Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Änderungsprotokoll für Security Hub-Steuerelemente
Im folgenden Änderungsprotokoll werden wesentliche Änderungen an bestehenden AWS Security Hub Sicherheitskontrollen aufgezeichnet, die zu Änderungen des Gesamtstatus einer Kontrolle und des Compliance-Status der Ergebnisse führen können. Informationen darüber, wie Security Hub den Kontrollstatus auswertet, finden Sie unterKonformitätsstatus und Kontrollstatus. Es kann einige Tage nach ihrem Eintrag in diesem Protokoll dauern, bis sich Änderungen auf alle AWS-Regionen auswirken, für die das Steuerelement verfügbar ist.
In diesem Protokoll werden Änderungen aufgezeichnet, die seit April 2023 vorgenommen wurden.
Wählen Sie ein Steuerelement aus, um weitere Details dazu anzuzeigen. Titeländerungen werden 90 Tage lang in der detaillierten Beschreibung der einzelnen Kontrollen vermerkt.
| Datum der Änderung | Kontroll-ID und Titel | Beschreibung der Änderung |
|---|---|---|
| 8. Mai 2024 | [S3.20] Bei S3-Allzweck-Buckets sollte MFA Delete aktiviert sein | Dieses Steuerelement prüft, ob bei einem versionsbasierten Amazon S3-Bucket für allgemeine Zwecke das Löschen mit Multi-Faktor-Authentifizierung (MFA) aktiviert ist. Zuvor ergab die Kontrolle einen FAILED Befund für Buckets, die über eine Lifecycle-Konfiguration verfügen. Das Löschen von MFA mit Versionierung kann jedoch nicht für einen Bucket aktiviert werden, der über eine Lifecycle-Konfiguration verfügt. Security Hub hat das Steuerelement aktualisiert, sodass es keine Ergebnisse für Buckets mit einer Lifecycle-Konfiguration gibt. Die Beschreibung des Steuerelements wurde aktualisiert, um das aktuelle Verhalten widerzuspiegeln. |
| 2. Mai 2024 | [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden | Security Hub hat die älteste unterstützte Version von Kubernetes, auf der der Amazon EKS-Cluster ausgeführt werden kann, aktualisiert, um ein bestehendes Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.26 |
| 30. April 2024 | [CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein | Der Titel des Steuerelements wurde von „CloudTrail sollte aktiviert“ auf „Mindestens ein CloudTrail Trail sollte aktiviert sein“ geändert. Dieses Steuerelement zeigt derzeit PASSED an AWS-Konto , ob für mindestens ein CloudTrail Trail aktiviert ist. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln. |
| 29. April 2024 | [AutoScaling.1] Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, sollten ELB-Zustandsprüfungen verwenden | Der Titel der Steuerung wurde von Auto Scaling Scaling-Gruppen, die einem Classic Load Balancer zugeordnet sind, sollten Load Balancer-Integritätsprüfungen verwenden, zu Auto Scaling Scaling-Gruppen, die einem Load Balancer zugeordnet sind, ELB-Zustandsprüfungen verwenden. Dieses Steuerelement bewertet derzeit Anwendungs-, Gateway-, Netzwerk- und Classic Load Balancer. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln. |
| 19. April 2024 | [CloudTrail.1] CloudTrail sollte aktiviert und mit mindestens einem regionsübergreifenden Trail konfiguriert sein, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst | Das Steuerelement überprüft, ob AWS CloudTrail es aktiviert und mit mindestens einem Multiregionspfad konfiguriert ist, der Verwaltungsereignisse für Lese- und Schreibvorgänge umfasst. Bisher generierte das Steuerelement fälschlicherweise PASSED Ergebnisse, wenn ein Konto mit mindestens einem Multiregions-Trail CloudTrail aktiviert und konfiguriert war, auch wenn kein Trail Lese- und Schreibverwaltungsereignisse aufzeichnete. Das Steuerelement generiert jetzt nur noch PASSED Ergebnisse, wenn CloudTrail es aktiviert und mit mindestens einem multiregionalen Trail konfiguriert ist, der Verwaltungsereignisse für Lese- und Schreibvorgänge erfasst. |
| 10. April 2024 | [Athena.1] Athena-Arbeitsgruppen sollten im Ruhezustand verschlüsselt werden | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Athena-Arbeitsgruppen senden Protokolle an Amazon Simple Storage Service (Amazon S3) -Buckets. Amazon S3 bietet jetzt Standardverschlüsselung mit verwalteten S3-Schlüsseln (SS3-S3) für neue und bestehende S3-Buckets. |
| 10. April 2024 | [AutoScaling.4] Die Auto Scaling Scaling-Gruppenstartkonfiguration sollte kein Metadaten-Response-Hop-Limit größer als 1 haben | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Die Limits für Metadaten-Antwort-Hops für Amazon Elastic Compute Cloud (Amazon EC2) -Instances hängen von der Arbeitslast ab. |
| 10. April 2024 | [CloudFormation.1] CloudFormation Stacks sollten in Simple Notification Service (SNS) integriert werden | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Die Integration von AWS CloudFormation Stacks mit Amazon SNS SNS-Themen ist keine bewährte Sicherheitsmethode mehr. Die Integration wichtiger CloudFormation Stacks mit SNS-Themen kann zwar nützlich sein, ist aber nicht für alle Stacks erforderlich. |
| 10. April 2024 | [CodeBuild.5] In CodeBuild Projektumgebungen sollte der privilegierte Modus nicht aktiviert sein | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Die Aktivierung des privilegierten Modus in einem CodeBuild Projekt stellt kein zusätzliches Risiko für die Kundenumgebung dar. |
| 10. April 2024 | [IAM.20] Vermeiden Sie die Verwendung des Root-Benutzers | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Der Zweck dieser Kontrolle wird durch eine andere Kontrolle abgedeckt,[CloudWatch.1] Für den Benutzer „root“ sollten ein Metrik-Logfilter und ein Alarm vorhanden sein. |
| 10. April 2024 | [SNS.2] Die Protokollierung des Zustellungsstatus sollte für Benachrichtigungen aktiviert werden, die an ein Thema gesendet werden | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Das Protokollieren des Zustellungsstatus für SNS-Themen ist keine bewährte Sicherheitsmethode mehr. Die Protokollierung des Zustellungsstatus für wichtige SNS-Themen kann zwar nützlich sein, ist aber nicht für alle Themen erforderlich. |
| 10. April 2024 | [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben | Security Hub hat dieses Steuerelement aus AWS Foundational Security Best Practices und Service-Managed Standard entfernt:. AWS Control Tower Der Zweck dieser Kontrolle wird durch zwei weitere Steuerelemente abgedeckt: [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben und. [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein Diese Steuerung ist immer noch Teil von NIST SP 800-53 Rev. 5. |
| 10. April 2024 | [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein | Security Hub hat dieses Steuerelement aus AWS Foundational Security Best Practices und Service-Managed Standard entfernt:. AWS Control Tower Es gibt zwar einige Fälle, in denen Ereignisbenachrichtigungen für S3-Buckets nützlich sind, dies ist jedoch keine allgemein bewährte Sicherheitsmethode. Diese Steuerung ist immer noch Teil von NIST SP 800-53 Rev. 5. |
| 10. April 2024 | [SNS.1] SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS | Security Hub hat dieses Steuerelement aus AWS Foundational Security Best Practices und Service-Managed Standard entfernt:. AWS Control Tower Da SNS Themen bereits standardmäßig verschlüsselt, wird die Verwendung AWS KMS zur Verschlüsselung von Themen als bewährte Sicherheitsmethode nicht mehr empfohlen. Dieses Steuerelement ist immer noch Teil von NIST SP 800-53 Rev. 5. |
| 8. April 2024 | [ELB.6] Für Anwendungen, Gateways und Network Load Balancers sollte der Löschschutz aktiviert sein | Der Steuerelementtitel wurde von Application Load Balancer Balancer-Löschschutz aktiviert in Application, Gateway und Network Load Balancer sollten den Löschschutz aktiviert haben geändert. Dieses Steuerelement bewertet derzeit Application, Gateway und Network Load Balancer. Der Titel und die Beschreibung wurden geändert, um das aktuelle Verhalten genau widerzuspiegeln. |
| 22. März 2024 | [Opensearch.8] Verbindungen zu OpenSearch Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden | Der Titel des Steuerelements wurde von Verbindungen zu OpenSearch Domänen sollten mit TLS 1.2 verschlüsselt werden in Verbindungen zu OpenSearch Domänen sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden geändert. Bisher überprüfte das Steuerelement nur, ob Verbindungen zu OpenSearch Domänen TLS 1.2 verwendeten. Das Steuerelement stellt nun PASSED fest, ob OpenSearch Domänen mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt wurden. Der Titel und die Beschreibung des Steuerelements wurden aktualisiert, um das aktuelle Verhalten widerzuspiegeln. |
| 22. März 2024 | [ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden | Der Titel des Steuerelements wurde von Connections zu Elasticsearch-Domains sollte mit TLS 1.2 verschlüsselt werden. Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden. Bisher überprüfte das Steuerelement nur, ob Verbindungen zu Elasticsearch-Domains TLS 1.2 verwendeten. Das Steuerelement stellt nun PASSED fest, ob Elasticsearch-Domains mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt wurden. Der Titel und die Beschreibung des Steuerelements wurden aktualisiert, um das aktuelle Verhalten widerzuspiegeln. |
| 12. März 2024 | [S3.1] Bei S3-Allzweck-Buckets sollten die Einstellungen für den öffentlichen Zugriff blockieren aktiviert sein | Der Titel sollte von der Einstellung „Öffentlichen Zugriff blockieren“ auf die Einstellung „Öffentlichen Zugriff blockieren“ in S3-Allzweck-Buckets geändert werden. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.2] S3-Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren | Der geänderte Titel von S3-Buckets sollte den öffentlichen Lesezugriff auf S3-Buckets verbieten. Allzweck-Buckets sollten den öffentlichen Lesezugriff blockieren. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.3] S3-Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren | Der geänderte Titel von S3-Buckets sollte den öffentlichen Schreibzugriff auf S3-Buckets verbieten. Allzweck-Buckets sollten den öffentlichen Schreibzugriff blockieren. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern | Die Änderung des Titels von S3-Buckets sollte Anfragen zur Verwendung von Secure Socket Layer erfordern, zu S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten | Der geänderte Titel von S3-Berechtigungen, die anderen AWS-Konten in Bucket-Richtlinien gewährt wurden, sollte auf S3-Allzweck-Bucket-Richtlinien beschränkt werden, sollten den Zugriff auf andere einschränken AWS-Konten. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden | Bei der Änderung des Titels von S3-Buckets sollte die regionsübergreifende Replikation aktiviert sein, sodass für S3-Buckets für allgemeine Zwecke die regionsübergreifende Replikation verwendet werden sollte. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden | Bei der Änderung des Titels von S3-Buckets sollte die regionsübergreifende Replikation aktiviert sein, sodass für S3-Buckets für allgemeine Zwecke die regionsübergreifende Replikation verwendet werden sollte. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.8] S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren | Der Titel sollte von der Einstellung S3-Zugriff blockieren auf Bucket-Ebene zu S3-Allzweck-Buckets sollten den öffentlichen Zugriff blockieren. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein | Der Titel wurde von der Protokollierung des S3-Bucket-Serverzugriffs aktiviert in die Serverzugriffsprotokollierung sollte für S3-Allzweck-Buckets aktiviert sein geändert. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.10] S3-Allzweck-Buckets mit aktivierter Versionierung sollten Lifecycle-Konfigurationen haben | Bei der Änderung des Titels von S3-Buckets mit aktivierter Versionierung sollten Lebenszyklusrichtlinien so konfiguriert sein, dass S3-Allzweck-Buckets mit aktivierter Versionierung Lifecycle-Konfigurationen haben sollten. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein | Bei der Änderung des Titels von S3-Buckets sollten Ereignisbenachrichtigungen aktiviert sein, bei S3-Buckets für allgemeine Zwecke sollten Ereignisbenachrichtigungen aktiviert sein. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.12] ACLs sollten nicht verwendet werden, um den Benutzerzugriff auf S3-Allzweck-Buckets zu verwalten | Der geänderte Titel von S3-Zugriffskontrolllisten (ACLs) sollte nicht zur Verwaltung des Benutzerzugriffs auf Buckets verwendet werden. ACLs sollten nicht zur Verwaltung des Benutzerzugriffs auf S3-Allzweck-Buckets verwendet werden. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.13] S3-Allzweck-Buckets sollten Lifecycle-Konfigurationen haben | Bei der Änderung des Titels von S3-Buckets sollten die Lebenszyklusrichtlinien so konfiguriert sein, dass S3-Allzweck-Buckets Lifecycle-Konfigurationen haben sollten. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein | Bei der Änderung des Titels von S3-Buckets sollte Versionierung verwendet werden, bei S3-Buckets für allgemeine Zwecke sollte die Versionierung aktiviert sein. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.15] Bei S3-Allzweck-Buckets sollte Object Lock aktiviert sein | Der geänderte Titel von S3-Buckets sollte so konfiguriert werden, dass Object Lock verwendet wird. Für S3-Allzweck-Buckets sollte Object Lock aktiviert sein. Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 12. März 2024 | [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys | Der Titel wurde von S3-Buckets sollten im Ruhezustand mit AWS KMS keys verschlüsselt werden in S3-Buckets für allgemeine Zwecke geändert. AWS KMS keys Security Hub hat den Titel geändert, um einen neuen S3-Bucket-Typ zu berücksichtigen. |
| 7. März 2024 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt nodejs20.x und ruby3.3 als Parameter. |
| 22. Februar 2024 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt dotnet8 als Parameter. |
| 5. Februar 2024 | [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden | Security Hub hat die älteste unterstützte Version von Kubernetes, auf der der Amazon EKS-Cluster ausgeführt werden kann, aktualisiert, um ein bestehendes Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.25 |
| 10. Januar 2024 | [CodeBuild.1] Die URLs des CodeBuild Bitbucket-Quell-Repositorys sollten keine vertraulichen Anmeldeinformationen enthalten | Geänderte Titel-URLs CodeBuild GitHub oder Bitbucket-Quell-Repository-URLs sollten OAuth verwenden, sodass CodeBuild Bitbucket-Quell-Repository-URLs keine vertraulichen Anmeldeinformationen enthalten sollten. Security Hub hat die Erwähnung von OAuth entfernt, da auch andere Verbindungsmethoden sicher sein können. Security Hub hat die Erwähnung von entfernt GitHub , da es nicht mehr möglich ist, ein persönliches Zugriffstoken oder einen Benutzernamen und ein Passwort in den GitHub Quell-Repository-URLs zu haben. |
| 8. Januar 2024 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt go1.x und nicht mehr java8 als Parameter, da es sich dabei um ausgemusterte Laufzeiten handelt. |
| 29. Dezember 2023 | [RDS.8] Für RDS-DB-Instances sollte der Löschschutz aktiviert sein | RDS.8 prüft, ob für eine Amazon RDS-DB-Instance, die eine der unterstützten Datenbank-Engines verwendet, der Löschschutz aktiviert ist. Security Hub unterstützt jetzt custom-oracle-eeoracle-ee-cdb, und oracle-se2-cdb als Datenbank-Engines. |
| 22. Dezember 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt java21 und python3.12 als Parameter. Security Hub unterstützt nicht mehr ruby2.7 als Parameter. |
| 15. Dezember 2023 | Bei [CloudFront.1] CloudFront Distributionen sollte ein Standard-Root-Objekt konfiguriert sein | CloudFront.1 prüft, ob für eine CloudFront Amazon-Distribution ein Standard-Root-Objekt konfiguriert ist. Security Hub hat den Schweregrad dieser Kontrolle von CRITICAL auf HIGH herabgesetzt, da das Hinzufügen des Standard-Root-Objekts eine Empfehlung ist, die von der Anwendung und den spezifischen Anforderungen des Benutzers abhängt. |
| 05. Dezember 2023 | [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen | Der Titel des Steuerelements wurde von Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 auf Port 22 zulassen in Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 22 zulassen geändert. |
| 05. Dezember 2023 | [EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen | Der Kontrolltitel wurde von „Sicherstellen, dass keine Sicherheitsgruppen den Zugriff von 0.0.0.0/0 auf Port 3389 zulassen“ in „Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 oder: :/0 auf Port 3389 zulassen“ geändert. |
| 05. Dezember 2023 | [RDS.9] RDS-DB-Instances sollten Protokolle in Logs veröffentlichen CloudWatch | Der Kontrolltitel wurde von Datenbankprotokollierung sollte aktiviert sein in RDS-DB-Instances geändert, sodass RDS-DB-Instances Protokolle in Logs veröffentlichen sollten. CloudWatch Security Hub hat festgestellt, dass dieses Steuerelement nur prüft, ob Protokolle in Amazon CloudWatch Logs veröffentlicht werden, und nicht, ob RDS-Protokolle aktiviert sind. Das Steuerelement stellt PASSED fest, ob RDS-DB-Instances so konfiguriert sind, dass sie CloudWatch Protokolle in Logs veröffentlichen. Der Titel des Steuerelements wurde aktualisiert, um das aktuelle Verhalten widerzuspiegeln. |
| 17. November 2023 | [EC2.19] Sicherheitsgruppen sollten keinen uneingeschränkten Zugriff auf Ports mit hohem Risiko zulassen | EC2.19 prüft, ob uneingeschränkter eingehender Verkehr für eine Sicherheitsgruppe für die angegebenen Ports, die als risikoreich gelten, zugänglich ist. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. |
| 16. November 2023 | [CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein | Der Titel des Steuerelements wurde von „CloudWatch Alarme sollte eine Aktion für den ALARM-Status konfigurieren“ zu „ CloudWatch Alarme sollten bestimmte Aktionen konfiguriert haben“ geändert. |
| 16. November 2023 | [CloudWatch.16] CloudWatch Protokollgruppen sollten für einen bestimmten Zeitraum aufbewahrt werden | Der geänderte Kontrolltitel aus CloudWatch Protokollgruppen sollte mindestens ein Jahr lang aufbewahrt werden, während CloudWatch Protokollgruppen für einen bestimmten Zeitraum aufbewahrt werden sollten. |
| 16. November 2023 | [Lambda.5] VPC-Lambda-Funktionen sollten in mehreren Availability Zones funktionieren | Der Titel der Steuerung wurde von VPC-Lambda-Funktionen sollten in mehr als einer Availability Zone funktionieren, in VPC-Lambda-Funktionen geändert, die in mehreren Availability Zones funktionieren sollten. |
| 16. November 2023 | [AppSync.2] AWS AppSync sollte die Protokollierung auf Feldebene aktiviert haben | Der Titel des Steuerelements wurde von AWS AppSync sollte die Protokollierung auf Anfrage- und Feldebene aktiviert haben in Die Protokollierung auf Feldebene sollte aktiviert sein geändert.AWS AppSync |
| 16. November 2023 | [EMR.1] Primäre Amazon EMR-Clusterknoten sollten keine öffentlichen IP-Adressen haben | Der Kontrolltitel wurde von Amazon Elastic MapReduce Cluster-Masterknoten sollten keine öffentlichen IP-Adressen haben zu Amazon EMR-Cluster-Primärknoten sollten keine öffentlichen IP-Adressen haben. |
| 16. November 2023 | [Opensearch.2] OpenSearch -Domains sollten nicht öffentlich zugänglich sein | Der Titel der Steuerung wurde von OpenSearch Domänen, die sich in einer VPC befinden sollten, zu OpenSearchDomänen geändert, die nicht öffentlich zugänglich sein sollten. |
| 16. November 2023 | [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein | Der Titel des Steuerelements wurde von Elasticsearch-Domains in einer VPC geändert und Elasticsearch-Domains sollten nicht öffentlich zugänglich sein. |
| 31. Oktober 2023 | [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein | ES.4 prüft, ob Elasticsearch-Domains so konfiguriert sind, dass sie Fehlerprotokolle an Amazon CloudWatch Logs senden. Die Kontrolle ergab zuvor einen PASSED Befund für eine Elasticsearch-Domain, deren Logs so konfiguriert sind, dass sie an Logs gesendet werden. CloudWatch Security Hub hat das Steuerelement aktualisiert, sodass nur Ergebnisse für PASSED eine Elasticsearch-Domain generiert werden, die so konfiguriert ist, dass sie CloudWatch Fehlerprotokolle an Logs sendet. Das Steuerelement wurde außerdem aktualisiert, um Elasticsearch-Versionen, die Fehlerprotokolle nicht unterstützen, von der Auswertung auszuschließen. |
| 16. Oktober 2023 | [EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen | EC2.13 prüft, ob Sicherheitsgruppen uneingeschränkten Eingangszugriff auf Port 22 zulassen. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. |
| 16. Oktober 2023 | [EC2.14] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 3389 zulassen | EC2.14 prüft, ob Sicherheitsgruppen uneingeschränkten Eingangszugriff auf Port 3389 zulassen. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. |
| 16. Oktober 2023 | [EC2.18] Sicherheitsgruppen sollten nur uneingeschränkten eingehenden Datenverkehr für autorisierte Ports zulassen | EC2.18 prüft, ob die verwendeten Sicherheitsgruppen uneingeschränkten eingehenden Verkehr zulassen. Security Hub hat dieses Steuerelement aktualisiert, um verwaltete Präfixlisten zu berücksichtigen, wenn sie als Quelle für eine Sicherheitsgruppenregel bereitgestellt werden. Das Steuerelement ermittelt, ob FAILED die Präfixlisten die Zeichenketten '0.0.0.0/0' oder ': :/0' enthalten. |
| 16. Oktober 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt python3.11 als Parameter. |
| 04. Oktober 2023 | [S3.7] S3-Allzweck-Buckets sollten die regionsübergreifende Replikation verwenden | Security Hub hat den Parameter ReplicationType mit dem Wert von hinzugefügt, CROSS-REGION um sicherzustellen, dass bei S3-Buckets die regionsübergreifende Replikation aktiviert ist und nicht die Replikation derselben Region. |
| 27. September 2023 | [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden | Security Hub hat die älteste unterstützte Version von Kubernetes, auf der der Amazon EKS-Cluster ausgeführt werden kann, aktualisiert, um ein bestehendes Ergebnis zu erzielen. Die derzeit älteste unterstützte Version ist Kubernetes. 1.24 |
| 20. September 2023 | CloudFront.2 — Bei CloudFront Distributionen sollte die Origin-Zugriffsidentität aktiviert sein | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Folgen Sie stattdessen der Anleitung unter [CloudFront.13] CloudFront Distributionen sollten die Origin-Zugriffskontrolle verwenden. Die Zugriffskontrolle von Origin ist derzeit die bewährte Methode im Bereich Sicherheit. Diese Kontrolle wird in 90 Tagen aus der Dokumentation entfernt. |
| 20. September 2023 | [EC2.22] Ungenutzte Amazon EC2-Sicherheitsgruppen sollten entfernt werden | Security Hub hat dieses Steuerelement aus AWS Foundational Security Best Practices (FSBP) und SP 800-53 Rev. 5 des National Institute of Standards and Technology (NIST) entfernt. Es ist immer noch Teil des Service-Managed Standard:. AWS Control Tower Dieses Steuerelement führt zu einer bestandenen Feststellung, ob Sicherheitsgruppen an EC2-Instances oder an eine elastic network interface angehängt sind. In bestimmten Anwendungsfällen stellen nicht verknüpfte Sicherheitsgruppen jedoch kein Sicherheitsrisiko dar. Sie können andere EC2-Steuerelemente wie EC2.2, EC2.13, EC2.14, EC2.18 und EC2.19 verwenden, um Ihre Sicherheitsgruppen zu überwachen. |
| 20. September 2023 | EC2.29 — EC2-Instances sollten in einer VPC gestartet werden | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Amazon EC2 hat EC2-Classic-Instances zu einer VPC migriert. Diese Kontrolle wird in 90 Tagen aus der Dokumentation entfernt. |
| 20. September 2023 | S3.4 — Bei S3-Buckets sollte die serverseitige Verschlüsselung aktiviert sein | Security Hub hat dieses Steuerelement entfernt und es aus allen Standards entfernt. Amazon S3 bietet jetzt Standardverschlüsselung mit verwalteten S3-Schlüsseln (SS3-S3) für neue und bestehende S3-Buckets. Die Verschlüsselungseinstellungen für bestehende Buckets, die mit serverseitiger SS3-S3- oder SS3-KMS-Verschlüsselung verschlüsselt sind, sind unverändert. Dieses Steuerelement wird in 90 Tagen aus der Dokumentation entfernt. |
| 14. September 2023 | [EC2.2] VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen | Der Titel des Steuerelements wurde von Die VPC-Standardsicherheitsgruppe sollte keinen eingehenden und ausgehenden Datenverkehr zulassen zu VPC-Standardsicherheitsgruppen sollten keinen eingehenden oder ausgehenden Datenverkehr zulassen geändert. |
| 14. September 2023 | [IAM.9] MFA sollte für den Root-Benutzer aktiviert sein | Der Steuertitel wurde von Virtual MFA sollte für den Root-Benutzer aktiviert sein zu MFA sollte für den Root-Benutzer aktiviert sein geändert. |
|
14. September 2023 |
[RDS.19] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Cluster-Ereignisse konfiguriert werden | Der Titel des Steuerelements wurde von Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Clusterereignisse konfiguriert werden in Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Clusterereignisse konfiguriert werden geändert. |
| 14. September 2023 | [RDS.20] Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Ereignisse der Datenbankinstanz konfiguriert werden | Der Titel des Steuerelements wurde von Ein Abonnement für RDS-Ereignisbenachrichtigungen sollte für kritische Datenbankinstanzereignisse konfiguriert werden in Bestehende Abonnements für RDS-Ereignisbenachrichtigungen sollten für kritische Datenbankinstanzereignisse konfiguriert werden geändert. |
| 14. September 2023 | [WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben | Der Titel des Steuerelements wurde von „Eine WAF-Regionalregel sollte mindestens eine Bedingung haben“ in „AWS WAF Klassische regionale Regeln“ geändert, die mindestens eine Bedingung haben sollten. |
| 14. September 2023 | [WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben | Der Kontrolltitel wurde von einer regionalen WAF-Regelgruppe sollte mindestens eine Regel enthalten zu einer AWS WAF klassischen regionalen Regelgruppe geändert, die mindestens eine Regel haben sollte. |
| 14. September 2023 | [WAF.4] AWS WAF Klassische regionale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben | Der Kontrolltitel wurde von Eine regionale WAF-Web-ACL sollte mindestens eine Regel oder Regelgruppe haben in AWS WAF Klassische regionale Web-ACLs geändert, die mindestens eine Regel oder Regelgruppe haben sollten. |
| 14. September 2023 | [WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben | Der Titel des Steuerelements wurde von „Eine globale WAF-Regel sollte mindestens eine Bedingung haben“ zu „AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben“ geändert. |
| 14. September 2023 | [WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben | Der Titel des Steuerelements wurde von „Eine globale WAF-Regelgruppe sollte mindestens eine Regel haben“ zu „AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben“ geändert. |
| 14. September 2023 | [WAF.8] AWS WAF Klassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben | Der Steuerelementtitel wurde von Eine globale WAF-Web-ACL sollte mindestens eine Regel oder Regelgruppe haben in AWS WAF Klassische globale Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben geändert. |
| 14. September 2023 | [WAF.10] AWS WAF Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben | Der Kontrolltitel wurde von „Eine WAFv2-Web-ACL sollte mindestens eine Regel oder Regelgruppe haben“ zu „AWS WAF Web-ACLs sollten mindestens eine Regel oder Regelgruppe haben“ geändert. |
| 14. September 2023 | [WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein | Der Kontrolltitel wurde von AWS WAF v2-Web-ACL-Protokollierung in AWS WAF Web-ACL-Protokollierung sollte aktiviert sein geändert. |
|
20. Juli 2023 |
S3.4 — Bei S3-Buckets sollte die serverseitige Verschlüsselung aktiviert sein | S3.4 prüft, ob für einen Amazon S3 S3-Bucket entweder die serverseitige Verschlüsselung aktiviert ist oder ob die S3-Bucket-Richtlinie PutObject Anfragen ohne serverseitige Verschlüsselung explizit ablehnt. Security Hub hat diese Steuerung aktualisiert und umfasst nun eine serverseitige Dual-Layer-Verschlüsselung mit KMS-Schlüsseln (DSSE-KMS). Wenn ein S3-Bucket mit SSE-S3, SSE-KMS oder DSSE-KMS verschlüsselt ist, gibt das Steuerelement ein passendes Ergebnis aus. |
| 17. Juli 2023 | [S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys | S3.17 prüft, ob ein Amazon S3 S3-Bucket mit einem verschlüsselt ist. AWS KMS key Security Hub hat diese Steuerung aktualisiert und umfasst nun eine serverseitige Dual-Layer-Verschlüsselung mit KMS-Schlüsseln (DSSE-KMS). Wenn ein S3-Bucket mit SSE-KMS oder DSSE-KMS verschlüsselt ist, gibt das Steuerelement ein passendes Ergebnis aus. |
| 9. Juni 2023 | [EKS.2] EKS-Cluster sollten auf einer unterstützten Kubernetes-Version ausgeführt werden | EKS.2 prüft, ob ein Amazon EKS-Cluster auf einer unterstützten Kubernetes-Version läuft. Die älteste unterstützte Version ist jetzt. 1.23 |
| 9. Juni 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt ruby3.2 als Parameter. |
| 5. Juni 2023 | [ApiGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden | ApiGateway.5. Überprüft, ob alle Methoden in den REST-API-Stufen von Amazon API Gateway im Ruhezustand verschlüsselt sind. Security Hub hat das Steuerelement aktualisiert, sodass die Verschlüsselung einer bestimmten Methode nur ausgewertet wird, wenn das Caching für diese Methode aktiviert ist. |
| 18. Mai 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt java17 als Parameter. |
| 18. Mai 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt nicht mehr nodejs12.x als Parameter. |
| 23. April 2023 | [ECS.10] Die ECS Fargate-Dienste sollten auf der neuesten Fargate-Plattformversion laufen | ECS.10 prüft, ob die Amazon ECS Fargate-Dienste die neueste Fargate-Plattformversion ausführen. Kunden können Amazon ECS direkt über ECS oder mithilfe von ECS bereitstellen CodeDeploy. Security Hub hat dieses Steuerelement aktualisiert, sodass bei der Bereitstellung von ECS Fargate-Diensten CodeDeploy die Ergebnisse „Bestanden“ angezeigt werden. |
| 20. April 2023 | [S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten | S3.6 prüft, ob eine Bucket-Richtlinie von Amazon Simple Storage Service (Amazon S3) verhindert, dass Prinzipale AWS-Konten anderer Benutzer verweigerte Aktionen für Ressourcen im S3-Bucket ausführen. Security Hub hat die Steuerung aktualisiert, um Bedingungen in einer Bucket-Richtlinie zu berücksichtigen. |
| 18. April 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt jetzt python3.10 als Parameter. |
| 18. April 2023 | [Lambda.2] Lambda-Funktionen sollten unterstützte Laufzeiten verwenden | Lambda.2 prüft, ob die AWS Lambda Funktionseinstellungen für Laufzeiten mit den erwarteten Werten übereinstimmen, die für die unterstützten Laufzeiten in jeder Sprache festgelegt wurden. Security Hub unterstützt nicht mehr dotnetcore3.1 als Parameter. |
| 17. April 2023 | [RDS.11] Bei RDS-Instances sollten automatische Backups aktiviert sein | RDS.11 prüft, ob für Amazon RDS-Instances automatische Backups aktiviert sind, wobei die Aufbewahrungsdauer für Backups mindestens sieben Tage beträgt. Security Hub hat diese Kontrolle aktualisiert, um Read Replicas von der Evaluierung auszuschließen, da nicht alle Engines automatische Backups auf Read Replicas unterstützen. Darüber hinaus bietet RDS nicht die Möglichkeit, bei der Erstellung von Read Replicas einen Aufbewahrungszeitraum für Backups festzulegen. Read Replicas werden standardmäßig mit einer Aufbewahrungsdauer für Backups erstellt. 0 |
