CISAWS 基金会运营最佳实践基准 v1.4 级别 1

Conformance packs提供了通用的合规性框架，旨在使您能够使用托管或自定义AWS Config规则和AWS Config补救措施来创建安全、运营或成本优化治理检查。作为示例模板的Conformance Packs并不是为了完全确保符合特定的治理或合规性标准而设计的。您有责任自行评估您对服务的使用是否符合适用的法律和监管要求。

以下提供了互联网安全中心 (CIS) Amazon Web Services 基金会 v1.4 第 1 级与AWS托管Config 规则/AWS Config 流程检查之间的示例映射。每条 Config 规则都适用于特定AWS资源，并与一个或多个 CIS Amazon Web Services Foundation v1.4 第 1 级控件相关。CIS Amazon Web Services Foundation v1.4 第 1 级控件可以与多个Config 规则相关联。有关这些映射的更多详细信息和指导，请参阅下表。

有关流程检查的更多信息，请参阅流程检查。

AWS 区域: 除了（美国东部）、AWS GovCloud （美国西部）和中东AWS GovCloud （巴林）之外的所有支持一致性包AWS 区域的地方（区域支持）

控制 ID	控件描述	AWSConfig 规则	指导
1.1	保持当前的联系方式	account-contact-details-configured （过程检查）	确保AWS帐户的联系电子邮件和电话号码是最新的，并映射到组织中的多个人。在控制台的 “我的帐户” 部分中，确保在 “联系信息” 部分指定了正确的信息。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
1.2	确保安全联系人信息已注册	account-security-contact-configured （过程检查）	确保您的组织安全团队的联系电子邮件和电话号码是最新的。在AWS管理控制台的 “我的帐户” 部分中，确保在 “安全” 部分指定了正确的信息。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
1.3	确保在AWS账户中注册了安全问题	account-security-questions-configured （过程检查）	确保配置了可用于对致电AWS客户服务寻求支持的个人进行身份验证的安全问题。在AWS管理控制台的 “我的帐户” 部分中，确保配置了三个安全挑战问题。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
1.4	确保不存在 “root” 用户访问密钥	iam-root-access-key-检查	通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥，可以控制对系统和资产的访问权限。确保删除根访问密钥。相反，创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。
1.5	确保为 “根” 用户启用 MFA	root-account-mfa-enabled	通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。root 用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA，可以减少AWS账户被入侵的发生。
1.7	避免使用 “root” 用户执行管理和日常任务	root-account-regular-use （过程检查）	确保避免在日常任务中使用 root 帐户。在 IAM 中，运行证书报告以检查上次使用根用户的时间。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
1.8	确保 IAM 密码策略要求的最小长度为 14 或更长	iam-password-policy	身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters （AWS基础安全最佳实践值：true）、 RequireLowercaseCharacters （AWS基础安全最佳实践值：true）、 RequireSymbols （AWS基础安全最佳实践值：true）、 RequireNumbers （AWS基础安全最佳实践值：true）、 MinimumPasswordLength （AWS基础安全最佳实践值：14）、 PasswordReusePrevention（AWS基础安全最佳实践值：24）和 MaxPasswordAge（AWS基础安全最佳实践值：90）IAM 密码策略。实际值应反映贵组织的政策。
1.9	确保 IAM 密码策略防止密码重用	iam-password-policy	身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters （AWS基础安全最佳实践值：true）、 RequireLowercaseCharacters （AWS基础安全最佳实践值：true）、 RequireSymbols （AWS基础安全最佳实践值：true）、 RequireNumbers （AWS基础安全最佳实践值：true）、 MinimumPasswordLength （AWS基础安全最佳实践值：14）、 PasswordReusePrevention（AWS基础安全最佳实践值：24）和 MaxPasswordAge（AWS基础安全最佳实践值：90）IAM 密码策略。实际值应反映贵组织的政策。
1.10	确保为所有拥有控制台密码的用户启用多重身份验证 (MFA)	mfa-enabled-for-iam-控制台访问权限	通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA，您可以减少账户被盗事件，并防止未经授权的用户访问敏感数据。
1.11	在初始用户设置期间，不要为所有拥有控制台密码的用户设置访问密钥	iam-user-console-and-api-access-at-creation （流程检查）	确保在初始用户设置期间未为所有拥有控制台密码的用户设置访问密钥。对于所有具有控制台访问权限的用户，将用户的 “创建时间” 与访问密钥 “创建” 日期进行比较。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
1.12	确保禁用未使用 45 天或更长时间的证书	iam-user-unused-credentials-检查	AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书，则应禁用和/或删除这些证书，因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值（CIS 标准值：45）。实际价值应反映贵组织的政策。
1.13	确保任何单个用户都只有一个有效的访问密钥可用	iam-user-single-access-key（进程检查）	确保任何单个用户都只有一个有效的访问密钥可用。对于所有用户，请检查 IAM 中每个用户的 “安全证书” 选项卡中是否仅使用一个有效密钥。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
1.14	确保每 90 天或更短时间轮换访问密钥	access-keys-rotated	通过确保 IAM 访问密钥按照组织政策轮换，对授权设备、用户和流程的证书进行审计。定期更改访问密钥是一种最佳安全实践。它缩短了访问密钥的有效时间，并减少了密钥泄露时对业务的影响。此规则需要访问密钥轮换值（Config 默认值：90）。实际价值应反映贵组织的政策。
1.15	确保用户仅通过群组获得权限	iam-user-no-policies-检查	此规则确保IdAWS entity and Access Management (IAM) 策略仅附加到组或角色，以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
1.15	确保用户仅通过群组获得权限	iam-no-inline-policy-检查	确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。
1.15	确保用户仅通过群组获得权限	iam-user-group-membership-检查	AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。
1.16	确保不附加允许完整 “: ” 管理权限的 IAM 策略	iam-policy-no-statements-with-admin-access	AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合，限制策略中包含 “效果”：“允许” 和 “操作”：“” 而不是 “资源”：“”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。
1.17	确保已创建Support 角色来管理AWS支持人员	iam-policy-in-use	AWSIdentity and Access Management (IAM) 可通过确保将 IAM 策略分配给相应的用户、角色或群组来帮助您管理访问权限和授权。限制这些政策还包括最低特权和职责分离的原则。此规则要求你将 Policyarn 设置为 arn: aws::: aws:: aws: policy/AWSSupportAccess，用于SuAWS pport 人员进行事件管理。
1.19	确保删除AWS IAM 中存储的所有过期 SSL/TLS 证书	iam-expired-certificates （过程检查）	确保删除 IAM 中存储的所有过期 SSL/TLS 证书。在已安装的AWS CLI 的命令行中运行 “AWSi list-server-certificates am” 命令并确定是否有任何过期的服务器证书。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
1.20	确保启用AWS IAM Accccccler	iam-access-analyzer-enabled （过程检查）	确保启用 IAM Accccccer。在控制台的 IAM 部分中，选择 Access Analyzer 并确保状态设置为 “活动”。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
2.1.3	确保在 S3 存储桶上启用 MFA 删除	s3-bucket-versioning-enabled	Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保存在同一 Amazon S3 存储桶中。将多因素身份验证 (MFA) 删除添加到 S3 存储桶需要额外的身份验证因素才能更改存储桶的版本状态或删除对象版本。如果安全证书遭到泄露或被授予未经授权的访问，MFA 删除可以增加额外的安全层。
2.1.5	确保 S3 存储桶配置为 “阻止公共访问（存储桶设置）”	s3-account-level-public-access-区块-周期性	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls （Config 默认值：True）、 blockPublicPolicy （Config 默认值：True）、 blockPublicAcls （Config 默认值：True）和 restrictPublicBuckets 参数（Config 默认值：True）。实际值应反映贵组织的政策。
2.1.5	确保 S3 存储桶配置为 “阻止公共访问（存储桶设置）”	s3-bucket-level-public-access-禁止	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。
2.2.1	确保 EBS 卷加密	加密卷	由于敏感数据可能存在并且为了帮助保护静态数据，请确保为 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。
2.2.1	确保 EBS 卷加密	ec2-ebs-encryption-by-default	为了帮助保护静态数据，请确保对您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能静态存在于这些卷中，因此启用静态加密以帮助保护这些数据。
2.3.1	确保为 RDS 实例启用加密	rds-snapshot-encrypted	确保您的Amazon Relational Database Service (Amazon RDS) 快照启用加密。由于敏感数据可能处于静态状态，因此启用静态加密以帮助保护这些数据。
2.3.1	确保为 RDS 实例启用加密	rds-storage-encrypted	为了帮助保护静态数据，请确保为 Amazon Relational Database Service (Amazon RDS) 实例启用加密。由于敏感数据可能静态存在于 Amazon RDS 实例中，因此启用静态加密以帮助保护这些数据。
3.1	确保 CloudTrail 在所有区域都已启用	multi-region-cloudtrail-enabled	AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了AWS、从中发出调用的源 IP 地址以及调用的发生调用的发生调用的发生调用的发生调用的发生调用的发生调用的发生调用的发生调用的发生调用的源 IP 地址。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED，则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外，当AWS启动新区域时， CloudTrail 将在新区域中创建相同的路径。因此，您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。
3.3	确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问	s3-bucket-public-read-prohibited	通过仅允许授权用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
3.3	确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问	s3-bucket-public-write-prohibited	通过仅允许授权用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。
3.3	确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问	s3-bucket-level-public-access-禁止	通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶，管理对AWS云中资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。
3.4	确保 CloudTrail 跟踪与 CloudWatch日志集成	cloud-trail-cloud-watch-启用日志	使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。
3.6	确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录	s3-bucket-logging-enabled	Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了监控 Web 以防潜在网络安全事件的方法。通过捕获对 Amazon S3 存储桶提出的请求的详细记录来监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码（如果相关）。
4.1	确保存在针对未授权的 API 调用的日志指标筛选器和警报	alarm-unauthorized-api-calls （过程检查）	确保存在日志指标筛选器，并针对未经授权的 API 调用发出警报。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
4.2	确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报	alarm-sign-in-without-mfa（进程检查）	确保在不使用Multi-Factor Authentication (MFA) 的情况下登录AWS管理控制台时存在日志指标筛选器和警报。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
4.3	确保存在用于使用 “根” 账户的日志指标筛选器和警报	alarm-root-account-use （过程检查）	确保存在针对根账户使用情况的日志指标筛选器和警报。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
4.4	确保存在针对 IAM 策略更改的日志指标筛选器和警报	alarm-iam-policy-change （过程检查）	确保存在日志指标筛选条件和警报，以防止 IAM 策略更改。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
4.5	确保存在用于 CloudTrail配置更改的日志指标筛选器和警报	alarm-cloudtrail-config-change （过程检查）	确保存在日志指标筛选器和AWS CloudTrail 配置更改警报。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
4.8	确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报	alarm-s3-bucket-policy-change （进程检查）	确保存在日志指标筛选条件和 Amazon S3 存储桶策略更改警报。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
4.12	确保存在日志指标过滤器和警报，以防网络网关的更改	alarm-vpc-network-gateway-更改（流程检查）	确保存在日志指标筛选器，并针对网络网关的更改发出警报。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
4.13	确保存在针对路由表更改的日志指标过滤器和警报	alarm-vpc-route-table-更改（流程检查）	确保存在日志指标过滤器和路由表更改警报。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
4.14	确保存在针对 VPC 更改的日志指标筛选器和警报	alarm-vpc-change （过程检查）	确保针对Amazon Virtual Private Cloud (VPC) 更改的日志指标筛选器和警报。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
4.15	确保存在针对AWS Organizations 变更的日志指标筛选器和警报	alarm-organizations-change （过程检查）	确保存在日志指标筛选器和针对Organizations 变AWS更的警报。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
5.1	确保没有网络 ACL 允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.	nacl-no-unrestricted-ssh-rdp	确保没有网络 ACL 允许公共进入远程服务器管理端口。在控制台的 VPC 部分中，确保存在源为 “0.0.0.0/0” 的网络 ACL，允许的端口或端口范围包括远程服务器管理端口。有关该控制措施审计的更多详细信息，请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档，网址为 https://www.cisecurity.org/benchmark/amazon_web_services/
5.2	确保没有安全组允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.	restricted-sh	Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选，帮助管理网络访问。不允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
5.2	确保没有安全组允许从 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.	restricted-common-ports	通过确保 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上的通用端口来管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数（CIS 标准值：3389）。实际值应反映贵组织的政策。

模板

该模板可在以下网址获得 GitHub：CISAWS 基金会运营最佳实践基准 v1.4 级别 1。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

加拿大网络安全中心 (CCCS) 中型云控制配置文件的操作最佳实践

CISAWS 基金会运营最佳实践基准 v1.4 级别 2