CIS AWS Foundations Benchmark - AWS Security Hub
Benchmark CIS AWS Foundations v3.0.0Benchmark CIS Foundations v1.4.0 AWSBenchmark CIS Foundations v1.2.0 AWS Confronto delle versioni per CIS Foundations Benchmark AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CIS AWS Foundations Benchmark

Il benchmark Center for Internet Security (CIS) AWS Foundations funge da set di best practice per la configurazione della sicurezza per. AWS Queste best practice accettate dal settore forniscono procedure chiare di implementazione e valutazione. step-by-step Dai sistemi operativi ai servizi cloud e ai dispositivi di rete, i controlli di questo benchmark aiutano a proteggere i sistemi specifici utilizzati dall'organizzazione.

AWS Security Hub supporta CIS AWS Foundations Benchmark v3.0.0, 1.4.0 e v1.2.0.

Questa pagina elenca i controlli di sicurezza supportati da ciascuna versione e fornisce un confronto tra le versioni.

Benchmark CIS AWS Foundations v3.0.0

Security Hub supporta la versione 3.0.0 del benchmark CIS Foundations AWS .

Security Hub ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS:

  • Benchmark CIS per CIS Foundations Benchmark, v3.0.0, livello 1 AWS

  • Benchmark CIS per CIS Foundations Benchmark, v3.0.0, livello 2 AWS

Controlli che si applicano a CIS Foundations Benchmark v3.0.0 AWS

[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS

[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata

[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata

[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC

[EC2.7] La crittografia predefinita di EBS deve essere abilitata

[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)

[EC2.21] Gli ACL di rete non dovrebbero consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389

[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server

[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server

[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS

[IAM.2] Gli utenti IAM non devono avere policy IAM allegate

[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno

[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere

[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console

[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root

[IAM.9] L'MFA deve essere abilitata per l'utente root

[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14

[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password

[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse

[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi

[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloudShellFullAccess

[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato

[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS

[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, in base alla durata PubliclyAccessible AWS Config

[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata

[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati

[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL

[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata

[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto

[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto

Benchmark CIS Foundations v1.4.0 AWS

Security Hub supporta la versione 1.4.0 del benchmark CIS Foundations AWS .

Controlli che si applicano a CIS Foundations Benchmark v1.4.0 AWS

[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata

[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata

[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch

[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail

[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»

[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM

[CloudWatch.5] Assicurati che esistano un filtro metrico di registro e un allarme per le CloudTrail AWS Config variazioni di durata

[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli AWS Management Console errori di autenticazione

[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione programmata delle chiavi gestite dal cliente

[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3

[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione

[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza

[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)

[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete

[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte

[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC

[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC

[EC2.7] La crittografia predefinita di EBS deve essere abilitata

[EC2.21] Gli ACL di rete non dovrebbero consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389

[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi

[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno

[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere

[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console

[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root

[IAM.9] L'MFA deve essere abilitata per l'utente root

[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14

[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password

[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse

[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS

[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata

[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL

[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata

Benchmark Foundations Center for Internet Security (CIS) v1.2.0 AWS

Security Hub supporta la versione 1.2.0 del benchmark CIS AWS Foundations.

Security Hub ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS:

  • Benchmark CIS per CIS Foundations Benchmark, v1.2.0, livello 1 AWS

  • Benchmark CIS per CIS Foundations Benchmark, v1.2.0, livello 2 AWS

Controlli che si applicano a CIS Foundations Benchmark v1.2.0 AWS

[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata

[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata

[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch

[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail

[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»

[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate

[CloudWatch.3] Assicurarsi che esistano un filtro metrico di registro e un allarme per l'accesso alla Console di gestione senza MFA

[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM

[CloudWatch.5] Assicurati che esistano un filtro metrico di registro e un allarme per le CloudTrail AWS Config variazioni di durata

[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli AWS Management Console errori di autenticazione

[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione programmata delle chiavi gestite dal cliente

[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3

[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione

[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza

[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)

[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete

[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte

[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC

[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC

[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389

[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi

[IAM.2] Gli utenti IAM non devono avere policy IAM allegate

[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno

[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere

[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console

[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root

[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse

[IAM.9] L'MFA deve essere abilitata per l'utente root

[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola

[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola

[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo

[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero

[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14

[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password

[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno

[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS

Confronto delle versioni per CIS Foundations Benchmark AWS

Questa sezione riassume le differenze tra il Center for Internet Security (CIS) AWS Foundations Benchmark v3.0.0, v1.4.0 e v1.2.0.

Security Hub supporta ognuna di queste versioni del benchmark CIS AWS Foundations, ma consigliamo di utilizzare la versione 3.0.0 per rimanere aggiornati sulle migliori pratiche di sicurezza. È possibile che siano abilitate più versioni dello standard contemporaneamente. Per ulteriori informazioni, consulta Abilitazione e disabilitazione degli standard di sicurezza. Se desideri eseguire l'aggiornamento alla versione 3.0.0, è meglio abilitarlo prima di disabilitare una versione precedente. Se utilizzi l'integrazione di Security Hub con AWS Organizations per gestire centralmente più account Account AWS e desideri abilitare in batch la v3.0.0 su tutti gli account, puoi utilizzare la configurazione centrale.

Mappatura dei controlli ai requisiti CIS in ogni versione

Scopri quali controlli supporta ogni versione di CIS AWS Foundations Benchmark.

ID e titolo di controllo Requisito CIS v3.0.0 Requisito CIS v1.4.0 Requisito CIS v1.2.0

[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS

1.2

1.2

1.18

[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

3.1

3.1

2.1

[CloudTrail.1] CloudTrail deve essere abilitato e configurato con almeno un percorso multiregionale che includa eventi di gestione di lettura e scrittura

3.1

3.1

2.1

[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata

3.5

3.7

2.7

[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata

3.2

3.2

2.2

[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch

Non supportato: il CIS ha rimosso questo requisito

3.4

2.4

[CloudTrail.6] Assicurati che il bucket S3 utilizzato per archiviare i log non sia accessibile al pubblico CloudTrail

Non supportato: il CIS ha rimosso questo requisito

3.3

2.3

[CloudTrail.7] Assicurati che la registrazione degli accessi al bucket S3 sia abilitata sul bucket S3 CloudTrail

3.4

3.6

2.6

[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»

Non supportato: controllo manuale

4.3

3.3

[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate

Non supportato: controllo manuale

Non supportato: controllo manuale

3.1

[CloudWatch.3] Assicurarsi che esistano un filtro metrico di registro e un allarme per l'accesso alla Console di gestione senza MFA

Non supportato: controllo manuale

Non supportato: controllo manuale

3.2

[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM

Non supportato: controllo manuale

4.4

3.4

[CloudWatch.5] Assicurati che esistano un filtro metrico di registro e un allarme per le CloudTrail AWS Config variazioni di durata

Non supportato: controllo manuale

4.5

3.5

[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli AWS Management Console errori di autenticazione

Non supportato: controllo manuale

4.6

3.6

[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione programmata delle chiavi gestite dal cliente

Non supportato: controllo manuale

4.7

3.7

[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3

Non supportato: controllo manuale

4.8

3.8

[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione

Non supportato: controllo manuale

4.9

3.9

[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza

Non supportato: controllo manuale

4.10

3,10

[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)

Non supportato: controllo manuale

4.11

3,11

[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete

Non supportato: controllo manuale

4.12

3,12

[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte

Non supportato: controllo manuale

4.13

3.13

[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC

Non supportato: controllo manuale

4.14

3,14

[Config.1] AWS Config deve essere abilitato e utilizzare il ruolo collegato al servizio per la registrazione delle risorse

3.3

3.5

2.5

[EC2.2] I gruppi di sicurezza VPC predefiniti non dovrebbero consentire il traffico in entrata o in uscita

5.4

5.3

4.3

[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC

3.7

3.9

2.9

[EC2.7] La crittografia predefinita di EBS deve essere abilitata

2.2.1

2.2.1

Non supportato

[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)

5.6

Non supportato

Non supportato

[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22

Non supportato: sostituito dai requisiti 5.2 e 5.3

Non supportato: sostituito dai requisiti 5.2 e 5.3

4.1

[EC2.14] I gruppi di sicurezza non dovrebbero consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 3389

Non supportato: sostituito dai requisiti 5.2 e 5.3

Non supportato: sostituito dai requisiti 5.2 e 5.3

4.2

[EC2.21] Gli ACL di rete non dovrebbero consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389

5.1

5.1

Non supportato

[EC2.53] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da 0.0.0.0/0 alle porte di amministrazione remota del server

5.2

Non supportato

Non supportato

[EC2.54] I gruppi di sicurezza EC2 non dovrebbero consentire l'accesso da: :/0 alle porte di amministrazione remota del server

5.3

Non supportato

Non supportato

[EFS.1] Elastic File System deve essere configurato per crittografare i dati dei file inattivi utilizzando AWS KMS

2.4.1

Non supportato

Non supportato

[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi

Non supportato

1.16

1.22

[IAM.2] Gli utenti IAM non devono avere policy IAM allegate

1.15

Non supportato

1.16

[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno

1.14

1.14

1.4

[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere

1.4

1.4

1.12

[IAM.5] MFA deve essere abilitata per tutti gli utenti IAM che dispongono di una password della console

1.10

1.10

1.2

[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root

1.6

1.6

1.14

[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse

Non supportato, vedi invece [IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse

Non supportato, vedi [IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse invece

1.3

[IAM.9] L'MFA deve essere abilitata per l'utente root

1.5

1.5

1.13

[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola

Non supportato: il CIS ha rimosso questo requisito

Non supportato: il CIS ha rimosso questo requisito

1.5

[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola

Non supportato: il CIS ha rimosso questo requisito

Non supportato: il CIS ha rimosso questo requisito

1.6

[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo

Non supportato: il CIS ha rimosso questo requisito

Non supportato: il CIS ha rimosso questo requisito

1,7

[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero

Non supportato: il CIS ha rimosso questo requisito

Non supportato: il CIS ha rimosso questo requisito

1.8

[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14

1.8

1.8

1.9

[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password

1.9

1.9

1.10

[IAM.17] Assicurati che la policy sulle password di IAM faccia scadere le password entro 90 giorni o meno

Non supportato: il CIS ha rimosso questo requisito

Non supportato: il CIS ha rimosso questo requisito

1.11

[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con AWS Support

1,17

1,17

1.2

[IAM.20] Evita l'uso dell'utente root

Non supportato: il CIS ha rimosso questo requisito

Non supportato: il CIS ha rimosso questo requisito

1.1

[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse

1.12

1.12

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi

1.19

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloudShellFullAccess

1.22

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato

1.20

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS

3.6

3.8

2.8

[Macie.1] Amazon Macie dovrebbe essere abilitato

Non supportato: controllo manuale

Non supportato: controllo manuale

Non supportato: controllo manuale

[RDS.2] Le istanze DB RDS dovrebbero vietare l'accesso pubblico, in base alla durata PubliclyAccessible AWS Config

2.3.3

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata

2.3.1

2.3.1

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati

2.3.2

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate

2.1.4

2.1.5

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL

2.1.1

2.1.2

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico

2.1.4

2.1.5

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata

2.1.2

2.1.3

Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive

ARN per CIS Foundations Benchmark AWS

Quando abiliti una o più versioni di CIS AWS Foundations Benchmark, inizierai a ricevere i risultati nel AWS Security Finding Format (ASFF). In ASFF, ogni versione utilizza il seguente Amazon Resource Name (ARN):

Benchmark CIS Foundations v3.0.0 AWS

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0

Benchmark CIS AWS Foundations v1.4.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0

Benchmark CIS Foundations v1.2.0 AWS

arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

Puoi utilizzare il GetEnabledStandardsfunzionamento dell'API Security Hub per scoprire l'ARN di uno standard abilitato.

I valori precedenti sono per. StandardsArn Tuttavia, StandardsSubscriptionArn si riferisce alla risorsa di abbonamento standard che Security Hub crea quando ci si abbona a uno standard chiamando BatchEnableStandardsin una regione.

Nota

Quando abiliti una versione di CIS AWS Foundations Benchmark, Security Hub può impiegare fino a 18 ore per generare risultati per i controlli che utilizzano la stessa regola AWS Config collegata ai servizi dei controlli abilitati in altri standard abilitati. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.

I campi di ricerca sono diversi se si attivano i risultati dei controlli consolidati. Per ulteriori informazioni su queste differenze, consulta Impatto del consolidamento sui campi e sui valori ASFF. Per esempi di risultati di controllo, vedereEsempi di risultati del controllo.

Requisiti CIS non supportati in Security Hub

Come indicato nella tabella precedente, Security Hub non supporta tutti i requisiti CIS in ogni versione del benchmark CIS Foundations AWS . Molti dei requisiti non supportati possono essere valutati solo manualmente esaminando lo stato delle risorse. AWS