本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CISAWS 基金会运营最佳实践基准 v1.4 级别 2
Conformance packs提供了通用的合规性框架,旨在使您能够使用托管或自定义AWS Config规则和AWS Config补救措施来创建安全、运营或成本优化治理检查。作为示例模板的Conformance Packs并不是为了完全确保符合特定的治理或合规性标准而设计的。您有责任自行评估您对服务的使用是否符合适用的法律和监管要求。
以下提供了互联网安全中心 (CIS) Amazon Web Services 基金会 v1.4 第 2 级与AWS托管Config 规则/AWS Config 流程检查之间的示例映射。每条 Config 规则都适用于特定AWS资源,并与一个或多个 CIS Amazon Web Services Foundation v1.4 第 2 级控件相关。CIS Amazon Web Services Foundation v1.4 第 2 级控件可以与多个Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。
有关流程检查的更多信息,请参阅流程检查。
AWS 区域: 除了(美国东部)、AWS GovCloud (美国西部)和中东AWS GovCloud (巴林)之外的所有支持一致性包AWS 区域的地方(区域支持)
| 控制 ID | 控件描述 | AWSConfig 规则 | 指导 |
|---|---|---|---|
| 1.1 | 保持当前的联系方式 | account-contact-details-configured (过程检查) | 确保AWS帐户的联系电子邮件和电话号码是最新的,并映射到组织中的多个人。在控制台的 “我的帐户” 部分中,确保在 “联系信息” 部分指定了正确的信息。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.2 | 确保安全联系人信息已注册 | account-security-contact-configured (过程检查) | 确保您的组织安全团队的联系电子邮件和电话号码是最新的。在AWS管理控制台的 “我的帐户” 部分中,确保在 “安全” 部分指定了正确的信息。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.3 | 确保AWS账户中已注册安全问题 | account-security-questions-configured (过程检查) | 确保配置了可用于对致电AWS客户服务寻求支持的个人进行身份验证的安全问题。在AWS管理控制台的 “我的帐户” 部分中,确保配置了三个安全挑战问题。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.4 | 确保不存在 “root” 用户访问密钥 | 通过检查根用户的Identity and Access ManagemAWS ent (IAM) 角色是否附加访问密钥,可以控制对系统和资产的访问权限。确保删除根访问密钥。相反,创建和使用基于角色的AWS帐户来帮助纳入功能最少的原则。 | |
| 1.5 | 确保为 “根” 用户启用 MFA | 通过确保为根用户启用 MFA 来管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1.6 | 确保为 “根” 用户账户启用硬件 MFA | 通过确保为根用户启用硬件 MFA,管理对AWS云中资源的访问权限。根用户是AWS账户中权限最高的用户。MFA 为登录凭证增加了一层额外的保护。通过要求根用户使用 MFA,可以减少AWS账户被入侵的发生。 | |
| 1.7 | 避免使用 “root” 用户执行管理和日常任务 | root-account-regular-use (过程检查) | 确保避免在日常任务中使用 root 帐户。在 IAM 中,运行证书报告以检查上次使用根用户的时间。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.8 | 确保 IAM 密码策略要求的最小长度为 14 或更长 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters (AWS基础安全最佳实践值:true)、 RequireLowercaseCharacters (AWS基础安全最佳实践值:true)、 RequireSymbols (AWS基础安全最佳实践值:true)、 RequireNumbers (AWS基础安全最佳实践值:true)、 MinimumPasswordLength (AWS基础安全最佳实践值:14)、 PasswordReusePrevention(AWS基础安全最佳实践值:24)和 MaxPasswordAge(AWS基础安全最佳实践值:90)I密码策略。实际值应反映贵组织的政策。 | |
| 1.9 | 确保 IAM 密码策略防止密码重用 | 身份和证书是根据组织的 IAM 密码策略颁发、管理和验证的。它们达到或超过了 NIST SP 800-63 和密码强度AWS基础安全最佳实践标准规定的要求。此规则允许您根据需要设置 RequireUppercaseCharacters (AWS基础安全最佳实践值:true)、 RequireLowercaseCharacters (AWS基础安全最佳实践值:true)、 RequireSymbols (AWS基础安全最佳实践值:true)、 RequireNumbers (AWS基础安全最佳实践值:true)、 MinimumPasswordLength (AWS基础安全最佳实践值:14)、 PasswordReusePrevention(AWS基础安全最佳实践值:24)和 MaxPasswordAge(AWS基础安全最佳实践值:90)I密码策略。实际值应反映贵组织的政策。 | |
| 1.10 | 确保为所有拥有控制台密码的用户启用多重身份验证 (MFA) | 通过确保所有拥有控制台密码的Identity and Access ManagemAWS ent (IAM) 用户启用 MFA 来管理对AWS云中资源的访问权限。MFA 在登录凭证之上增加了一层额外的保护。通过要求用户使用 MFA,您可以减少账户被盗事件,并防止未经授权的用户访问敏感数据。 | |
| 1.11 | 在初始用户设置期间,不要为所有拥有控制台密码的用户设置访问密钥 | iam-user-console-and-api-access-at-creation (流程检查) | 确保在初始用户设置期间未为所有拥有控制台密码的用户设置访问密钥。对于所有具有控制台访问权限的用户,将用户的 “创建时间” 与访问密钥 “创建” 日期进行比较。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.12 | 确保禁用未使用 45 天或更长时间的证书 | AWSIdentity and Access Management (IAM) 可以通过检查在指定时间段内未使用的 IAM 密码和访问密钥来帮助您获得访问权限和授权。如果识别出这些未使用的证书,则应禁用和/或删除这些证书,因为这可能违反最小权限原则。此规则要求您为 maxCredentialUsage年龄设置一个值(CIS 标准值:45)。实际价值应反映贵组织的政策。 | |
| 1.13 | 确保任何单个用户都只有一个有效的访问密钥可用 | iam-user-single-access-key(进程检查) | 确保任何单个用户都只有一个有效的访问密钥可用。对于所有用户,请检查 IAM 中每个用户的 “安全证书” 选项卡中是否仅使用一个有效密钥。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.14 | 确保每 90 天或更短时间轮换访问密钥 | 通过确保 IAM 访问密钥按照组织政策轮换,对授权设备、用户和流程的证书进行审计。定期更改访问密钥是一种最佳安全实践。它缩短了访问密钥的有效时间,并减少了密钥泄露时对业务的影响。此规则需要访问密钥轮换值(Config 默认值:90)。实际价值应反映贵组织的政策。 | |
| 1.15 | 确保用户仅通过群组获得权限 | 此规则确保IdAWS entity and Access Management (IAM) 策略仅附加到组或角色以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。 | |
| 1.15 | 确保用户仅通过群组获得权限 | 确保IdAWS entity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有内联策略来控制对系统和资产的访问权限。 AWS建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制和回滚以及委托权限管理。 | |
| 1.15 | 确保用户仅通过群组获得权限 | AWSIdentity and Access Management (IAM) 可以确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。允许用户超过完成任务所需的权限可能违反最小权限和职责分离的原则。 | |
| 1.16 | 确保不附加允许完整 “*: *” 管理权限的 IAM 策略 | AWSIdentity and Access Management (IAM) 可以帮助您将最低权限和职责分离的原则与访问权限和授权相结合,限制策略中包含 “效果”:“允许” 和 “操作”:“*” 而不是 “资源”:“*”。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 | |
| 1.17 | 确保已创建Support 角色来管理AWS支持人员 | AWSIdentity and Access Management (IAM) 可通过确保将 IAM 策略分配给相应的用户、角色或群组来帮助您管理访问权限和授权。限制这些政策还包括最低特权和职责分离的原则。这条规则要求你将 Policyarn 设置为 arn: iamam:: aws: policy/AWSSupportAccess,以便在SuAWS pport 部门进行事件管理。 | |
| 1.18 | 确保使用 IAM 实例角色从实例访问AWS资源 | EC2 实例配置文件会将 IM 角色传递给 EC2 实例。将实例配置文件附加到您的实例可以帮助进行最低权限和权限管理。 | |
| 1.19 | 确保删除AWS IAM 中存储的所有过期 SSL/TLS 证书 | iam-expired-certificates (过程检查) | 确保删除 IAM 中存储的所有过期 SSL/TLS 证书。在已安装的AWS CLI 的命令行中运行 “AWSi list-server-certificates am” 命令并确定是否有任何过期的服务器证书。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.20 | 确保AWS IM Amaccess Analyzer | iam-access-analyzer-enabled (过程检查) | 确保 IM Amacccess Analyzer An 在控制台的 IAM 部分中,选择 Access Analyzer 并确保状态设置为 “活动”。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.21 | 确保通过身份联盟或多账户环境的OrganizatiAWS ons 对用户进行集中管理 | account-part-of-organizations | OrganizatiAWS ons 内部AWS账户的集中管理有助于确保账户合规。缺乏集中式账户治理可能会导致账户配置不一致,这可能会暴露资源和敏感数据。 |
| 2.1.1 | 确保所有 S3 存储桶都使用 encryption-at-rest | 为了帮助保护静态数据,请确保对 Amazon Simple Storage Service (Amazon S3) 存储桶启用加密。由于敏感数据可能静态存在于 Amazon S3 存储桶中,因此启用加密以帮助保护这些数据。 | |
| 2.1.2 | 确保 S3 存储桶策略设置为拒绝 HTTP 请求 | 为了帮助保护传输中的数据,请确保您的Amazon Simple Storage Service (Amazon S3) 存储桶需要请求才能使用安全套接字层 (SSL)。由于敏感数据可能存在,因此请在传输过程中启用加密以帮助保护这些数据。 | |
| 2.1.3 | 确保在 S3 存储桶上启用 MFA 删除 | Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保留在同一 Amazon S3 存储桶中。将多因素身份验证 (MFA) 删除添加到 S3 存储桶需要额外的身份验证因素才能更改存储桶的版本状态或删除对象版本。如果安全证书遭到泄露或被授予未经授权的访问,MFA 删除可以增加额外的安全层。 | |
| 2.1.5 | 确保 S3 存储桶配置为 “阻止公共访问(存储桶设置)” | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问。该规则通过防止公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。此规则允许您选择设置 ignorePublicAcls (Config 默认值:True)、 blockPublicPolicy (Config 默认值:True)、 blockPublicAcls (Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的政策。 | |
| 2.1.5 | 确保 S3 存储桶配置为 “阻止公共访问(存储桶设置)” | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| 2.2.1 | 确保 EBS 卷加密 | 由于敏感数据可能存在并且为了帮助保护静态数据,请确保对 Amazon EElastic Block Store (Amazon EBS) 卷启用加密。 | |
| 2.2.1 | 确保 EBS 卷加密 | 为了帮助保护静态数据,请确保对您的 Amazon EElastic Block Store (Amazon EBS) 卷启用加密。由于敏感数据可能静态存在于这些卷中,因此启用静态加密以帮助保护这些数据。 | |
| 2.3.1 | 确保为 RDS 实例启用加密 | 确保您的Amazon Relational Database Service (Amazon RDS) 快照启用加密。由于敏感数据可能处于静态状态,因此启用静态加密以帮助保护这些数据。 | |
| 2.3.1 | 确保为 RDS 实例启用加密 | 为了帮助保护静态数据,请确保为 Amazon Relational Databasatabase Service (Amazon RDS) 实例启用加密。由于敏感数据可能静态存在于 Amazon RDS 实例中,因此启用静态加密以帮助保护这些数据。 | |
| 3.1 | 确保 CloudTrail 在所有区域都已启用 | AWS CloudTrail 记录AWS管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了AWS、从中发出调用的源 IP 地址以及调用的发生时间。 CloudTrail 如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,则会将所有AWS区域的日志文件传输到您的 S3 存储桶。此外,当AWS启动新区域时, CloudTrail 将在新区域中创建相同的路径。因此,您无需采取任何操作即可收到包含新区域的 API 活动的日志文件。 | |
| 3.2 | 确保启用 CloudTrail 日志文件验证 | 利用AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 传送后是否被修改或删除或未更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。 | |
| 3.3 | 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 | 通过仅允许授权用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。 | |
| 3.3 | 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 | 通过仅允许授权用户、流程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问。访问管理应与数据的分类保持一致。 | |
| 3.3 | 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问 | 通过确保无法公开访问 Amazon Simple Storage Service (Amazon S3) 存储桶,管理对AWS云中资源的访问。该规则通过防止存储段级别的公共访问来帮助保护敏感数据免受未经授权的远程用户的侵害。 | |
| 3.4 | 确保 CloudTrail 跟踪与 CloudWatch日志集成 | CloudWatch 使用亚马逊集中收集和管理日志事件活动。包含AWS CloudTrail 数据可提供您AWS账户内的 API 调用活动的详细信息。 | |
| 3.5 | 确保在所有区域都启用了AWS Config | config-enabled-all-regions (过程检查) | 确保在所有AWS区域都启用了AWS Config。在控制台的AWS Config 部分中,对于每个启用的区域,确保AWS Config 记录器配置正确。确保至少在一个区域启用全球AWS资源记录。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 3.6 | 确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 | Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录提供了一种监视网络是否有潜在网络安全事件的方法。通过捕获对 Amazon S3 存储桶提出的各种请求的详细记录来监控。每条访问日志记录都提供有关单个访问请求的详细信息。详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。 | |
| 3.7 | 确保使用 KMS CMK 对 CloudTrail 日志进行静态加密 | 由于敏感数据可能存在,为了帮助保护静态数据,请确保为您的AWS CloudTrail跟踪启用加密。 | |
| 3.8 | 确保启用客户创建的 CMK 的轮换 | 启用密钥轮换,确保密钥在加密周期结束后轮换。 | |
| 3.9 | 确保在所有 VPC 中启用 VPC 流量记录 | VPC 流日志详细地记录有关在您的Amazon Virtual Private Cloud (Amazon VPC) 中传入和传出网络接口的 IP 流量的信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| 3.10 | 确保 S3 存储桶的写入事件的对象级日志记录已启用 | Simple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 3.11 | 确保 S3 存储桶的读取事件的对象级日志记录已启用 | Simple Storage Service (Amazon S3) 数据事件的收集有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的AWS账户信息、IP 地址和事件时间。 | |
| 4.1 | 确保存在针对未授权的 API 调用的日志指标过滤器和警报 | alarm-unauthorized-api-calls (过程检查) | 确保存在日志指标筛选器,并针对未经授权的 API 调用发出警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.2 | 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报 | alarm-sign-in-without-mfa(进程检查) | 确保在不使用Multi-Factor Authentication (MFA) 的情况下登录AWS管理控制台时存在日志指标筛选器和警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.3 | 确保存在用于使用 “根” 账户的日志指标筛选器和警报 | alarm-root-account-use (过程检查) | 确保存在针对根账户使用情况的日志指标筛选器和警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.4 | 确保存在针对 IAM 策略更改的日志指标筛选器和警报 | alarm-iam-policy-change (过程检查) | 确保存在日志指标筛选条件和警报,以防止 IAM 策略更改。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.5 | 确保存在用于 CloudTrail配置更改的日志指标筛选器和警报 | alarm-cloudtrail-config-change (过程检查) | 确保存在日志指标筛选器和AWS CloudTrail 配置更改警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.6 | 确保存在AWS管理控制台身份验证失败的日志指标筛选器和警报 | alarm-console-auth-failures (过程检查) | 确保存在日志指标筛选器和针对AWS管理控制台身份验证失败的警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.7 | 确保存在用于禁用或计划删除客户创建的 CMK 的日志指标筛选器和警报 | alarm-kms-disable-or-delete-cmk(进程检查) | 确保存在日志指标筛选器和警报,用于禁用或计划删除客户创建的 CMK。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.8 | 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报 | 警报-3-bucket-policy-change (进程检查) | 确保存在日志指标筛选条件和 Amazon S3 存储桶策略更改警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.9 | 确保存在针对AWS Config 配置更改的日志指标筛选器和警报 | alarm-aws-config-change (过程检查) | 确保存在日志指标筛选器和针对AWS Config 配置更改的警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.10 | 确保存在针对安全组更改的日志指标筛选器和警报 | alarm-vpc-secrity-group-更改(流程检查) | 确保存在日志指标筛选器和针对安全组更改的警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.11 | 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报 | alarm-vpc-nacl-change (过程检查) | 确保存在日志指标筛选器,并针对网络访问控制列表 (NACL) 的更改发出警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.12 | 确保存在日志指标过滤器和警报,以防网络网关的更改 | alarm-vpc-network-gateway-更改(流程检查) | 确保存在日志指标筛选器,并针对网络网关的更改发出警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.13 | 确保存在针对路由表更改的日志指标过滤器和警报 | alarm-vpc-route-table-更改(流程检查) | 确保存在日志指标过滤器和路由表更改警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.14 | 确保存在针对 VPC 更改的日志指标筛选器和警报 | alarm-vpc-change (过程检查) | 确保存在日志指标筛选器,以及针对Amazon Virtual Private Cloud (VPC) 更改的警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.15 | 确保存在针对AWS Organizations 变更的日志指标筛选器和警报 | alarm-organizations-change (过程检查) | 确保存在日志指标筛选器和针对Organizations 变AWS更的警报。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 5.1 | 确保没有网络 ACL 允许从 0.0.0/0 进入远程服务器管理端口 | 确保没有网络 ACL 允许公共进入远程服务器管理端口。在控制台的 VPC 部分中,确保存在源为 “0.0.0.0/0” 的网络 ACL,允许的端口或端口范围包括远程服务器管理端口。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ | |
| 5.2 | 确保没有安全组允许从 0.0.0/0 进入远程服务器管理端口 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。在资源上不允许从 0.0.0/0 到端口 22 的入口(或远程)流量有助于限制远程访问。 | |
| 5.2 | 确保没有安全组允许从 0.0.0/0 进入远程服务器管理端口 | 通过确保在 Amazon Elastic ComputeAWS Cloud (Amazon EC2) 安全组上限制通用端口,管理对云中资源的访问。不限制可信来源对端口的访问可能会导致对系统的可用性、完整性和机密性的攻击。这条规则允许你有选择地设置 BlockedPort1-BlockedPort5 参数(CIS 标准值:3389)。实际值应反映贵组织的政策。 | |
| 5.3 | 确保每个 VPC 的默认安全组限制所有流量 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对AWS资源的入口和出口网络流量进行状态筛选,帮助管理网络访问。限制默认安全组上的所有流量有助于限制对AWS资源的远程访问。 | |
| 5.4 | 确保 VPC 对等互连的路由表是 “最少访问权限” | vpc-peering-least-access (过程检查) | 确保 Amazon VPC 对等互连的路由表是 “最少访问权限”。在控制台的 VPC 部分中,检查路由表条目,确保实现对等互连目的所需的最少子网或主机是可路由的。有关该控制措施审计的更多详细信息,请参阅 CIS Amazon Web Services Foundations Benchmark 版本 1.4.0 文档,网址为 https://www.cisecurity.org/benchmark/amazon_web_services/ |
模板
该模板可在以下网址获得 GitHub:CISAWS 基金会运营最佳实践 Benchmark v1.4 第 2 级
