本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CIS AWS 基准测试 v1.4.0
AWS Audit Manager 提供了两个支持互联网安全中心的预建标准框架 () CIS AWS 基础基准测试 v1.4.0。
注意
-
有关支持 v1.2.0 的 Audit Manager 框架的信息,请参阅 CIS AWS 基准测试 v1.2.0。
-
有关支持 v1.3.0 的 Audit Manager 框架的信息,请参阅 CIS AWS 基准测试 v1.3.0。
什么是 CIS AWS 基准?
的 CIS AWS Benchmark v1.4.0 为为部分亚马逊 Web Services 配置安全选项提供了规范性指导。它侧重于基础、可测试以及与架构无关的设置。本文档范围内的一些特定 Amazon Web Services 包括:
-
AWS Identity and Access Management (IAM)
-
IAM 访问分析器
-
AWS Config
-
AWS CloudTrail
-
Amazon CloudWatch
-
亚马逊简单通知服务(亚马逊SNS)
-
Amazon Simple Storage Service (Amazon S3)
-
亚马逊弹性计算云(亚马逊EC2)
-
亚马逊 Relational Database Service(亚马逊RDS)
-
Amazon Virtual Private Cloud
CIS基准测试和CIS控件之间的区别
CIS基准测试是特定于供应商产品的安全最佳实践指南。从操作系统到云服务和网络设备,基准测试中的设置可以保护使用的系统。这些CIS控件是您的组织可以遵循的基本最佳实践指南,以帮助抵御已知的网络攻击媒介。
示例
-
CIS基准是规范性的。它们通常引用可在供应商产品中查看和设置的具体设定。
示例:CIS AWS Benchmark v1.3.0-确保MFA已为 “root 用户” 账户启用
该建议提供了有关如何检查此问题以及如何在 root 账户上进行此设置的规范性指导 AWS 环境。
-
CIS控件适用于您的整个组织,并不只针对一个供应商产品。
示例:CISv7.1-对所有管理访问使用多重身份验证
此控件描述了预计应用于您组织的内容。但是,它没有描述您应该如何将其应用于正在运行的系统和工作负载,无论其在何处。
使用这些框架支持您的审计准备
你可以使用 CIS AWS 基准测试 v1.4.0 中的框架 AWS Audit Manager 帮助您为CIS审计做准备。您还可以根据具体要求,自定义这些框架及其控件,以支持内部审计。
以该框架作为起点,您可以创建 Audit Manager 评测并开始收集与您的审计相关的证据。创建评估后,Audit Manager 会开始评估您的 AWS 资源的费用。它基于CIS框架中定义的控件来执行此操作。当需要进行审计时,您或您选择的委托人可以查看 Audit Manager 收集的证据。或者,您可浏览评测的证据文件夹,然后选择要将哪些证据纳入评测报告。或者,如果您启用了证据查找器,则可以搜索特定证据并以CSV格式将其导出,或者根据搜索结果创建评估报告。无论采用哪种方式,此评测报告可帮助您证明您的控件是否按预期运行。
框架详细信息如下:
中的框架名称 AWS Audit Manager | 自动控件数量 | 手动控件数量 | 控件集数量 |
---|---|---|---|
互联网安全中心 (CIS) Amazon Web Services (AWS) Benchmark v1.4.0,1 级 | 32 | 6 | 5 |
互联网安全中心 (CIS) Amazon Web Services (AWS) Benchmark v1.4.0,1 级和 2 级 |
50 | 8 | 5 |
提示
查看清单 AWS Config 用作这些标准框架的数据源映射的规则,请下载以下文件:
这些框架中的控件并不是为了验证您的系统是否符合 CIS AWS 基准测试 v1.4.0。此外,他们无法保证您会通过CIS审计。 AWS Audit Manager 不会自动检查需要手动收集证据的程序控制。
您可以在 Audit Manager 中框架库的 “标准框架” 选项卡下找到这些框架。
后续步骤
有关如何使用这些框架创建评测的说明,请参阅 在中创建评估 AWS Audit Manager。
有关如何自定义这些框架以支持您的特定要求的说明,请参阅在中制作现有框架的可编辑副本 AWS Audit Manager。
其他 资源
-
CIS互联网安全中心的基准
-
CIS AWS 基金会基准博客文章位
于 AWS 安全博客