Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Ubah log untuk kontrol Security Hub
Log perubahan berikut melacak perubahan material pada kontrol AWS Security Hub keamanan yang ada, yang dapat mengakibatkan perubahan status keseluruhan kontrol dan status kepatuhan temuannya. Untuk informasi tentang cara Security Hub mengevaluasi status kontrol, lihatStatus kepatuhan dan status kontrol. Perubahan mungkin memakan waktu beberapa hari setelah entri mereka di log ini untuk mempengaruhi semua Wilayah AWS di mana kontrol tersedia.
Log ini melacak perubahan yang terjadi sejak April 2023.
Pilih kontrol untuk melihat detail lebih lanjut tentangnya. Perubahan judul dicatat pada deskripsi rinci masing-masing kontrol selama 90 hari.
| Tanggal perubahan | Kontrol ID dan judul | Deskripsi perubahan |
|---|---|---|
| Juni 25, 2024 | [Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya | Kontrol ini memeriksa apakah AWS Config diaktifkan, menggunakan peran terkait layanan, dan merekam sumber daya untuk kontrol yang diaktifkan. Security Hub memperbarui judul kontrol untuk mencerminkan apa yang dievaluasi oleh kontrol. |
| Juni 14, 2024 | [RDS.34] Aurora Cluster DB SQL saya harus menerbitkan log audit ke Log CloudWatch | Kontrol ini memeriksa apakah kluster DB MySQL Amazon Aurora dikonfigurasi untuk mempublikasikan log audit ke Amazon Logs. CloudWatch Security Hub memperbarui kontrol sehingga tidak menghasilkan temuan untuk cluster Aurora Serverless v1 DB. |
| Juni 11, 2024 | [EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung | Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Versi tertua yang didukung adalah1.27. |
| Juni 10, 2024 | [Config.1] AWS Config harus diaktifkan dan menggunakan peran terkait layanan untuk perekaman sumber daya | Kontrol ini memeriksa apakah AWS Config diaktifkan dan perekaman AWS Config sumber daya diaktifkan. Sebelumnya, kontrol menghasilkan PASSED temuan hanya jika Anda mengonfigurasi rekaman untuk semua sumber daya. Security Hub memperbarui kontrol untuk menghasilkan PASSED temuan saat perekaman diaktifkan untuk sumber daya yang diperlukan untuk kontrol yang diaktifkan. Kontrol juga telah diperbarui untuk memeriksa apakah peran AWS Config terkait layanan digunakan, yang memberikan izin untuk merekam sumber daya yang diperlukan. |
| 8 Mei 2024 | [S3.20] Bucket tujuan umum S3 seharusnya telah mengaktifkan penghapusan MFA | Kontrol ini memeriksa apakah bucket berversi tujuan umum Amazon S3 telah mengaktifkan penghapusan autentikasi multi-faktor (MFA). Sebelumnya, kontrol menghasilkan FAILED temuan untuk bucket yang memiliki konfigurasi Siklus Hidup. Namun, penghapusan MFA dengan pembuatan versi tidak dapat diaktifkan pada bucket yang memiliki konfigurasi Siklus Hidup. Security Hub memperbarui kontrol agar tidak menghasilkan temuan untuk bucket yang memiliki konfigurasi Siklus Hidup. Deskripsi kontrol telah diperbarui untuk mencerminkan perilaku saat ini. |
| 2 Mei 2024 | [EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung | Security Hub memperbarui versi Kubernetes tertua yang didukung yang dapat dijalankan oleh kluster Amazon EKS untuk menghasilkan temuan yang diteruskan. Versi tertua yang didukung saat ini adalah Kubernetes1.26. |
| April 30, 2024 | [CloudTrail.3] Setidaknya satu CloudTrail jejak harus diaktifkan | Judul kontrol yang diubah dari CloudTrail harus diaktifkan ke Setidaknya satu CloudTrail jejak harus diaktifkan. Kontrol ini saat ini menghasilkan PASSED temuan jika Akun AWS memiliki setidaknya satu CloudTrail jejak diaktifkan. Judul dan deskripsi telah diubah untuk secara akurat mencerminkan perilaku saat ini. |
| April 29, 2024 | [AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB | Judul kontrol yang diubah dari grup Auto Scaling yang terkait dengan Classic Load Balancer harus menggunakan pemeriksaan kesehatan penyeimbang beban ke grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan ELB. Kontrol ini saat ini mengevaluasi Application, Gateway, Network, dan Classic Load Balancer. Judul dan deskripsi telah diubah untuk secara akurat mencerminkan perilaku saat ini. |
| April 19, 2024 | [CloudTrail.1] CloudTrail harus diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup acara manajemen baca dan tulis | Kontrol memeriksa apakah AWS CloudTrail diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang mencakup peristiwa manajemen baca dan tulis. Sebelumnya, kontrol salah menghasilkan PASSED temuan ketika akun telah CloudTrail diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah, bahkan jika tidak ada jejak yang menangkap peristiwa manajemen baca dan tulis. Kontrol sekarang menghasilkan PASSED temuan hanya ketika CloudTrail diaktifkan dan dikonfigurasi dengan setidaknya satu jejak Multi-wilayah yang menangkap peristiwa manajemen baca dan tulis. |
| April 10, 2024 | [Athena.1] Kelompok kerja Athena harus dienkripsi saat istirahat | Security Hub menghentikan kontrol ini dan menghapusnya dari semua standar. Workgroup Athena mengirim log ke bucket Amazon Simple Storage Service (Amazon S3). Amazon S3 sekarang menyediakan enkripsi default dengan kunci terkelola S3 (SS3-S3) pada bucket S3 baru dan yang sudah ada. |
| April 10, 2024 | [AutoScaling.4] Konfigurasi peluncuran grup Auto Scaling seharusnya tidak memiliki batas hop respons metadata yang lebih besar dari 1 | Security Hub menghentikan kontrol ini dan menghapusnya dari semua standar. Batas hop respons metadata untuk instans Amazon Elastic Compute Cloud (Amazon EC2) bergantung pada beban kerja. |
| April 10, 2024 | [CloudFormation.1] CloudFormation tumpukan harus diintegrasikan dengan Simple Notification Service (SNS) | Security Hub menghentikan kontrol ini dan menghapusnya dari semua standar. Mengintegrasikan AWS CloudFormation tumpukan dengan topik Amazon SNS bukan lagi praktik terbaik keamanan. Meskipun mengintegrasikan CloudFormation tumpukan penting dengan topik SNS dapat bermanfaat, itu tidak diperlukan untuk semua tumpukan. |
| April 10, 2024 | [CodeBuild.5] lingkungan CodeBuild proyek seharusnya tidak mengaktifkan mode istimewa | Security Hub menghentikan kontrol ini dan menghapusnya dari semua standar. Mengaktifkan mode istimewa dalam CodeBuild proyek tidak menimbulkan risiko tambahan bagi lingkungan pelanggan. |
| April 10, 2024 | [IAM.20] Hindari penggunaan pengguna root | Security Hub menghentikan kontrol ini dan menghapusnya dari semua standar. Tujuan dari kontrol ini dicakup oleh kontrol lain,[CloudWatch.1] Filter metrik log dan alarm harus ada untuk penggunaan pengguna “root”. |
| April 10, 2024 | [SNS.2] Pencatatan status pengiriman harus diaktifkan untuk pesan notifikasi yang dikirim ke suatu topik | Security Hub menghentikan kontrol ini dan menghapusnya dari semua standar. Mencatat status pengiriman untuk topik SNS bukan lagi praktik terbaik keamanan. Meskipun mencatat status pengiriman untuk topik SNS penting dapat berguna, itu tidak diperlukan untuk semua topik. |
| April 10, 2024 | [S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup | Security Hub menghapus kontrol ini dari Praktik Terbaik Keamanan AWS Dasar dan Standar yang Dikelola Layanan:. AWS Control Tower Tujuan dari kontrol ini dicakup oleh dua kontrol lainnya: [S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup dan[S3.14] Bucket tujuan umum S3 harus mengaktifkan versi. Kontrol ini masih merupakan bagian dari NIST SP 800-53 Rev. 5. |
| April 10, 2024 | [S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara | Security Hub menghapus kontrol ini dari Praktik Terbaik Keamanan AWS Dasar dan Standar yang Dikelola Layanan:. AWS Control Tower Meskipun ada beberapa kasus di mana pemberitahuan acara untuk bucket S3 berguna, ini bukan praktik terbaik keamanan universal. Kontrol ini masih merupakan bagian dari NIST SP 800-53 Rev. 5. |
| April 10, 2024 | [SNS.1] SNS topik harus dienkripsi saat istirahat menggunakan AWS KMS | Security Hub menghapus kontrol ini dari Praktik Terbaik Keamanan AWS Dasar dan Standar yang Dikelola Layanan:. AWS Control Tower Karena SNS sudah mengenkripsi topik secara default, menggunakan AWS KMS untuk mengenkripsi topik tidak lagi direkomendasikan sebagai praktik terbaik keamanan. Kontrol ini masih merupakan bagian dari NIST SP 800-53 Rev. 5. |
| April 8, 2024 | [ELB.6] Application, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan | Judul kontrol yang diubah dari perlindungan penghapusan Application Load Balancer harus diaktifkan ke Application, Gateway, dan Network Load Balancer harus mengaktifkan perlindungan penghapusan. Kontrol ini saat ini mengevaluasi Application, Gateway, dan Network Load Balancers. Judul dan deskripsi telah diubah untuk secara akurat mencerminkan perilaku saat ini. |
| Maret 22, 2024 | [Opensearch.8] Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan terbaru TLS | Judul kontrol yang diubah dari Koneksi ke OpenSearch domain harus dienkripsi menggunakan TLS 1.2 hingga Koneksi ke OpenSearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru. Sebelumnya, kontrol hanya memeriksa apakah koneksi ke OpenSearch domain menggunakan TLS 1.2. Kontrol sekarang menghasilkan PASSED temuan jika OpenSearch domain dienkripsi menggunakan kebijakan keamanan TLS terbaru. Judul kontrol dan deskripsi telah diperbarui untuk mencerminkan perilaku saat ini. |
| Maret 22, 2024 | [ES.8] Koneksi ke domain Elasticsearch harus dienkripsi menggunakan kebijakan keamanan terbaru TLS | Judul kontrol yang diubah dari Connections ke domain Elasticsearch harus dienkripsi menggunakan TLS 1.2 ke Connections to Elasticsearch domain harus dienkripsi menggunakan kebijakan keamanan TLS terbaru. Sebelumnya, kontrol hanya memeriksa apakah koneksi ke domain Elasticsearch menggunakan TLS 1.2. Kontrol sekarang menghasilkan PASSED temuan jika domain Elasticsearch dienkripsi menggunakan kebijakan keamanan TLS terbaru. Judul kontrol dan deskripsi telah diperbarui untuk mencerminkan perilaku saat ini. |
| Maret 12, 2024 | [S3.1] Bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok | Judul yang diubah dari pengaturan Akses Publik Blok S3 harus diaktifkan ke bucket tujuan umum S3 harus mengaktifkan pengaturan akses publik blok. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.2] Bucket tujuan umum S3 harus memblokir akses baca publik | Judul yang diubah dari bucket S3 harus melarang akses baca publik ke bucket tujuan umum S3 harus memblokir akses baca publik. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.3] Bucket tujuan umum S3 harus memblokir akses tulis publik | Judul yang diubah dari bucket S3 harus melarang akses tulis publik ke bucket tujuan umum S3 harus memblokir akses tulis publik. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.5] Bucket tujuan umum S3 harus memerlukan permintaan untuk digunakan SSL | Judul yang diubah dari bucket S3 harus memerlukan permintaan untuk menggunakan Secure Socket Layer ke bucket tujuan umum S3 harus memerlukan permintaan untuk menggunakan SSL. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS | Judul yang diubah dari izin S3 yang diberikan ke kebijakan bucket lainnya harus dibatasi Akun AWS pada kebijakan bucket tujuan umum S3 yang harus membatasi akses ke yang lain. Akun AWS Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah | Judul yang diubah dari bucket S3 harus mengaktifkan replikasi lintas wilayah ke bucket tujuan umum S3 harus menggunakan replikasi lintas wilayah. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah | Judul yang diubah dari bucket S3 harus mengaktifkan replikasi lintas wilayah ke bucket tujuan umum S3 harus menggunakan replikasi lintas wilayah. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.8] Bucket tujuan umum S3 harus memblokir akses publik | Judul yang diubah dari pengaturan Akses Publik Blok S3 harus diaktifkan pada bucket tujuan umum tingkat ember ke S3 harus memblokir akses publik. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.9] Bucket tujuan umum S3 harus mengaktifkan pencatatan akses server | Judul yang diubah dari pencatatan akses server bucket S3 harus diaktifkan ke Pencatatan akses Server harus diaktifkan untuk bucket tujuan umum S3. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.10] Bucket tujuan umum S3 dengan versi diaktifkan harus memiliki konfigurasi Siklus Hidup | Judul yang diubah dari bucket S3 dengan versi diaktifkan harus memiliki kebijakan siklus hidup yang dikonfigurasi ke bucket tujuan umum S3 dengan versi yang diaktifkan harus memiliki konfigurasi Siklus Hidup. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.11] Bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara | Judul yang diubah dari bucket S3 harus mengaktifkan pemberitahuan acara ke bucket tujuan umum S3 harus mengaktifkan pemberitahuan acara. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.12] tidak ACLs boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3 | Judul yang diubah dari daftar kontrol akses S3 (ACL) tidak boleh digunakan untuk mengelola akses pengguna ke bucket ke ACL tidak boleh digunakan untuk mengelola akses pengguna ke bucket tujuan umum S3. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.13] Bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup | Judul yang diubah dari bucket S3 harus memiliki kebijakan siklus hidup yang dikonfigurasi ke bucket tujuan umum S3 harus memiliki konfigurasi Siklus Hidup. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.14] Bucket tujuan umum S3 harus mengaktifkan versi | Judul yang diubah dari bucket S3 harus menggunakan pembuatan versi ke bucket tujuan umum S3 harus mengaktifkan versi. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.15] Bucket tujuan umum S3 harus mengaktifkan Object Lock | Judul yang diubah dari bucket S3 harus dikonfigurasi untuk menggunakan Object Lock ke bucket tujuan umum S3 harus mengaktifkan Object Lock. Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 12, 2024 | [S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys | Judul yang diubah dari bucket S3 harus dienkripsi saat istirahat dengan AWS KMS keys bucket tujuan umum S3 harus dienkripsi saat istirahat. AWS KMS keys Security Hub mengubah judul menjadi akun untuk jenis bucket S3 baru. |
| Maret 7, 2024 | [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub sekarang mendukung nodejs20.x dan ruby3.3 sebagai parameter. |
| Februari 22, 2024 | [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub sekarang mendukung dotnet8 sebagai parameter. |
| Februari 5, 2024 | [EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung | Security Hub memperbarui versi Kubernetes tertua yang didukung yang dapat dijalankan oleh kluster Amazon EKS untuk menghasilkan temuan yang diteruskan. Versi tertua yang didukung saat ini adalah Kubernetes1.25. |
| 10 Januari 2024 | [CodeBuild.1] Repositori sumber CodeBuild Bitbucket tidak URLs boleh berisi kredensi sensitif | Judul yang diubah dari CodeBuild GitHub atau URL repositori sumber Bitbucket harus menggunakan OAuth ke URL repositori sumber CodeBuild Bitbucket tidak boleh berisi kredensyal sensitif. Security Hub menghapus penyebutan OAuth karena metode koneksi lain juga dapat aman. Security Hub menghapus penyebutan GitHub karena tidak mungkin lagi memiliki token akses pribadi atau nama pengguna dan kata sandi di URL repositori GitHub sumber. |
| 8 Januari 2024 | [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub tidak lagi mendukung go1.x dan java8 sebagai parameter karena ini adalah runtime yang sudah pensiun. |
| Desember 29, 2023 | [RDS.8] Instans RDS DB harus mengaktifkan perlindungan penghapusan | RDS.8 memeriksa apakah instans Amazon RDS DB yang menggunakan salah satu mesin database yang didukung telah mengaktifkan perlindungan penghapusan. Security Hub sekarang mendukung custom-oracle-eeoracle-ee-cdb,, dan oracle-se2-cdb sebagai mesin database. |
| 22 Desember 2023 | [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub sekarang mendukung java21 dan python3.12 sebagai parameter. Security Hub tidak lagi mendukung ruby2.7 sebagai parameter. |
| 15 Desember 2023 | [CloudFront.1] CloudFront distribusi harus memiliki objek root default yang dikonfigurasi | CloudFront.1 memeriksa apakah CloudFront distribusi Amazon memiliki objek root default yang dikonfigurasi. Security Hub menurunkan tingkat keparahan kontrol ini dari CRITICAL ke HIGH karena menambahkan objek root default adalah rekomendasi yang bergantung pada aplikasi pengguna dan persyaratan spesifik. |
| 5 Desember 2023 | [EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22 | Judul kontrol yang diubah dari Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 ke port 22 ke Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22. |
| 5 Desember 2023 | [EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389 | Judul kontrol yang diubah dari Pastikan tidak ada grup keamanan yang mengizinkan masuknya dari 0.0.0.0/0 ke port 3389 ke Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389. |
| 5 Desember 2023 | [RDS.9] Instans RDS DB harus menerbitkan log ke Log CloudWatch | Judul kontrol yang diubah dari pencatatan Database harus diaktifkan ke instans RDS DB harus menerbitkan log ke CloudWatch Log. Security Hub mengidentifikasi bahwa kontrol ini hanya memeriksa apakah log dipublikasikan ke Amazon CloudWatch Logs dan tidak memeriksa apakah log RDS diaktifkan. Kontrol menghasilkan PASSED temuan jika instans RDS DB dikonfigurasi untuk menerbitkan log ke CloudWatch Log. Judul kontrol telah diperbarui untuk mencerminkan perilaku saat ini. |
| 17 November 2023 | [EC2.19] Kelompok keamanan tidak boleh mengizinkan akses tidak terbatas ke port dengan risiko tinggi | EC2.19 memeriksa apakah lalu lintas masuk yang tidak dibatasi untuk grup keamanan dapat diakses ke port tertentu yang dianggap berisiko tinggi. Security Hub memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'. |
| 16 November 2023 | [CloudWatch.15] CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi | Judul kontrol yang diubah dari CloudWatch alarm harus memiliki tindakan yang dikonfigurasi untuk status ALARM ke CloudWatch alarm harus memiliki tindakan tertentu yang dikonfigurasi. |
| 16 November 2023 | [CloudWatch.16] grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu | Judul kontrol yang diubah dari grup CloudWatch log harus dipertahankan setidaknya selama 1 tahun untuk grup CloudWatch log harus dipertahankan untuk jangka waktu tertentu. |
| 16 November 2023 | [Lambda.5] Fungsi VPC Lambda harus beroperasi di beberapa Availability Zone | Judul kontrol yang diubah dari fungsi VPC Lambda harus beroperasi di lebih dari satu Availability Zone ke VPC Lambda fungsi harus beroperasi di beberapa Availability Zone. |
| 16 November 2023 | [AppSync.2] AWS AppSync harus mengaktifkan logging tingkat lapangan | Judul kontrol yang diubah dari AWS AppSync seharusnya mengaktifkan pencatatan tingkat permintaan dan tingkat bidang harus mengaktifkan logging tingkat bidang.AWS AppSync |
| 16 November 2023 | [EMR.1] Node primer EMR cluster Amazon seharusnya tidak memiliki alamat IP publik | Judul kontrol yang diubah dari node master MapReduce cluster Amazon Elastic seharusnya tidak memiliki alamat IP publik ke node primer klaster EMR Amazon tidak boleh memiliki alamat IP publik. |
| 16 November 2023 | [Opensearch.2] OpenSearch domain tidak boleh diakses publik | Judul kontrol yang diubah dari OpenSearch domain harus dalam VPC OpenSearch ke domain tidak boleh diakses publik. |
| 16 November 2023 | [ES.2] Domain Elasticsearch tidak boleh diakses publik | Judul kontrol yang diubah dari domain Elasticsearch harus dalam VPC ke domain Elasticsearch tidak boleh diakses publik. |
| 31 Oktober 2023 | [ES.4] Kesalahan domain Elasticsearch yang masuk ke CloudWatch Log harus diaktifkan | ES.4 memeriksa apakah domain Elasticsearch dikonfigurasi untuk mengirim log kesalahan ke Amazon Logs. CloudWatch Kontrol sebelumnya menghasilkan PASSED temuan untuk domain Elasticsearch yang memiliki log yang dikonfigurasi untuk dikirim ke CloudWatch Log. Security Hub memperbarui kontrol untuk menghasilkan PASSED temuan hanya untuk domain Elasticsearch yang dikonfigurasi untuk mengirim log kesalahan ke Log. CloudWatch Kontrol juga diperbarui untuk mengecualikan versi Elasticsearch yang tidak mendukung log kesalahan dari evaluasi. |
| 16 Oktober 2023 | [EC2.13] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 22 | EC2.13 memeriksa apakah grup keamanan mengizinkan akses masuk tidak terbatas ke port 22. Security Hub memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'. |
| 16 Oktober 2023 | [EC2.14] Grup keamanan tidak boleh mengizinkan masuknya dari 0.0.0.0/0 atau: :/0 ke port 3389 | EC2.14 memeriksa apakah grup keamanan mengizinkan akses masuk tidak terbatas ke port 3389. Security Hub memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'. |
| 16 Oktober 2023 | [EC2.18] Grup keamanan seharusnya hanya mengizinkan lalu lintas masuk yang tidak terbatas untuk port resmi | EC2.18 memeriksa apakah grup keamanan yang digunakan mengizinkan lalu lintas masuk yang tidak dibatasi. Security Hub memperbarui kontrol ini untuk memperhitungkan daftar awalan terkelola saat dipasok sebagai sumber untuk aturan grup keamanan. Kontrol menghasilkan FAILED temuan jika daftar awalan berisi string '0.0.0.0/0' atau ': :/0'. |
| 16 Oktober 2023 | [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub sekarang mendukung python3.11 sebagai parameter. |
| 4 Oktober 2023 | [S3.7] Ember tujuan umum S3 harus menggunakan replikasi lintas wilayah | Security Hub menambahkan parameter ReplicationType dengan nilai CROSS-REGION untuk memastikan bahwa bucket S3 mengaktifkan replikasi lintas wilayah daripada replikasi wilayah yang sama. |
| 27 September 2023 | [EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung | Security Hub memperbarui versi Kubernetes tertua yang didukung yang dapat dijalankan oleh kluster Amazon EKS untuk menghasilkan temuan yang diteruskan. Versi tertua yang didukung saat ini adalah Kubernetes1.24. |
| 20 September 2023 | CloudFront.2 — CloudFront distribusi harus mengaktifkan identitas akses asal | Security Hub menghentikan kontrol ini dan menghapusnya dari semua standar. Sebaliknya, gunakan [CloudFront.13] CloudFront distribusi harus menggunakan kontrol akses asal. Kontrol akses asal adalah praktik terbaik keamanan saat ini. Kontrol ini akan dihapus dari dokumentasi dalam 90 hari. |
| 20 September 2023 | [EC2.22] Grup EC2 keamanan Amazon yang tidak digunakan harus dihapus | Security Hub menghapus kontrol ini dari AWS Foundational Security Best Practices (FSBP) dan National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Itu masih merupakan bagian dari Standar yang Dikelola Layanan:. AWS Control Tower Kontrol ini menghasilkan temuan yang diteruskan jika grup keamanan dilampirkan ke instans EC2 atau ke elastic network interface. Namun, untuk kasus penggunaan tertentu, kelompok keamanan yang tidak terikat tidak menimbulkan risiko keamanan. Anda dapat menggunakan kontrol EC2 lainnya—seperti EC2.2, EC2.13, EC2.14, EC2.18, dan EC2.19—untuk memantau grup keamanan Anda. |
| 20 September 2023 | EC2.29 - Instans EC2 harus diluncurkan dalam VPC | Security Hub menghentikan kontrol ini dan menghapusnya dari semua standar. Amazon EC2 telah memigrasikan instans EC2-Classic ke VPC. Kontrol ini akan dihapus dari dokumentasi dalam 90 hari. |
| 20 September 2023 | S3.4 - Bucket S3 harus mengaktifkan enkripsi sisi server | Security Hub menghentikan kontrol ini dan menghapusnya dari semua standar. Amazon S3 sekarang menyediakan enkripsi default dengan kunci terkelola S3 (SS3-S3) pada bucket S3 baru dan yang sudah ada. Pengaturan enkripsi tidak berubah untuk bucket yang ada yang dienkripsi dengan enkripsi sisi server SS3-S3 atau SS3-KMS. Kontrol ini akan dihapus dari dokumentasi dalam 90 hari. |
| 14 September 2023 | [EC2.2] Grup keamanan VPC default tidak boleh mengizinkan lalu lintas masuk atau keluar | Judul kontrol yang diubah dari Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk dan keluar ke grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk atau keluar. |
| 14 September 2023 | [IAM.9] MFA harus diaktifkan untuk pengguna root | Judul kontrol yang diubah dari MFA Virtual harus diaktifkan untuk pengguna root ke MFA harus diaktifkan untuk pengguna root. |
|
14 September 2023 |
[RDS.19] Langganan pemberitahuan RDS acara yang ada harus dikonfigurasi untuk peristiwa klaster kritis | Judul kontrol yang diubah dari Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa klaster penting ke langganan pemberitahuan peristiwa RDS yang ada harus dikonfigurasi untuk peristiwa klaster penting. |
| 14 September 2023 | [RDS.20] Langganan pemberitahuan RDS acara yang ada harus dikonfigurasi untuk peristiwa instance database penting | Judul kontrol yang diubah dari Langganan pemberitahuan peristiwa RDS harus dikonfigurasi untuk peristiwa instance database penting ke langganan pemberitahuan peristiwa RDS yang ada harus dikonfigurasi untuk peristiwa instance database penting. |
| 14 September 2023 | [WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat | Judul kontrol yang diubah dari Aturan Regional WAF harus memiliki setidaknya satu syarat untuk aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat. |
| 14 September 2023 | [WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan | Judul kontrol yang diubah dari grup aturan WAF Regional harus memiliki setidaknya satu aturan untuk grup aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan. |
| 14 September 2023 | [WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan | Judul kontrol yang diubah dari ACL web regional WAF harus memiliki setidaknya satu aturan atau grup aturan ke ACL web Regional AWS WAF Klasik harus memiliki setidaknya satu aturan atau grup aturan. |
| 14 September 2023 | [WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat | Judul kontrol yang diubah dari aturan global WAF harus memiliki setidaknya satu syarat untuk aturan global AWS WAF Klasik harus memiliki setidaknya satu kondisi. |
| 14 September 2023 | [WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan | Judul kontrol yang diubah dari grup aturan global WAF harus memiliki setidaknya satu aturan ke grup aturan global AWS WAF Klasik harus memiliki setidaknya satu aturan. |
| 14 September 2023 | [WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan | Judul kontrol yang diubah dari ACL web global WAF harus memiliki setidaknya satu aturan atau grup aturan ke ACL web global AWS WAF Klasik harus memiliki setidaknya satu aturan atau grup aturan. |
| 14 September 2023 | [WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan | Judul kontrol yang diubah dari ACL web WAFv2 harus memiliki setidaknya satu aturan atau grup aturan ke ACL AWS WAF web harus memiliki setidaknya satu aturan atau grup aturan. |
| 14 September 2023 | [WAF.11] ACL pencatatan AWS WAF web harus diaktifkan | Judul kontrol yang diubah dari AWS WAF v2 web ACL logging harus diaktifkan ke AWS WAF web ACL logging harus diaktifkan. |
|
Juli 20, 2023 |
S3.4 - Bucket S3 harus mengaktifkan enkripsi sisi server | S3.4 memeriksa apakah bucket Amazon S3 mengaktifkan enkripsi sisi server atau kebijakan bucket S3 secara eksplisit menolak permintaan tanpa enkripsi sisi server. PutObject Security Hub memperbarui kontrol ini untuk menyertakan enkripsi sisi server dual-layer dengan kunci KMS (DSSE-KMS). Kontrol menghasilkan temuan yang dilewatkan ketika bucket S3 dienkripsi dengan SSE-S3, SSE-KMS, atau DSSE-KMS. |
| Juli 17, 2023 | [S3.17] Ember tujuan umum S3 harus dienkripsi saat istirahat AWS KMS keys | S3.17 memeriksa apakah bucket Amazon S3 dienkripsi dengan file. AWS KMS key Security Hub memperbarui kontrol ini untuk menyertakan enkripsi sisi server dual-layer dengan kunci KMS (DSSE-KMS). Kontrol menghasilkan temuan yang dilewatkan ketika bucket S3 dienkripsi dengan SSE-KMS atau DSSE-KMS. |
| 9 Juni 2023 | [EKS.2] EKS cluster harus berjalan pada versi Kubernetes yang didukung | EKS.2 memeriksa apakah klaster Amazon EKS berjalan pada versi Kubernetes yang didukung. Versi tertua yang didukung sekarang. 1.23 |
| 9 Juni 2023 | [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub sekarang mendukung ruby3.2 sebagai parameter. |
| Juni 5, 2023 | [APIGateway.5] Data REST API cache API gateway harus dienkripsi saat istirahat | ApiGateway.5.memeriksa apakah semua metode di tahapan API Amazon API Gateway REST dienkripsi saat istirahat. Security Hub memperbarui kontrol untuk mengevaluasi enkripsi metode tertentu hanya ketika caching diaktifkan untuk metode itu. |
| 18 Mei 2023 | [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub sekarang mendukung java17 sebagai parameter. |
| 18 Mei 2023 | [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub tidak lagi mendukung nodejs12.x sebagai parameter. |
| April 23, 2023 | [ECS.10] Layanan ECS Fargate harus berjalan pada versi platform Fargate terbaru | ECS.10 memeriksa apakah layanan Amazon ECS Fargate menjalankan versi platform Fargate terbaru. Pelanggan dapat menyebarkan Amazon ECS melalui ECS secara langsung, atau dengan menggunakan. CodeDeploy Security Hub memperbarui kontrol ini untuk menghasilkan temuan Lulus saat Anda CodeDeploy menggunakan layanan ECS Fargate. |
| 20 April 2023 | [S3.6] Kebijakan bucket tujuan umum S3 harus membatasi akses ke yang lain Akun AWS | S3.6 memeriksa apakah kebijakan bucket Amazon Simple Storage Service (Amazon S3) mencegah prinsipal dari pihak Akun AWS lain melakukan tindakan yang ditolak pada sumber daya di bucket S3. Security Hub memperbarui kontrol untuk memperhitungkan persyaratan dalam kebijakan bucket. |
| 18 April 2023 | [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub sekarang mendukung python3.10 sebagai parameter. |
| 18 April 2023 | [Lambda.2] Fungsi Lambda harus menggunakan runtime yang didukung | Lambda.2 memeriksa apakah setelan AWS Lambda fungsi untuk runtime cocok dengan nilai yang diharapkan yang ditetapkan untuk runtime yang didukung dalam setiap bahasa. Security Hub tidak lagi mendukung dotnetcore3.1 sebagai parameter. |
| 17 April 2023 | [RDS.11] RDS instance harus mengaktifkan pencadangan otomatis | RDS.11 memeriksa apakah instans Amazon RDS telah mengaktifkan pencadangan otomatis, dengan periode retensi cadangan yang lebih besar dari atau sama dengan tujuh hari. Security Hub memperbarui kontrol ini untuk mengecualikan replika baca dari evaluasi, karena tidak semua mesin mendukung pencadangan otomatis pada replika baca. Selain itu, RDS tidak menyediakan opsi untuk menentukan periode retensi cadangan saat membuat replika baca. Replika baca dibuat dengan periode retensi cadangan secara 0 default. |
