdessen der Anleitung unter [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden. Die Zugriffskontrolle von Origin ist derzeit die bewährte Methode im Bereich Sicherheit. Diese Kontrolle wird innerhalb von 90 Tagen aus der Dokumentation entfernt.
20. September 2023	[EC2.22] Ungenutzte EC2 Amazon-Sicherheitsgruppen sollten entfernt werden	Security Hub hat dieses Steuerelement aus AWS Foundational Security Best Practices (FSBP) und SP 800-53 Rev. 5 des National Institute of Standards and Technology (NIST) entfernt. Es ist immer noch Teil des Service-Managed Standard:. AWS Control Tower Dieses Steuerelement führt zu einer bestandenen Feststellung, ob Sicherheitsgruppen an EC2 Instances oder an eine elastic network interface angehängt sind. In bestimmten Anwendungsfällen stellen nicht verknüpfte Sicherheitsgruppen jedoch kein Sicherheitsrisiko dar. Sie können andere EC2 Steuerelemente wie EC2 .2, EC2 .13, EC2 .14, EC2 .18 und .19 verwenden, um Ihre Sicherheitsgruppen zu überwachen. EC2
20. September 2023	[EC2.29] EC2 Instances sollten in einer VPC gestartet werden	Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Amazon EC2 hat EC2 -Classic-Instances zu einer VPC migriert. Dieses Steuerelement wird in 90 Tagen aus der Dokumentation entfernt.
20. September 2023	[S3.4] Für S3-Buckets sollte die serverseitige Verschlüsselung aktiviert sein.	Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Amazon S3 bietet jetzt Standardverschlüsselung mit S3-verwalteten Schlüsseln (SS3-S3) für neue und bestehende S3-Buckets. Die Verschlüsselungseinstellungen für bestehende Buckets, die mit der serverseitigen Verschlüsselung SS3 -S3 oder SS3 -KMS verschlüsselt sind, bleiben unverändert. Dieses Steuerelement wird in 90 Tagen aus der Dokumentation entfernt.
14. September 2023	[EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen	Der Titel des Steuerelements wurde von Die VPC-Standardsicherheitsgruppe sollte keinen eingehenden und ausgehenden Datenverkehr zulassen zu VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen geändert.
14. September 2023	[IAM.9] MFA sollte für den Root-Benutzer aktiviert sein	Der Steuertitel wurde von Virtual MFA sollte für den Root-Benutzer aktiviert sein zu MFA sollte für den Root-Benutzer aktiviert sein geändert.
14. September 2023	[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden	Der Titel des Steuerelements wurde von Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Clusterereignisse konfiguriert werden in Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Clusterereignisse konfiguriert werden geändert.
14. September 2023	[RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden	Der Titel des Steuerelements wurde von Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankinstanzereignisse konfiguriert werden in Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Datenbankinstanzereignisse konfiguriert werden geändert.
14. September 2023	[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben	Der Kontrolltitel wurde von „Eine WAF-Regionalregel sollte mindestens eine Bedingung haben“ in „AWS WAF Klassische Regionalregeln“ geändert, die mindestens eine Bedingung haben sollten.
14. September 2023	[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben	Der Kontrolltitel wurde von einer regionalen WAF-Regelgruppe sollte mindestens eine Regel enthalten zu einer AWS WAF klassischen regionalen Regelgruppe geändert, die mindestens eine Regel haben sollte.
14. September 2023	[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten	Der Kontrolltitel wurde von A WAF Regional Web ACL sollte mindestens eine Regel oder Regelgruppe enthalten in AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe haben geändert.
14. September 2023	[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben	Der Titel des Steuerelements wurde von „Eine globale WAF-Regel sollte mindestens eine Bedingung haben“ zu „AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben“ geändert.
14. September 2023	[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben	Der Titel des Steuerelements wurde von „Eine globale WAF-Regelgruppe sollte mindestens eine Regel haben“ zu „AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben“ geändert.
14. September 2023	[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben	Der Steuerelementtitel wurde von Eine globale WAF-Web-ACL sollte mindestens eine Regel oder Regelgruppe haben zu AWS WAF Classic Global Web ACLs sollte mindestens eine Regel oder Regelgruppe haben geändert.
14. September 2023	[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben	Der Titel des Steuerelements wurde von Eine WAFv2 Web-ACL sollte mindestens eine Regel oder Regelgruppe haben zu AWS WAF Web ACLs sollte mindestens eine Regel oder Regelgruppe haben geändert.
14. September 2023	[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein	Der Titel des Steuerelements AWS WAF wurde von Version 2 geändert, die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein.
20. Juli 2023	[S3.4] Für S3-Buckets sollte die serverseitige Verschlüsselung aktiviert sein.	S3.4 prüft, ob für einen Amazon S3 S3-Bucket entweder die serverseitige Verschlüsselung aktiviert ist oder ob die S3-Bucket-Richtlinie PutObject Anfragen ohne serverseitige Verschlüsselung explizit ablehnt. Security Hub hat diese Steuerung aktualisiert und umfasst nun eine serverseitige Dual-Layer-Verschlüsselung mit KMS-Schlüsseln (DSSE-KMS). Wenn ein S3-Bucket mit SSE-S3, SSE-KMS oder DSSE-KMS verschlüsselt ist, gibt das Steuerelement ein passendes Ergebnis aus.
17. Juli 2023	[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys	S3.17 prüft, ob ein Amazon S3 S3-Bucket mit einem verschlüsselt ist. AWS KMS key Security Hub hat diese Steuerung aktualisiert und umfasst nun eine serverseitige Dual-Layer-Verschlüsselung mit KMS-Schlüsseln (DSSE-KMS). Wenn ein S3-Bucket mit SSE-KMS oder DSSE-KMS verschlüsselt ist, gibt das Steuerelement ein passendes Ergebnis aus.
9. Juni 2023	[EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden	EKS.2 prüft, ob ein Amazon EKS-Cluster auf einer unterstützten Kubernetes-Version läuft. Die älteste unterstützte Version ist jetzt. 1.23
9. Juni 2023	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt ruby3.2 als Parameter.
5. Juni 2023	[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden	APIGateway.5.prüft, ob alle Methoden in den REST-API-Stufen von Amazon API Gateway im Ruhezustand verschlüsselt sind. Security Hub hat das Steuerelement aktualisiert, sodass die Verschlüsselung einer bestimmten Methode nur ausgewertet wird, wenn das Caching für diese Methode aktiviert ist.
18. Mai 2023	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt java17 als Parameter.
18. Mai 2023	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt nicht mehr nodejs12.x als Parameter.
23. April 2023	[ECS.10] ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen	ECS.10 prüft, ob die Amazon ECS Fargate-Dienste die neueste Version der Fargate-Plattform ausführen. Kunden können Amazon ECS direkt über ECS oder mithilfe von ECS bereitstellen CodeDeploy. Security Hub hat dieses Steuerelement aktualisiert, sodass bei der Bereitstellung von ECS Fargate-Diensten CodeDeploy die Ergebnisse „Bestanden“ angezeigt werden.
20. April 2023	[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten	S3.6 prüft, ob eine Bucket-Richtlinie von Amazon Simple Storage Service (Amazon S3) verhindert, dass Prinzipale AWS-Konten anderer Benutzer verweigerte Aktionen für Ressourcen im S3-Bucket ausführen. Security Hub hat die Steuerung aktualisiert, um Bedingungen in einer Bucket-Richtlinie zu berücksichtigen.
18. April 2023	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt python3.10 als Parameter.
18. April 2023	[Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden	Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt nicht mehr dotnetcore3.1 als Parameter.
17. April 2023	[RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein	RDS.11 prüft, ob für Amazon RDS-Instances automatische Backups aktiviert sind, wobei die Aufbewahrungsdauer für Backups mindestens sieben Tage beträgt. Security Hub hat diese Kontrolle aktualisiert, um Read Replicas von der Evaluierung auszuschließen, da nicht alle Engines automatische Backups auf Read Replicas unterstützen. Darüber hinaus bietet RDS nicht die Möglichkeit, bei der Erstellung von Read Replicas einen Aufbewahrungszeitraum für Backups festzulegen. Read Replicas werden standardmäßig mit einer Aufbewahrungsdauer für Backups 0 von erstellt.