本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CIS Controls v7.1 Implementation Group 1
AWS Audit Manager 提供了支持互联网安全中心 (CIS) Controls v7.1 Implementation Group 1 的预先构建框架。
注意
有关 CIS Controls v8 IG1 以及支持该标准的 AWS Audit Manager 框架的信息,请参阅CIS Controls v8 Implementation Group 1。
AWS Audit Manager提供了支持互联网安全中心 (CIS) 的预先构建框架,以帮助您做好审计准备。
什么是 CIS 控件?
CIS 控件是一组按优先顺序排列的行动,它们共同构成了一套深度防御最佳实践标准。这些最佳实践标准可以缓解对系统和网络的最常见攻击。Implementation Group 1 通常是针对资源和网络安全专业知识有限、且可用于实施子控制的组织定义的。
CIS 控件和 CIS 基准之间的区别
CIS 控件是基本的最佳实践指南,组织可以遵循这些指导方针来防范已知的网络攻击媒介。CIS 基准测试是针对供应商产品的最佳安全实践标准指南。从操作系统到云服务和网络设备,基准测试中的设置可以保护使用的系统。
示例
-
CIS 基准为规范性。它们通常引用可在供应商产品中查看和设置的具体设定。
-
示例:CIS Amazon Web Services Foundations Benchmark v1.2.0 - 1.13 确保为 “根用户” 账户启用 MFA
-
此建议提供以下规范性指导:如何检查这一点;如何在AWS环境中针对根账户进行设置。
-
-
CIS 控件适用于您的整个组织,并不只针对一个供应商产品。
-
示例:CIS Controls v7.1 - Sub-Control 4.5 使用多因素身份验证用于所有管理员访问
-
此控件描述了预计应用于您组织的内容。它没有描述您应该如何将其应用于正在运行的系统和工作负载(无论在何处)。
-
使用此框架支持您的审计准备
您可以使用CIS Controls v7.1 IG1 框架来帮助您为审计做准备。框架包括预先构建的控件集合,其中包含描述和测试程序。这些控件根据 CIS 要求分组为控件集。您还可以根据具体要求,自定义此框架及其控件,以支持内部审计。
以该框架作为起点,您可以创建 Audit Manager 评测并开始收集与您的审计相关的证据。创建评测后,Audit Manager 会开始评测您的 AWS 资源。它基于 CIS Controls v7.1 IG1 框架中定义的控件。当需要进行审计时,您或您选择的委托人可以查看 Audit Manager 收集的证据。或者,您可浏览评测的证据文件夹,然后选择要将哪些证据纳入评测报告。或者,如果启用了证据查找器,则可以搜索特定证据并将其以 CSV 格式导出,或根据搜索结果创建评测报告。无论采用哪种方式,此评测报告可帮助您证明您的控件是否按预期运行。
CIS Controls v7.1 IG1 框架详细信息如下:
AWS Audit Manager中的框架名称 | 自动控件数量 | 手动控件数量 | 控件集数量 | 范围内 AWS 服务 |
---|---|---|---|---|
CIS Controls v7.1 IG1 |
21 |
22 |
16 |
|
提示
要查看此标准框架中的数据来源映射AWS Config规则,请下载 AuditManager_ConfigDataSourceMappings_CIS-Controls-v7.1-IG1.zip 文件。
此框架中的控件并不旨在验证您的系统是否符合 CIS Controls。此外,他们无法保证你会通过 CIS 审计。 AWS Audit Manager不会自动检查需要手动收集证据的程序控件。
您可以在 Audit Manager 中框架库的 标准框架选项卡下找到此框架。
有关如何使用此框架创建评测的说明,请参阅 创建评测。
当您使用 Audit Manager 控制台从标准框架创建评测时,范围内的AWS 服务列表默认为预先选择且无法编辑。原因是 Audit Manager 会自动为您映射和选择数据来源和服务。此选择基于 CIS Controls 的要求。如果您需要编辑此框架范围内的服务列表,则可以使用 CreateAssessment 或 UpdateAssessment API 操作执行。或者,您可以自定义标准框架,然后通过自定义框架创建评测。
有关如何自定义此框架以支持您特定要求的说明,请参阅自定义现有框架和自定义现有控件。