Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
CIS AWS Foundations Benchmark
Il benchmark Center for Internet Security (CIS) AWS Foundations funge da set di best practice per la configurazione della sicurezza per. AWS Queste best practice accettate dal settore forniscono procedure chiare di implementazione e valutazione. step-by-step Dai sistemi operativi ai servizi cloud e ai dispositivi di rete, i controlli di questo benchmark aiutano a proteggere i sistemi specifici utilizzati dall'organizzazione.
AWS Security Hub supporta CIS AWS Foundations Benchmark v3.0.0, 1.4.0 e v1.2.0.
Questa pagina elenca i controlli di sicurezza supportati da ciascuna versione e fornisce un confronto tra le versioni.
Benchmark CIS AWS Foundations v3.0.0
Security Hub supporta la versione 3.0.0 del benchmark CIS Foundations AWS .
Security Hub ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS:
-
Benchmark CIS per CIS Foundations Benchmark, v3.0.0, livello 1 AWS
-
Benchmark CIS per CIS Foundations Benchmark, v3.0.0, livello 2 AWS
Controlli che si applicano a CIS Foundations Benchmark v3.0.0 AWS
[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS
[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata
[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata
[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC
[EC2.7] La crittografia predefinita di EBS deve essere abilitata
[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2)
[IAM.2] Gli utenti IAM non devono avere policy IAM allegate
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
[IAM.9] L'MFA deve essere abilitata per l'utente root
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloudShellFullAccess
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato
[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS
[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata
[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL
[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
[S3.22] I bucket S3 per uso generico devono registrare gli eventi di scrittura a livello di oggetto
[S3.23] I bucket S3 per uso generico devono registrare gli eventi di lettura a livello di oggetto
Benchmark CIS Foundations v1.4.0 AWS
Security Hub supporta la versione 1.4.0 del benchmark CIS Foundations AWS .
Controlli che si applicano a CIS Foundations Benchmark v1.4.0 AWS
[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata
[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata
[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch
[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC
[EC2.7] La crittografia predefinita di EBS deve essere abilitata
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
[IAM.9] L'MFA deve essere abilitata per l'utente root
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse
[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS
[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate
[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL
[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata
Benchmark Foundations Center for Internet Security (CIS) v1.2.0 AWS
Security Hub supporta la versione 1.2.0 del benchmark CIS AWS Foundations.
Security Hub ha soddisfatto i requisiti della certificazione del software di sicurezza CIS e ha ottenuto la certificazione del software di sicurezza CIS per i seguenti benchmark CIS:
-
Benchmark CIS per CIS Foundations Benchmark, v1.2.0, livello 1 AWS
-
Benchmark CIS per CIS Foundations Benchmark, v1.2.0, livello 2 AWS
Controlli che si applicano a CIS Foundations Benchmark v1.2.0 AWS
[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata
[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata
[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch
[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC
[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi
[IAM.2] Gli utenti IAM non devono avere policy IAM allegate
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse
[IAM.9] L'MFA deve essere abilitata per l'utente root
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo
[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password
[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS
Confronto delle versioni per CIS Foundations Benchmark AWS
Questa sezione riassume le differenze tra il Center for Internet Security (CIS) AWS Foundations Benchmark v3.0.0, v1.4.0 e v1.2.0.
Security Hub supporta ognuna di queste versioni del benchmark CIS AWS Foundations, ma consigliamo di utilizzare la versione 3.0.0 per rimanere aggiornati sulle migliori pratiche di sicurezza. È possibile che siano abilitate più versioni dello standard contemporaneamente. Per ulteriori informazioni, consulta Abilitazione e disabilitazione degli standard di sicurezza. Se desideri eseguire l'aggiornamento alla versione 3.0.0, è meglio abilitarlo prima di disabilitare una versione precedente. Se utilizzi l'integrazione di Security Hub con AWS Organizations per gestire centralmente più account Account AWS e desideri abilitare in batch la v3.0.0 su tutti gli account, puoi utilizzare la configurazione centrale.
Mappatura dei controlli ai requisiti CIS in ogni versione
Scopri quali controlli supporta ogni versione di CIS AWS Foundations Benchmark.
ID e titolo di controllo | Requisito CIS v3.0.0 | Requisito CIS v1.4.0 | Requisito CIS v1.2.0 |
---|---|---|---|
[Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS |
1.2 |
1.2 |
1.18 |
3.1 |
3.1 |
2.1 |
|
3.1 |
3.1 |
2.1 |
|
[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata |
3.5 |
3.7 |
2.7 |
[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata |
3.2 |
3.2 |
2.2 |
[CloudTrail.5] i CloudTrail trail devono essere integrati con Amazon Logs CloudWatch |
Non supportato: il CIS ha rimosso questo requisito |
3.4 |
2.4 |
Non supportato: il CIS ha rimosso questo requisito |
3.3 |
2.3 |
|
3.4 |
3.6 |
2.6 |
|
Non supportato: controllo manuale |
4.3 |
3.3 |
|
Non supportato: controllo manuale |
Non supportato: controllo manuale |
3.1 |
|
Non supportato: controllo manuale |
Non supportato: controllo manuale |
3.2 |
|
Non supportato: controllo manuale |
4.4 |
3.4 |
|
Non supportato: controllo manuale |
4.5 |
3.5 |
|
Non supportato: controllo manuale |
4.6 |
3.6 |
|
Non supportato: controllo manuale |
4.7 |
3.7 |
|
Non supportato: controllo manuale |
4.8 |
3.8 |
|
Non supportato: controllo manuale |
4.9 |
3.9 |
|
Non supportato: controllo manuale |
4.10 |
3,10 |
|
Non supportato: controllo manuale |
4.11 |
3,11 |
|
Non supportato: controllo manuale |
4.12 |
3,12 |
|
Non supportato: controllo manuale |
4.13 |
3.13 |
|
Non supportato: controllo manuale |
4.14 |
3,14 |
|
3.3 |
3.5 |
2.5 |
|
5.4 |
5.3 |
4.3 |
|
[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i VPC |
3.7 |
3.9 |
2.9 |
[EC2.7] La crittografia predefinita di EBS deve essere abilitata |
2.2.1 |
2.2.1 |
Non supportato |
[EC2.8] Le istanze EC2 devono utilizzare Instance Metadata Service Version 2 (IMDSv2) |
5.6 |
Non supportato |
Non supportato |
[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22 |
Non supportato: sostituito dai requisiti 5.2 e 5.3 |
Non supportato: sostituito dai requisiti 5.2 e 5.3 |
4.1 |
Non supportato: sostituito dai requisiti 5.2 e 5.3 |
Non supportato: sostituito dai requisiti 5.2 e 5.3 |
4.2 |
|
5.1 |
5.1 |
Non supportato |
|
5.2 |
Non supportato |
Non supportato |
|
5.3 |
Non supportato |
Non supportato |
|
2.4.1 |
Non supportato |
Non supportato |
|
[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «*» completi |
Non supportato |
1.16 |
1.22 |
1.15 |
Non supportato |
1.16 |
|
[IAM.3] Le chiavi di accesso degli utenti IAM devono essere ruotate ogni 90 giorni o meno |
1.14 |
1.14 |
1.4 |
[IAM.4] La chiave di accesso utente root IAM non dovrebbe esistere |
1.4 |
1.4 |
1.12 |
1.10 |
1.10 |
1.2 |
|
[IAM.6] L'autenticazione MFA per l'hardware deve essere abilitata per l'utente root |
1.6 |
1.6 |
1.14 |
[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse |
Non supportato, vedi invece [IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse |
Non supportato, vedi [IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse invece |
1.3 |
1.5 |
1.5 |
1.13 |
|
[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola |
Non supportato: il CIS ha rimosso questo requisito |
Non supportato: il CIS ha rimosso questo requisito |
1.5 |
[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola |
Non supportato: il CIS ha rimosso questo requisito |
Non supportato: il CIS ha rimosso questo requisito |
1.6 |
[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo |
Non supportato: il CIS ha rimosso questo requisito |
Non supportato: il CIS ha rimosso questo requisito |
1,7 |
[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero |
Non supportato: il CIS ha rimosso questo requisito |
Non supportato: il CIS ha rimosso questo requisito |
1.8 |
1.8 |
1.8 |
1.9 |
|
[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password |
1.9 |
1.9 |
1.10 |
Non supportato: il CIS ha rimosso questo requisito |
Non supportato: il CIS ha rimosso questo requisito |
1.11 |
|
1,17 |
1,17 |
1.2 |
|
Non supportato: il CIS ha rimosso questo requisito |
Non supportato: il CIS ha rimosso questo requisito |
1.1 |
|
[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse |
1.12 |
1.12 |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
[IAM.26] I certificati SSL/TLS scaduti gestiti in IAM devono essere rimossi |
1.19 |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
[IAM.27] Le identità IAM non devono avere la policy allegata AWSCloudShellFullAccess |
1.22 |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
[IAM.28] L'analizzatore di accesso esterno IAM Access Analyzer deve essere abilitato |
1.20 |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
[KMS.4] la rotazione dei tasti dovrebbe essere abilitata AWS KMS |
3.6 |
3.8 |
2.8 |
Non supportato: controllo manuale |
Non supportato: controllo manuale |
Non supportato: controllo manuale |
|
2.3.3 |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
|
[RDS.3] Le istanze database RDS devono avere la crittografia dei dati inattivi abilitata |
2.3.1 |
2.3.1 |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
[RDS.13] Gli aggiornamenti automatici delle versioni secondarie di RDS devono essere abilitati |
2.3.2 |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
[S3.1] I bucket generici S3 devono avere le impostazioni di blocco dell'accesso pubblico abilitate |
2.1.4 |
2.1.5 |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL |
2.1.1 |
2.1.2 |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
[S3.8] I bucket generici S3 dovrebbero bloccare l'accesso pubblico |
2.1.4 |
2.1.5 |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
[S3.20] I bucket S3 per uso generico devono avere l'eliminazione MFA abilitata |
2.1.2 |
2.1.3 |
Non supportato: il CIS ha aggiunto questo requisito nelle versioni successive |
ARN per CIS Foundations Benchmark AWS
Quando abiliti una o più versioni di CIS AWS Foundations Benchmark, inizierai a ricevere i risultati nel AWS Security Finding Format (ASFF). In ASFF, ogni versione utilizza il seguente Amazon Resource Name (ARN):
- Benchmark CIS Foundations v3.0.0 AWS
arn:aws:securityhub:
region
::standards/cis-aws-foundations-benchmark/v/3.0.0- Benchmark CIS AWS Foundations v1.4.0
arn:aws:securityhub:
region
::standards/cis-aws-foundations-benchmark/v/1.4.0- Benchmark CIS Foundations v1.2.0 AWS
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
Puoi utilizzare il GetEnabledStandardsfunzionamento dell'API Security Hub per scoprire l'ARN di uno standard abilitato.
I valori precedenti sono per. StandardsArn
Tuttavia, StandardsSubscriptionArn
si riferisce alla risorsa di abbonamento standard che Security Hub crea quando ci si abbona a uno standard chiamando BatchEnableStandardsin una regione.
Nota
Quando abiliti una versione di CIS AWS Foundations Benchmark, Security Hub può impiegare fino a 18 ore per generare risultati per i controlli che utilizzano la stessa regola AWS Config collegata ai servizi dei controlli abilitati in altri standard abilitati. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.
I campi di ricerca sono diversi se si attivano i risultati dei controlli consolidati. Per ulteriori informazioni su queste differenze, consulta Impatto del consolidamento sui campi e sui valori ASFF. Per esempi di risultati di controllo, vedereEsempi di risultati del controllo.
Requisiti CIS non supportati in Security Hub
Come indicato nella tabella precedente, Security Hub non supporta tutti i requisiti CIS in ogni versione del benchmark CIS Foundations AWS . Molti dei requisiti non supportati possono essere valutati solo manualmente esaminando lo stato delle risorse. AWS