PCI DSS 3.2.1 操作最佳实践 - AWS Config

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

PCI DSS 3.2.1 操作最佳实践

合规包提供了一个通用合规框架,旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板,合规包并不是为了完全确保遵守特定的治理或合规性标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。

下面提供支付卡行业数据安全标准 (PCI DSS) 3.2.1 和 AWS 托管 Config 规则之间的映射示例。每条 AWS Config 规则都适用于特定的 AWS 资源,并与一个或多个 PCI DSS 控制有关。一个 PCI DSS 控制可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。

控制 ID 控制描述 AWS Config 规则 指南
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

alb-desync-mode-check

为了帮助保护应用程序免受 HTTP Desync 漏洞的影响,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,并使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括“监控”、“防御”和“最严格”。默认模式是防御。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancers (ELB) 已配置为丢弃 http 标头。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可对 AWS 资源的入口和出口网络流量进行有状态过滤,从而帮助管理网络访问。不允许您资源上的入口(或远程)流量从 0.0.0.0/0 进入端口 22 有助于限制远程访问。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

autoscaling-launch-config-public-ip-disabled

如果您使用公有 IP 地址配置网络接口,则可以从互联网访问这些网络接口的相关资源。EC2 资源不应可公开访问,因为这可能会允许意外地访问您的应用程序或服务器。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

dms-replication-not-public

通过确保 DMS 复制实例无法公开访问来管理对 AWS 云的访问。DMS 复制实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原来管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,因此需要对此类账户进行访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

ec2-instance-no-public-ip

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例无法公开访问来管理对 AWS 云的访问。Amazon EC2 实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

elasticsearch-in-vpc-only

通过确保 Amazon OpenSearch Service (OpenSearch Service) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点无法公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可能包含敏感信息,因此需要对此类账户进行访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 内部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以实现实例与 Amazon VPC 内其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

lambda-function-public-access-prohibited

通过确保 AWS Lambda 函数无法公开访问,来管理对 AWS 云中资源的访问。公开访问可能导致资源可用性下降。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在 Amazon VPC 中的函数和其他服务之间进行安全通信。使用此配置时,不需要互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。为了正确管理访问权限,应将 AWS Lambda 函数分配给 VPC。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

netfw-stateless-rule-group-not-empty

AWS Network Firewall 规则组包含的规则定义您的防火墙如何处理您的 VPC 中的流量。防火墙策略中空的无状态规则组不会处理流量。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

no-unrestricted-route-to-igw

确保 Amazon EC2 路由表中没有指向互联网网关的无限制路由。移除或限制 Amazon VPC 内工作负载的互联网访问可以减少环境中的意外访问。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

opensearch-in-vpc-only

通过确保 Amazon OpenSearch Service 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 Amazon OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有的,来管理对 AWS 云中资源的访问。Amazon Redshift 集群可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

restricted-common-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映贵组织的策略。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

s3-account-level-public-access-blocks-periodic

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

s3-bucket-level-public-access-prohibited

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

s3-bucket-public-read-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

s3-bucket-public-write-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

sagemaker-notebook-no-direct-internet-access

通过确保 Amazon SageMaker 笔记本不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

ssm-document-not-public

确保 AWS Systems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可能会公开有关您的账户、资源和内部流程的信息。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

subnet-auto-assign-public-ip-disabled

通过确保 Amazon Virtual Private Cloud (VPC) 子网不会自动分配公有 IP 地址,来管理对 AWS 云的访问。Amazon Elastic Compute Cloud (EC2) 实例在启用此属性的子网中启动时,其主网络接口会分配一个公有 IP 地址。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量,并明确拒绝所有其他流量。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。通过限制从互联网 (0.0.0.0/0) 访问安全组内的资源,可以控制对内部系统的远程访问。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

alb-desync-mode-check

为了帮助保护应用程序免受 HTTP Desync 漏洞的影响,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,并使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括“监控”、“防御”和“最严格”。默认模式是防御。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancers (ELB) 已配置为丢弃 http 标头。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可对 AWS 资源的入口和出口网络流量进行有状态过滤,从而帮助管理网络访问。不允许您资源上的入口(或远程)流量从 0.0.0.0/0 进入端口 22 有助于限制远程访问。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

autoscaling-launch-config-public-ip-disabled

如果您使用公有 IP 地址配置网络接口,则可以从互联网访问这些网络接口的相关资源。EC2 资源不应可公开访问,因为这可能会允许意外地访问您的应用程序或服务器。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

dms-replication-not-public

通过确保 DMS 复制实例无法公开访问来管理对 AWS 云的访问。DMS 复制实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原来管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

ec2-instance-no-public-ip

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例无法公开访问来管理对 AWS 云的访问。Amazon EC2 实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

elasticsearch-in-vpc-only

通过确保 Amazon OpenSearch Service (OpenSearch Service) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点无法公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 内部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以实现实例与 Amazon VPC 内其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

lambda-function-public-access-prohibited

通过确保 AWS Lambda 函数无法公开访问,来管理对 AWS 云中资源的访问。公开访问可能导致资源可用性下降。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在 Amazon VPC 中的函数和其他服务之间进行安全通信。使用此配置时,不需要互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。为了正确管理访问权限,应将 AWS Lambda 函数分配给 VPC。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

netfw-stateless-rule-group-not-empty

AWS Network Firewall 规则组包含的规则定义您的防火墙如何处理您的 VPC 中的流量。防火墙策略中空的无状态规则组不会处理流量。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

no-unrestricted-route-to-igw

确保 Amazon EC2 路由表中没有指向互联网网关的无限制路由。移除或限制 Amazon VPC 内工作负载的互联网访问可以减少环境中的意外访问。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

opensearch-in-vpc-only

通过确保 Amazon OpenSearch Service 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 Amazon OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有的,来管理对 AWS 云中资源的访问。Amazon Redshift 集群可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

restricted-common-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映贵组织的策略。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

s3-account-level-public-access-blocks-periodic

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

s3-bucket-level-public-access-prohibited

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

s3-bucket-public-read-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

s3-bucket-public-write-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

sagemaker-notebook-no-direct-internet-access

通过确保 Amazon SageMaker 笔记本不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

ssm-document-not-public

确保 AWS Systems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可能会公开有关您的账户、资源和内部流程的信息。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

subnet-auto-assign-public-ip-disabled

通过确保 Amazon Virtual Private Cloud (VPC) 子网不会自动分配公有 IP 地址,来管理对 AWS 云的访问。Amazon Elastic Compute Cloud (EC2) 实例在启用此属性的子网中启动时,其主网络接口会分配一个公有 IP 地址。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
1.3 禁止互联网与持卡人数据环境中的任何系统组件之间的直接公共访问。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。通过限制从互联网 (0.0.0.0/0) 访问安全组内的资源,可以控制对内部系统的远程访问。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

alb-desync-mode-check

为了帮助保护应用程序免受 HTTP Desync 漏洞的影响,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,并使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括“监控”、“防御”和“最严格”。默认模式是防御。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancers (ELB) 已配置为丢弃 http 标头。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可对 AWS 资源的入口和出口网络流量进行有状态过滤,从而帮助管理网络访问。不允许您资源上的入口(或远程)流量从 0.0.0.0/0 进入端口 22 有助于限制远程访问。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

autoscaling-launch-config-public-ip-disabled

如果您使用公有 IP 地址配置网络接口,则可以从互联网访问这些网络接口的相关资源。EC2 资源不应可公开访问,因为这可能会允许意外地访问您的应用程序或服务器。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

dms-replication-not-public

通过确保 DMS 复制实例无法公开访问来管理对 AWS 云的访问。DMS 复制实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原来管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

ec2-instance-no-public-ip

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例无法公开访问来管理对 AWS 云的访问。Amazon EC2 实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

elasticsearch-in-vpc-only

通过确保 Amazon OpenSearch Service (OpenSearch Service) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点无法公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 内部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以实现实例与 Amazon VPC 内其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

lambda-function-public-access-prohibited

通过确保 AWS Lambda 函数无法公开访问,来管理对 AWS 云中资源的访问。公开访问可能导致资源可用性下降。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在 Amazon VPC 中的函数和其他服务之间进行安全通信。使用此配置时,不需要互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。为了正确管理访问权限,应将 AWS Lambda 函数分配给 VPC。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

netfw-stateless-rule-group-not-empty

AWS Network Firewall 规则组包含的规则定义您的防火墙如何处理您的 VPC 中的流量。防火墙策略中空的无状态规则组不会处理流量。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

opensearch-in-vpc-only

通过确保 Amazon OpenSearch Service 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 Amazon OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有的,来管理对 AWS 云中资源的访问。Amazon Redshift 集群可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

restricted-common-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映贵组织的策略。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

s3-account-level-public-access-blocks-periodic

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

s3-bucket-level-public-access-prohibited

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

s3-bucket-public-read-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

s3-bucket-public-write-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

sagemaker-notebook-no-direct-internet-access

通过确保 Amazon SageMaker 笔记本不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

ssm-document-not-public

确保 AWS Systems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可能会公开有关您的账户、资源和内部流程的信息。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

subnet-auto-assign-public-ip-disabled

通过确保 Amazon Virtual Private Cloud (VPC) 子网不会自动分配公有 IP 地址,来管理对 AWS 云的访问。Amazon Elastic Compute Cloud (EC2) 实例在启用此属性的子网中启动时,其主网络接口会分配一个公有 IP 地址。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
1.3.1 实施一个 DMZ,以将入站流量限制为仅提供授权的可公开访问服务、协议和端口的系统组件。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。通过限制从互联网 (0.0.0.0/0) 访问安全组内的资源,可以控制对内部系统的远程访问。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

alb-desync-mode-check

为了帮助保护应用程序免受 HTTP Desync 漏洞的影响,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,并使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括“监控”、“防御”和“最严格”。默认模式是防御。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancers (ELB) 已配置为丢弃 http 标头。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可对 AWS 资源的入口和出口网络流量进行有状态过滤,从而帮助管理网络访问。不允许您资源上的入口(或远程)流量从 0.0.0.0/0 进入端口 22 有助于限制远程访问。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

autoscaling-launch-config-public-ip-disabled

如果您使用公有 IP 地址配置网络接口,则可以从互联网访问这些网络接口的相关资源。EC2 资源不应可公开访问,因为这可能会允许意外地访问您的应用程序或服务器。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

dms-replication-not-public

通过确保 DMS 复制实例无法公开访问来管理对 AWS 云的访问。DMS 复制实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原来管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

ec2-instance-no-public-ip

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例无法公开访问来管理对 AWS 云的访问。Amazon EC2 实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

elasticsearch-in-vpc-only

通过确保 Amazon OpenSearch Service (OpenSearch Service) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点无法公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 内部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以实现实例与 Amazon VPC 内其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

lambda-function-public-access-prohibited

通过确保 AWS Lambda 函数无法公开访问,来管理对 AWS 云中资源的访问。公开访问可能导致资源可用性下降。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在 Amazon VPC 中的函数和其他服务之间进行安全通信。使用此配置时,不需要互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。为了正确管理访问权限,应将 AWS Lambda 函数分配给 VPC。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

netfw-stateless-rule-group-not-empty

AWS Network Firewall 规则组包含的规则定义您的防火墙如何处理您的 VPC 中的流量。防火墙策略中空的无状态规则组不会处理流量。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

opensearch-in-vpc-only

通过确保 Amazon OpenSearch Service 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 Amazon OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有的,来管理对 AWS 云中资源的访问。Amazon Redshift 集群可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

restricted-common-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映贵组织的策略。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

s3-account-level-public-access-blocks-periodic

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

s3-bucket-level-public-access-prohibited

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

s3-bucket-public-read-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

s3-bucket-public-write-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

sagemaker-notebook-no-direct-internet-access

通过确保 Amazon SageMaker 笔记本不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

ssm-document-not-public

确保 AWS Systems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可能会公开有关您的账户、资源和内部流程的信息。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

subnet-auto-assign-public-ip-disabled

通过确保 Amazon Virtual Private Cloud (VPC) 子网不会自动分配公有 IP 地址,来管理对 AWS 云的访问。Amazon Elastic Compute Cloud (EC2) 实例在启用此属性的子网中启动时,其主网络接口会分配一个公有 IP 地址。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
1.3.2 将入站互联网流量限制为 DMZ 中的 IP 地址。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。通过限制从互联网 (0.0.0.0/0) 访问安全组内的资源,可以控制对内部系统的远程访问。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

alb-desync-mode-check

为了帮助保护应用程序免受 HTTP Desync 漏洞的影响,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,并使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括“监控”、“防御”和“最严格”。默认模式是防御。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

alb-http-drop-invalid-header-enabled

确保您的 Elastic Load Balancers (ELB) 已配置为丢弃 http 标头。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可对 AWS 资源的入口和出口网络流量进行有状态过滤,从而帮助管理网络访问。不允许您资源上的入口(或远程)流量从 0.0.0.0/0 进入端口 22 有助于限制远程访问。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

autoscaling-launch-config-public-ip-disabled

如果您使用公有 IP 地址配置网络接口,则可以从互联网访问这些网络接口的相关资源。EC2 资源不应可公开访问,因为这可能会允许意外地访问您的应用程序或服务器。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

dms-replication-not-public

通过确保 DMS 复制实例无法公开访问来管理对 AWS 云的访问。DMS 复制实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原来管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

ec2-instance-no-public-ip

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例无法公开访问来管理对 AWS 云的访问。Amazon EC2 实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

elasticsearch-in-vpc-only

通过确保 Amazon OpenSearch Service (OpenSearch Service) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点无法公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 内部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以实现实例与 Amazon VPC 内其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

lambda-function-public-access-prohibited

通过确保 AWS Lambda 函数无法公开访问,来管理对 AWS 云中资源的访问。公开访问可能导致资源可用性下降。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在 Amazon VPC 中的函数和其他服务之间进行安全通信。使用此配置时,不需要互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。为了正确管理访问权限,应将 AWS Lambda 函数分配给 VPC。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

netfw-stateless-rule-group-not-empty

AWS Network Firewall 规则组包含的规则定义您的防火墙如何处理您的 VPC 中的流量。防火墙策略中空的无状态规则组不会处理流量。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

no-unrestricted-route-to-igw

确保 Amazon EC2 路由表中没有指向互联网网关的无限制路由。移除或限制 Amazon VPC 内工作负载的互联网访问可以减少环境中的意外访问。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

opensearch-in-vpc-only

通过确保 Amazon OpenSearch Service 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 Amazon OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有的,来管理对 AWS 云中资源的访问。Amazon Redshift 集群可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

restricted-common-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映贵组织的策略。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

s3-account-level-public-access-blocks-periodic

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

s3-bucket-level-public-access-prohibited

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

s3-bucket-public-read-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

s3-bucket-public-write-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

sagemaker-notebook-no-direct-internet-access

通过确保 Amazon SageMaker 笔记本不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

ssm-document-not-public

确保 AWS Systems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可能会公开有关您的账户、资源和内部流程的信息。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

subnet-auto-assign-public-ip-disabled

通过确保 Amazon Virtual Private Cloud (VPC) 子网不会自动分配公有 IP 地址,来管理对 AWS 云的访问。Amazon Elastic Compute Cloud (EC2) 实例在启用此属性的子网中启动时,其主网络接口会分配一个公有 IP 地址。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
1.3.4 不允许从持卡人数据环境到互联网的未经授权的出站流量。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。通过限制从互联网 (0.0.0.0/0) 访问安全组内的资源,可以控制对内部系统的远程访问。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可对 AWS 资源的入口和出口网络流量进行有状态过滤,从而帮助管理网络访问。不允许您资源上的入口(或远程)流量从 0.0.0.0/0 进入端口 22 有助于限制远程访问。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

autoscaling-launch-config-public-ip-disabled

如果您使用公有 IP 地址配置网络接口,则可以从互联网访问这些网络接口的相关资源。EC2 资源不应可公开访问,因为这可能会允许意外地访问您的应用程序或服务器。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

dms-replication-not-public

通过确保 DMS 复制实例无法公开访问来管理对 AWS 云的访问。DMS 复制实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原来管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

ec2-instance-no-public-ip

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例无法公开访问来管理对 AWS 云的访问。Amazon EC2 实例可能包含敏感信息,因此需要对此类账户进行访问控制。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

elasticsearch-in-vpc-only

通过确保 Amazon OpenSearch Service (OpenSearch Service) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 内部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以实现实例与 Amazon VPC 内其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

netfw-policy-rule-group-associated

AWS Network Firewall 策略定义您的防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来过滤数据包和流量,并定义默认流量处理方式。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

netfw-stateless-rule-group-not-empty

AWS Network Firewall 规则组包含的规则定义您的防火墙如何处理您的 VPC 中的流量。防火墙策略中空的无状态规则组不会处理流量。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

opensearch-in-vpc-only

通过确保 Amazon OpenSearch Service 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 Amazon OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有的,来管理对 AWS 云中资源的访问。Amazon Redshift 集群可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

restricted-common-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映贵组织的策略。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

s3-account-level-public-access-blocks-periodic

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

s3-bucket-level-public-access-prohibited

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

s3-bucket-public-read-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

s3-bucket-public-write-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

sagemaker-notebook-no-direct-internet-access

通过确保 Amazon SageMaker 笔记本不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

subnet-auto-assign-public-ip-disabled

通过确保 Amazon Virtual Private Cloud (VPC) 子网不会自动分配公有 IP 地址,来管理对 AWS 云的访问。Amazon Elastic Compute Cloud (EC2) 实例在启用此属性的子网中启动时,其主网络接口会分配一个公有 IP 地址。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
1.3.6 将存储持卡人数据的系统组件(例如数据库)放置在与 DMZ 和其他不受信任的网络隔离的内部网络区域中。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。通过限制从互联网 (0.0.0.0/0) 访问安全组内的资源,可以控制对内部系统的远程访问。
2.1 在网络上安装系统之前,始终更改供应商提供的默认设置,并删除或禁用不需要的默认账户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统账户、销售点 (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。

rds-cluster-default-admin-check

由于默认用户名是众所周知的,因此更改默认用户名有助于缩小 Amazon Relational Database Service (Amazon RDS) 数据库集群的攻击面。
2.1 在网络上安装系统之前,始终更改供应商提供的默认设置,并删除或禁用不需要的默认账户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统账户、销售点 (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。

rds-instance-default-admin-check

由于默认用户名是众所周知的,因此更改默认用户名有助于缩小 Amazon Relational Database Service (Amazon RDS) 数据库实例的攻击面。
2.1 在网络上安装系统之前,始终更改供应商提供的默认设置,并删除或禁用不需要的默认账户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统账户、销售点 (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。

redshift-default-admin-check

由于默认用户名是众所周知的,因此更改默认用户名有助于缩小 Amazon Redshift 集群的攻击面。
2.1 在网络上安装系统之前,始终更改供应商提供的默认设置,并删除或禁用不需要的默认账户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统账户、销售点 (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。

redshift-default-db-name-check

默认名称是众所周知的,应在配置时进行更改。更改 Amazon Redshift 集群的默认数据库名称有助于减少 Redshift 集群的攻击面。
2.1 在网络上安装系统之前,始终更改供应商提供的默认设置,并删除或禁用不需要的默认账户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统账户、销售点 (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。

root-account-mfa-enabled

通过确保为根用户启用 MFA,来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户进行 MFA,可以减少 AWS 账户被盗的事件。
2.1 在网络上安装系统之前,始终更改供应商提供的默认设置,并删除或禁用不需要的默认账户。这适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统账户、销售点 (POS) 终端、支付应用程序、简单网络管理协议 (SNMP) 社区字符串等使用的密码。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可对 AWS 资源的入口和出口网络流量进行有状态过滤,从而帮助管理网络访问。不允许您资源上的入口(或远程)流量从 0.0.0.0/0 进入端口 22 有助于限制远程访问。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将来自所有 AWS 区域的日志文件传输到您的 S3 存储桶。此外,当 AWS 推出新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您无需采取任何措施,即可收到包含新区域的 API 活动的日志文件。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

access-keys-rotated

通过确保按照组织政策轮换 IAM 访问密钥,对授权的设备、用户和流程的凭证进行审核。定期更改访问密钥是一种安全最佳实践。它会缩短访问密钥的有效期,并降低密钥泄露时对业务的影响。此规则需要访问密钥轮换值(配置默认值:90)。实际值应反映贵组织的策略。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

account-part-of-organizations

在 AWS Organizations 中集中管理 AWS 账户有助于确保账户合规。缺乏集中式账户管理可能会导致账户配置不一致,从而可能泄露资源和敏感数据。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

autoscaling-launch-config-public-ip-disabled

如果您使用公有 IP 地址配置网络接口,则可以从互联网访问这些网络接口的相关资源。EC2 资源不应可公开访问,因为这可能会允许意外地访问您的应用程序或服务器。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据可提供您的 AWS 账户中 API 调用活动的详细信息。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

cloud-trail-encryption-enabled

由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 AWS CloudTrail 跟踪启用了加密。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

cloud-trail-log-file-validation-enabled

利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 交付后是否被修改、删除或更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

cloudtrail-s3-dataevents-enabled

收集 Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

cmk-backing-key-rotation-enabled

启用密钥轮换,以确保密钥在加密周期结束后立即进行轮换。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于这些卷中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

ec2-instance-multiple-eni-check

此规则检查您的 Amazon Elastic Cloud (Amazon EC2) 实例是否有多个 ENI。拥有多个 ENI 可能会导致双宿主实例,即具有多个子网的实例。这可能会增加网络安全的复杂性,并引入意想不到的网络路径和访问。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • 系统管理员审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。AWSSystems Manager 会为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置以及有关您的环境的其他详细信息的基准。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

ec2-managedinstance-patch-compliance-status-check

启用此规则以帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此规则根据贵组织的政策和程序的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

ec2-security-group-attached-to-eni-periodic

此规则可确保将安全组附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例或 ENI。此规则有助于监控清单中未使用的安全组并管理您的环境。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

encrypted-volumes

由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制系统和资产访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委托权限管理。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,限制策略包含 "Effect": "Allow" with "Action": "*" over "Resource": "*"。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

iam-root-access-key-check

通过检查根用户的 AWS Identity and Access Management (IAM) 角色是否拥有访问密钥,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户来帮助纳入最少功能原则。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 可通过确保用户至少属于一个组来帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

iam-user-no-policies-check

此规则可确保仅将 AWS Identity and Access Management (IAM) 策略附加到组或角色,以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可以通过检查指定时间段内未使用的 IAM 密码和访问密钥,来帮助您获得访问权限和授权。如果发现这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能违反最低权限原则。此规则要求您为 maxCredentialUsageAge 设置一个值(Config 默认值:90)。实际值应反映贵组织的策略。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

mfa-enabled-for-iam-console-access

通过确保为所有拥有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA,来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户进行 MFA,您可以减少账户被盗事件,防止未经授权的用户访问敏感数据。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

restricted-common-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映贵组织的策略。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

root-account-hardware-mfa-enabled

通过确保为根用户启用硬件 MFA,来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户进行 MFA,可以减少 AWS 账户被盗的事件。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

root-account-mfa-enabled

通过确保为根用户启用 MFA,来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户进行 MFA,可以减少 AWS 账户被盗的事件。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

s3-account-level-public-access-blocks-periodic

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录可提供一种监控网络中是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录,来监控事件。每条访问日志记录都提供有关单个访问请求的详细信息。这些详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

s3-bucket-public-read-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

s3-bucket-public-write-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • 系统管理员审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持足够的容量和可用性。CRR 可在 Amazon S3 存储桶间自动异步复制对象,以帮助确保数据的可用性。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

s3-bucket-server-side-encryption-enabled

为了帮助保护静态数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用加密以帮助保护这些数据。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

s3-bucket-ssl-requests-only

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
2.2 为所有系统组件制订配置标准。确保这些标准解决了所有已知的安全漏洞,并与行业认可的系统强化标准保持一致。业界认可的系统强化标准的来源可能包括但不限于:• 互联网安全中心 (CIS) • 国际标准化组织 (ISO) • Sysadmin 审计网络安全 (SANS) 研究所 • 美国国家标准技术研究所 (NIST)。

vpc-flow-logs-enabled

VPC 流日志详细记录进出 Amazon Virtual Private Cloud (Amazon VPC) 网络接口的 IP 流量信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可对 AWS 资源的入口和出口网络流量进行有状态过滤,从而帮助管理网络访问。不允许您资源上的入口(或远程)流量从 0.0.0.0/0 进入端口 22 有助于限制远程访问。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

autoscaling-launch-config-public-ip-disabled

如果您使用公有 IP 地址配置网络接口,则可以从互联网访问这些网络接口的相关资源。EC2 资源不应可公开访问,因为这可能会允许意外地访问您的应用程序或服务器。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

dms-replication-not-public

通过确保 DMS 复制实例无法公开访问来管理对 AWS 云的访问。DMS 复制实例可能包含敏感信息,因此需要对此类账户进行访问控制。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

ebs-snapshot-public-restorable-check

通过确保 EBS 快照不可公开还原来管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,因此需要对此类账户进行访问控制。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

ec2-instance-no-public-ip

通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例无法公开访问来管理对 AWS 云的访问。Amazon EC2 实例可能包含敏感信息,因此需要对此类账户进行访问控制。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

emr-master-no-public-ip

通过确保 Amazon EMR 集群主节点无法公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可能包含敏感信息,因此需要对此类账户进行访问控制。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

ec2-instances-in-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 内部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以实现实例与 Amazon VPC 内其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

lambda-function-public-access-prohibited

通过确保 AWS Lambda 函数无法公开访问,来管理对 AWS 云中资源的访问。公开访问可能导致资源可用性下降。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

lambda-inside-vpc

在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在 Amazon VPC 中的函数和其他服务之间进行安全通信。使用此配置时,不需要互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。为了正确管理访问权限,应将 AWS Lambda 函数分配给 VPC。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

no-unrestricted-route-to-igw

确保 Amazon EC2 路由表中没有指向互联网网关的无限制路由。移除或限制 Amazon VPC 内工作负载的互联网访问可以减少环境中的意外访问。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

rds-instance-public-access-check

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

rds-snapshots-public-prohibited

通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

redshift-cluster-public-access-check

通过确保 Amazon Redshift 集群不是公有的,来管理对 AWS 云中资源的访问。Amazon Redshift 集群可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

restricted-common-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映贵组织的策略。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

s3-account-level-public-access-blocks-periodic

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

s3-bucket-level-public-access-prohibited

通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

s3-bucket-public-read-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

s3-bucket-public-write-prohibited

通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

sagemaker-notebook-no-direct-internet-access

通过确保 Amazon SageMaker 笔记本不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

ssm-document-not-public

确保 AWS Systems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可能会公开有关您的账户、资源和内部流程的信息。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

subnet-auto-assign-public-ip-disabled

通过确保 Amazon Virtual Private Cloud (VPC) 子网不会自动分配公有 IP 地址,来管理对 AWS 云的访问。Amazon Elastic Compute Cloud (EC2) 实例在启用此属性的子网中启动时,其主网络接口会分配一个公有 IP 地址。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

vpc-default-security-group-closed

Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。
2.2.2 仅启用系统运行所必需的服务、协议、守护程序等。

vpc-sg-open-only-to-authorized-ports

通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。通过限制从互联网 (0.0.0.0/0) 访问安全组内的资源,可以控制对内部系统的远程访问。
2.2.3 为任何被认为不安全的必需服务、协议或守护程序实施其他安全功能。

alb-desync-mode-check

为了帮助保护应用程序免受 HTTP Desync 漏洞的影响,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,并使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括“监控”、“防御”和“最严格”。默认模式是防御。
2.3 使用强大的加密技术对所有非控制台管理访问进行加密。

alb-http-to-https-redirection-check

为帮助保护传输中的数据,请确保应用负载均衡器自动将未加密的 HTTP 请求重定向到 HTTPS。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
2.3 使用强大的加密技术对所有非控制台管理访问进行加密。

api-gw-ssl-enabled

确保 Amazon API Gateway REST API 阶段配置了 SSL 证书,以允许后端系统验证请求来自 API Gateway。
2.3 使用强大的加密技术对所有非控制台管理访问进行加密。

elb-tls-https-listeners-only

确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
2.3 使用强大的加密技术对所有非控制台管理访问进行加密。

opensearch-https-required

由于可能存在敏感数据,并且为了帮助保护传输中数据,应确保为与您的 Amazon OpenSearch Service 域的连接启用 HTTPS。
2.3 使用强大的加密技术对所有非控制台管理访问进行加密。

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
2.4 保留 PCI DSS 范围内的系统组件的清单。

ec2-security-group-attached-to-eni-periodic

此规则可确保将安全组附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例或 ENI。此规则有助于监控清单中未使用的安全组并管理您的环境。
2.4 保留 PCI DSS 范围内的系统组件的清单。

eip-attached

此规则可确保分配给 Amazon Virtual Private Cloud (Amazon VPC) 的弹性 IP 附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例或正在使用的弹性网络接口。此规则有助于监控您环境中未使用的 EIP。
2.4 保留 PCI DSS 范围内的系统组件的清单。

ec2-instance-managed-by-systems-manager

利用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可以清点组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本以及有关您的环境的其他详细信息。
2.4 保留 PCI DSS 范围内的系统组件的清单。

vpc-network-acl-unused-check

此规则可确保 Amazon Virtual Private Cloud (VPC) 网络访问控制列表正在使用中。监控未使用的网络访问控制列表有助于准确清点和管理您的环境。
3.1 对所有持卡人数据 (CHD) 的存储实施数据留存和处置政策、程序和流程,至少包括以下内容,从而将持卡人数据的存储量保持在最低水平:• 将数据存储量和保留时间限制在法律、监管和/或业务要求所需的范围内 • 对持卡人数据的特定保留要求 • 不再需要数据时安全删除数据的流程 • 识别和安全删除存储的超过规定保留期的持卡人数据的季度流程。

s3-lifecycle-policy-check

确保配置了 Amazon S3 生命周期策略,以帮助定义您希望 Amazon S3 在对象生命周期内采取的操作(例如,将对象过渡到其他存储类、将其存档或在指定时间后删除)。
3.1 对所有持卡人数据 (CHD) 的存储实施数据留存和处置政策、程序和流程,至少包括以下内容,从而将持卡人数据的存储量保持在最低水平:• 将数据存储量和保留时间限制在法律、监管和/或业务要求所需的范围内 • 对持卡人数据的特定保留要求 • 不再需要数据时安全删除数据的流程 • 识别和安全删除存储的超过规定保留期的持卡人数据的季度流程。

backup-plan-min-frequency-and-min-retention-check

为了帮助完成数据备份流程,请确保为 AWS Backup 计划设置最低频率和保留期。AWSBackup 是一项完全托管式备份服务,具有基于策略的备份解决方案。该解决方案可简化您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue(Config 默认值:1)、requiredRetentionDays(Config 默认值:35)和 requiredFrequencyUnit(Config 默认值:days)参数。实际值应反映贵组织的需求。
3.1 对所有持卡人数据 (CHD) 的存储实施数据留存和处置政策、程序和流程,至少包括以下内容,从而将持卡人数据的存储量保持在最低水平:• 将数据存储量和保留时间限制在法律、监管和/或业务要求所需的范围内 • 对持卡人数据的特定保留要求 • 不再需要数据时安全删除数据的流程 • 识别和安全删除存储的超过规定保留期的持卡人数据的季度流程。

backup-recovery-point-minimum-retention-check

为了帮助完成数据备份流程,请确保您的 AWS Backup 恢复点设置了最短保留期。AWSBackup 是一项完全托管式备份服务,具有基于策略的备份解决方案。该解决方案可简化您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredRetentionDays(Config 默认值:35)参数。实际值应反映贵组织的需求。
3.1 对所有持卡人数据 (CHD) 的存储实施数据留存和处置政策、程序和流程,至少包括以下内容,从而将持卡人数据的存储量保持在最低水平:• 将数据存储量和保留时间限制在法律、监管和/或业务要求所需的范围内 • 对持卡人数据的特定保留要求 • 不再需要数据时安全删除数据的流程 • 识别和安全删除存储的超过规定保留期的持卡人数据的季度流程。

elasticache-redis-cluster-automatic-backup-check

启用自动备份后,Amazon ElastiCache 会每天为集群创建一个备份。备份可保留的天数由贵组织规定。自动备份可以帮助防止数据丢失。发生故障时,您可以通过从最新的备份还原数据来创建新集群。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

backup-recovery-point-encrypted

确保您的 AWS Backup 恢复点已启用加密。由于可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

cloud-trail-encryption-enabled

由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 AWS CloudTrail 跟踪启用了加密。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

cloudwatch-log-group-encrypted

为了帮助保护静态敏感数据,请确保您的 Amazon CloudWatch 日志组启用了加密。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于这些卷中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

efs-encrypted-check

由于可能存在敏感数据,并且为了帮助保护静态数据,请确保为您的 Amazon Elastic File System (EFS) 启用加密。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

encrypted-volumes

由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

rds-snapshot-encrypted

确保为 Amazon Relational Database Service (Amazon RDS) 快照启用加密。由于可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

rds-storage-encrypted

为了帮助保护静态数据,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例启用了加密。由于 Amazon RDS 实例中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

redshift-cluster-configuration-check

要保护静态数据,请确保您的 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录,以提供有关数据库中连接和用户活动的信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的策略。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

s3-bucket-server-side-encryption-enabled

为了帮助保护静态数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用加密以帮助保护这些数据。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

s3-default-encryption-kms

确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

sagemaker-endpoint-configuration-kms-key-configured

为了帮助保护静态数据,请确保您的 SageMaker 终端节点启用了使用 AWS Key Management Service (AWS KMS) 的加密。由于 SageMaker 端点中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

sagemaker-notebook-instance-kms-key-configured

为了帮助保护静态数据,请确保您的 SageMaker 笔记本启用了使用 AWS Key Management Service (AWS KMS) 的加密。由于 SageMaker 笔记本中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
3.4 使用以下任何一种方法,使 PAN 无论存储在任何地方(包括便携式数字媒体、备份媒体和日志中)都无法读取:• 基于强加密技术的单向散列(散列必须是整个 PAN 的散列)• 截断(不能使用散列来替换被截断的 PAN 部分)• 索引令牌和小键盘(小键盘必须安全存储)• 强加密技术以及相关的密钥管理过程和程序。注意:如果恶意个人可以同时访问截断和散列版本的 PAN,那么重建原始 PAN 数据的难度相对较小。如果实体环境中存在同一 PAN 的散列版本和截断版本,则必须设置其他控制措施,以确保散列版本和截断版本无法关联以重建原始 PAN。

sns-encrypted-kms

为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于已发布的消息中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
3.5.2 将加密密钥的访问权限限制在必要的最少保管人范围内。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,从而限制策略包含对所有 AWS Key Management Service 密钥的阻止操作。拥有超过完成任务所需的权限可能会违反最低权限和职责分离的原则。该规则允许您设置 blockedActionsPatterns 参数。(AWS 基础安全最佳实践值:kms:Decrypt、kms:ReEncryptFrom)。实际值应反映贵组织的策略
3.5.2 将加密密钥的访问权限限制在必要的最少保管人范围内。

iam-inline-policy-blocked-kms-actions

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有允许对所有 AWS Key Management Service 密钥执行阻止操作的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委托权限管理。该规则允许您设置 blockedActionsPatterns 参数。(AWS 基础安全最佳实践值:kms:Decrypt、kms:ReEncryptFrom)。实际值应反映贵组织的策略。
3.5.3 始终以以下一种(或多种)形式存储用于加密/解密持卡人数据的机密和私钥:• 使用密钥加密密钥进行加密,该密钥的强度至少与数据加密密钥相同,并与数据加密密钥分开存储 • 存储在安全的加密设备(如硬件(主机)安全模块 (HSM) 或 PTS 批准的交互点设备)内 • 根据业界认可的方法,至少作为两个完整长度的密钥组件或密钥共享存储。注意:不要求公钥必须以上述形式之一存储。

s3-default-encryption-kms

确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
3.5.3 始终以以下一种(或多种)形式存储用于加密/解密持卡人数据的机密和私钥:• 使用密钥加密密钥进行加密,该密钥的强度至少与数据加密密钥相同,并与数据加密密钥分开存储 • 存储在安全的加密设备(如硬件(主机)安全模块 (HSM) 或 PTS 批准的交互点设备)内 • 根据业界认可的方法,至少作为两个完整长度的密钥组件或密钥共享存储。注意:不要求公钥必须以上述形式之一存储。

sagemaker-endpoint-configuration-kms-key-configured

为了帮助保护静态数据,请确保您的 SageMaker 终端节点启用了使用 AWS Key Management Service (AWS KMS) 的加密。由于 SageMaker 端点中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
3.5.3 始终以以下一种(或多种)形式存储用于加密/解密持卡人数据的机密和私钥:• 使用密钥加密密钥进行加密,该密钥的强度至少与数据加密密钥相同,并与数据加密密钥分开存储 • 存储在安全的加密设备(如硬件(主机)安全模块 (HSM) 或 PTS 批准的交互点设备)内 • 根据业界认可的方法,至少作为两个完整长度的密钥组件或密钥共享存储。注意:不要求公钥必须以上述形式之一存储。

sagemaker-notebook-instance-kms-key-configured

为了帮助保护静态数据,请确保您的 SageMaker 笔记本启用了使用 AWS Key Management Service (AWS KMS) 的加密。由于 SageMaker 笔记本中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
3.6.4 根据相关应用程序供应商或密钥所有者的定义,并基于行业最佳实践和指南(例如,NIST 专题出版物 800-57),在密钥有效期结束后(例如,在规定的时间过后和/或在特定密钥产生了一定量的密码文本后),更改密钥的加密密钥。

cmk-backing-key-rotation-enabled

启用密钥轮换,以确保密钥在加密周期结束后立即进行轮换。
3.6.5 当密钥的完整性被削弱(例如,知道明文密钥组件的员工离职)或怀疑密钥被泄露时,可以根据需要停用或更换(例如存档、销毁和/或撤销)密钥。注意:如果需要保留已停用或替换的加密密钥,则必须对这些密钥进行安全存档(例如,使用密钥加密密钥)。存档的加密密钥只能用于解密/验证目的。

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保没有在 AWS Key Management Service (AWS KMS) 中计划删除必要的客户主密钥 (CMK)。由于有时需要删除密钥,因此此规则可以帮助检查所有计划删除的密钥,以防密钥被无意中安排删除。
3.6.7 防止未经授权替换加密密钥。

kms-cmk-not-scheduled-for-deletion

为了帮助保护静态数据,请确保没有在 AWS Key Management Service (AWS KMS) 中计划删除必要的客户主密钥 (CMK)。由于有时需要删除密钥,因此此规则可以帮助检查所有计划删除的密钥,以防密钥被无意中安排删除。
4.1 在通过开放式公共网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据,包括:• 仅接受可信的密钥和证书。• 使用的协议仅支持安全版本或配置。• 加密强度适合所使用的加密方法。开放式公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信

acm-certificate-expiration-check

通过确保 X509 证书由 AWS ACM 颁发,确保网络完整性得到保护。这些证书必须有效且未过期。此规则要求为 daysToExpiration 设置一个值(AWS 基础安全最佳实践值:90)。实际值应反映贵组织的策略。
4.1 在通过开放式公共网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据,包括:• 仅接受可信的密钥和证书。• 使用的协议仅支持安全版本或配置。• 加密强度适合所使用的加密方法。开放式公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信

alb-http-to-https-redirection-check

为帮助保护传输中的数据,请确保应用负载均衡器自动将未加密的 HTTP 请求重定向到 HTTPS。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
4.1 在通过开放式公共网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据,包括:• 仅接受可信的密钥和证书。• 使用的协议仅支持安全版本或配置。• 加密强度适合所使用的加密方法。开放式公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信

api-gw-ssl-enabled

确保 Amazon API Gateway REST API 阶段配置了 SSL 证书,以允许后端系统验证请求来自 API Gateway。
4.1 在通过开放式公共网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据,包括:• 仅接受可信的密钥和证书。• 使用的协议仅支持安全版本或配置。• 加密强度适合所使用的加密方法。开放式公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信

elasticsearch-node-to-node-encryption-check

确保 Amazon OpenSearch Service 启用了节点到节点加密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
4.1 在通过开放式公共网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据,包括:• 仅接受可信的密钥和证书。• 使用的协议仅支持安全版本或配置。• 加密强度适合所使用的加密方法。开放式公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信

elb-tls-https-listeners-only

确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
4.1 在通过开放式公共网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据,包括:• 仅接受可信的密钥和证书。• 使用的协议仅支持安全版本或配置。• 加密强度适合所使用的加密方法。开放式公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信

elbv2-acm-certificate-required

由于可能存在敏感数据,并且为了帮助保护传输中的数据,应确保 Elastic Load Balancing 启用了加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。
4.1 在通过开放式公共网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据,包括:• 仅接受可信的密钥和证书。• 使用的协议仅支持安全版本或配置。• 加密强度适合所使用的加密方法。开放式公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信

opensearch-https-required

由于可能存在敏感数据,并且为了帮助保护传输中数据,应确保为与您的 Amazon OpenSearch Service 域的连接启用 HTTPS。
4.1 在通过开放式公共网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据,包括:• 仅接受可信的密钥和证书。• 使用的协议仅支持安全版本或配置。• 加密强度适合所使用的加密方法。开放式公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信

opensearch-node-to-node-encryption-check

确保 Amazon OpenSearch Service 启用了节点到节点加密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
4.1 在通过开放式公共网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据,包括:• 仅接受可信的密钥和证书。• 使用的协议仅支持安全版本或配置。• 加密强度适合所使用的加密方法。开放式公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信

redshift-require-tls-ssl

确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
4.1 在通过开放式公共网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据,包括:• 仅接受可信的密钥和证书。• 使用的协议仅支持安全版本或配置。• 加密强度适合所使用的加密方法。开放式公共网络的示例包括但不限于:• 互联网 • 无线技术,包括 802.11 和蓝牙 • 蜂窝技术,例如全球移动通信系统 (GSM)、码分多址 (CDMA) • 通用分组无线电服务 (GPRS) • 卫星通信

s3-bucket-ssl-requests-only

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
6.2 通过安装供应商提供的适用安全补丁,确保保护所有系统组件和软件以免受到已知漏洞的攻击。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。

elastic-beanstalk-managed-updates-enabled

为 Amazon Elastic Beanstalk 环境启用受管平台更新可确保安装环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳实践。
6.2 通过安装供应商提供的适用安全补丁,确保保护所有系统组件和软件以免受到已知漏洞的攻击。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。

ec2-managedinstance-association-compliance-status-check

使用 AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。AWSSystems Manager 会为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置以及有关您的环境的其他详细信息的基准。
6.2 通过安装供应商提供的适用安全补丁,确保保护所有系统组件和软件以免受到已知漏洞的攻击。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。

ec2-managedinstance-patch-compliance-status-check

启用此规则以帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此规则根据贵组织的政策和程序的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规。
6.2 通过安装供应商提供的适用安全补丁,确保保护所有系统组件和软件以免受到已知漏洞的攻击。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。

ecs-fargate-latest-platform-version

AWS Fargate 任务的安全更新和补丁将自动部署。如果安全问题影响 AWS Fargate 平台版本,AWS 将为平台版本提供补丁。为了帮助管理运行 AWS Fargate 的 Amazon Elastic Container Service (ECS) 任务的补丁,请将您的服务独立任务更新为使用最新平台版本。
6.2 通过安装供应商提供的适用安全补丁,确保保护所有系统组件和软件以免受到已知漏洞的攻击。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。

rds-automatic-minor-version-upgrade-enabled

启用 Amazon Relational Database Service (RDS) 实例的自动次要版本升级,以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新,其中可能包括安全补丁和错误修复。
6.2 通过安装供应商提供的适用安全补丁,确保保护所有系统组件和软件以免受到已知漏洞的攻击。请在发布后的一个月内安装重要安全补丁。注意:关键安全补丁应根据要求 6.1 中定义的风险等级流程进行识别。

redshift-cluster-maintenancesettings-check

此规则可确保 Amazon Redshift 集群具有适合贵组织的首选设置。具体而言,就是确保它们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade。默认值为 true。它还允许您选择设置 preferredMaintenanceWindow(默认值为 sat:16:00-sat:16:30)和 automatedSnapshotRetentionPeriod(默认值为 1)。实际值应反映贵组织的策略。
6.3.2 在向生产环境或客户发布之前,先审查自定义代码,以识别任何潜在的编码漏洞(使用手动或自动流程),至少应包括以下内容:• 代码更改由原始代码作者以外的个人以及了解代码审查技术和安全编码实践的个人进行审查。• 代码审查确保代码是根据安全编码指南开发的 • 在发布之前进行适当的更正。• 代码审查结果在发布前由管理层审查和批准。(接下一页)

ecr-private-image-scanning-enabled

Amazon Elastic Container Repository (ECR) 映像扫描可帮助识别容器映像中的软件漏洞。在 ECR 存储库中启用映像扫描功能可为所存储映像的完整性和安全性增加一层验证。
6.6 对于面向公众的 Web 应用程序,持续解决新的威胁和漏洞,并通过以下任一方法确保这些应用程序免遭已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年审查一次并在进行任何更改后审查。注意:此评估与针对要求 11.2 执行的漏洞扫描不同。• 在面向公众的 Web 应用程序前安装自动检测和防止基于 Web 的攻击的技术解决方案(例如 Web 应用程序防火墙),以持续检查所有流量。

alb-desync-mode-check

为了帮助保护应用程序免受 HTTP Desync 漏洞的影响,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,并使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括“监控”、“防御”和“最严格”。默认模式是防御。
6.6 对于面向公众的 Web 应用程序,持续解决新的威胁和漏洞,并通过以下任一方法确保这些应用程序免遭已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年审查一次并在进行任何更改后审查。注意:此评估与针对要求 11.2 执行的漏洞扫描不同。• 在面向公众的 Web 应用程序前安装自动检测和防止基于 Web 的攻击的技术解决方案(例如 Web 应用程序防火墙),以持续检查所有流量。

alb-waf-enabled

确保在 Elastic Load Balancers (ELB) 上启用 AWS WAF,以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的侵害。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中过多的资源。
6.6 对于面向公众的 Web 应用程序,持续解决新的威胁和漏洞,并通过以下任一方法确保这些应用程序免遭已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年审查一次并在进行任何更改后审查。注意:此评估与针对要求 11.2 执行的漏洞扫描不同。• 在面向公众的 Web 应用程序前安装自动检测和防止基于 Web 的攻击的技术解决方案(例如 Web 应用程序防火墙),以持续检查所有流量。

api-gw-associated-with-waf

通过 AWS WAF,您可以配置一组规则(称为 Web 访问控制列表,即 Web ACL),基于可自定义的 Web 安全规则以及您定义的条件,允许、阻止 Web 请求或统计 Web 请求数量。确保您的 Amazon API Gateway 阶段与某个 WAF Web ACL 关联,以保护其免受恶意攻击
6.6 对于面向公众的 Web 应用程序,持续解决新的威胁和漏洞,并通过以下任一方法确保这些应用程序免遭已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年审查一次并在进行任何更改后审查。注意:此评估与针对要求 11.2 执行的漏洞扫描不同。• 在面向公众的 Web 应用程序前安装自动检测和防止基于 Web 的攻击的技术解决方案(例如 Web 应用程序防火墙),以持续检查所有流量。

waf-regional-rule-not-empty

确保您的 AWS WAF 有一条不为空的规则。不含条件的规则可能会导致意外行为。
6.6 对于面向公众的 Web 应用程序,持续解决新的威胁和漏洞,并通过以下任一方法确保这些应用程序免遭已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年审查一次并在进行任何更改后审查。注意:此评估与针对要求 11.2 执行的漏洞扫描不同。• 在面向公众的 Web 应用程序前安装自动检测和防止基于 Web 的攻击的技术解决方案(例如 Web 应用程序防火墙),以持续检查所有流量。

waf-regional-rulegroup-not-empty

确保您的 AWS WAF 有一个不为空的规则组。空规则组可能会导致意外行为。
6.6 对于面向公众的 Web 应用程序,持续解决新的威胁和漏洞,并通过以下任一方法确保这些应用程序免遭已知攻击:• 通过手动或自动应用程序漏洞安全评估工具或方法审查面向公众的 Web 应用程序,至少每年审查一次并在进行任何更改后审查。注意:此评估与针对要求 11.2 执行的漏洞扫描不同。• 在面向公众的 Web 应用程序前安装自动检测和防止基于 Web 的攻击的技术解决方案(例如 Web 应用程序防火墙),以持续检查所有流量。

waf-regional-webacl-not-empty

连接到 AWS WAF 的 Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空,Web 流量将直接通过,而不会被 WAF 检测或处理。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

ecs-task-definition-nonroot-user

为了帮助实施最低权限原则,请确保指定非根用户来访问您的 Amazon Elastic Container Service (Amazon ECS) 任务定义。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

s3-bucket-acl-prohibited

此规则检查访问控制列表 (ACL) 是否用于对 Amazon S3 存储桶进行访问控制。ACL 是 Amazon S3 存储桶的传统访问控制机制,早于 AWS Identity and Access Management (IAM)。最佳实践是使用 IAM 策略或 S3 存储桶策略来更轻松地管理对 S3 存储桶的访问权限,而不是使用 ACL。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

ecs-containers-nonprivileged

为了帮助实施最低权限原则,Amazon Elastic Container Service (Amazon ECS) 任务定义不应启用提升权限。在该参数为 true 时,将为该容器提供提升的主机容器实例权限(类似于根用户)。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

ecs-containers-readonly-access

启用对 Amazon Elastic Container Service (ECS) 容器的只读访问有助于遵守最低权限原则。此选项可以减少攻击载体,因为除非容器实例具有明确的读写权限,否则无法修改其文件系统。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

efs-access-point-enforce-root-directory

为 Amazon Elastic File System (Amazon EFS) 接入点强制使用根目录可确保接入点的用户只能访问指定子目录的文件,从而帮助限制数据访问。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

efs-access-point-enforce-user-identity

为了帮助实施最低权限原则,请确保为您的 Amazon Elastic File System (Amazon EFS) 启用用户强制执行。启用后,Amazon EFS 会将 NFS 客户端的用户和组 ID 替换为接入点上为所有文件系统操作配置的身份,并只向此强制用户身份授予访问权限。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以按照最低权限和职责分离的原则管理和纳入访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为委托人提供一种进行身份验证的方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,从而限制策略包含对所有 AWS Key Management Service 密钥的阻止操作。拥有超过完成任务所需的权限可能会违反最低权限和职责分离的原则。该规则允许您设置 blockedActionsPatterns 参数。(AWS 基础安全最佳实践值:kms:Decrypt、kms:ReEncryptFrom)。实际值应反映贵组织的策略
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 可以确保 IAM 组至少有一个用户,从而帮助您将最低权限和职责分离原则与访问权限和授权相结合。根据用户的相关权限或工作职能将用户分组,是纳入最低权限的一种方法。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

iam-inline-policy-blocked-kms-actions

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有允许对所有 AWS Key Management Service 密钥执行阻止操作的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委托权限管理。该规则允许您设置 blockedActionsPatterns 参数。(AWS 基础安全最佳实践值:kms:Decrypt、kms:ReEncryptFrom)。实际值应反映贵组织的策略。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制系统和资产访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委托权限管理。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,限制策略包含 "Effect": "Allow" with "Action": "*" over "Resource": "*"。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

iam-policy-no-statements-with-full-access

确保 IAM 操作仅限于需要的那些操作。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

iam-root-access-key-check

通过检查根用户的 AWS Identity and Access Management (IAM) 角色是否拥有访问密钥,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户来帮助纳入最少功能原则。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 可通过确保用户至少属于一个组来帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

iam-user-no-policies-check

此规则可确保仅将 AWS Identity and Access Management (IAM) 策略附加到组或角色,以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
7.1.1 定义每个角色的访问需求,包括:• 每个角色为履行其工作职能而需要访问的系统组件和数据资源 • 访问资源所需的权限级别(例如,用户、管理员等)。

opensearch-access-control-enabled

确保在 Amazon OpenSearch Service 域中启用精细访问控制。精细访问控制提供增强的授权机制,以实现对 Amazon OpenSearch Service 域的最低权限访问。它允许对域进行基于角色的访问控制,以及索引、文档和字段级别的安全性,支持 OpenSearch Service 控制面板多租户,以及 OpenSearch Service 和 Kibana 的 HTTP 基本身份验证。
7.1.2 将对特权用户 ID 的访问权限限制为履行工作职责所需的最低权限。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,从而限制策略包含对所有 AWS Key Management Service 密钥的阻止操作。拥有超过完成任务所需的权限可能会违反最低权限和职责分离的原则。该规则允许您设置 blockedActionsPatterns 参数。(AWS 基础安全最佳实践值:kms:Decrypt、kms:ReEncryptFrom)。实际值应反映贵组织的策略
7.1.2 将对特权用户 ID 的访问权限限制为履行工作职责所需的最低权限。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 可以确保 IAM 组至少有一个用户,从而帮助您将最低权限和职责分离原则与访问权限和授权相结合。根据用户的相关权限或工作职能将用户分组,是纳入最低权限的一种方法。
7.1.2 将对特权用户 ID 的访问权限限制为履行工作职责所需的最低权限。

iam-inline-policy-blocked-kms-actions

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有允许对所有 AWS Key Management Service 密钥执行阻止操作的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委托权限管理。该规则允许您设置 blockedActionsPatterns 参数。(AWS 基础安全最佳实践值:kms:Decrypt、kms:ReEncryptFrom)。实际值应反映贵组织的策略。
7.1.2 将对特权用户 ID 的访问权限限制为履行工作职责所需的最低权限。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制系统和资产访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委托权限管理。
7.1.2 将对特权用户 ID 的访问权限限制为履行工作职责所需的最低权限。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,限制策略包含 "Effect": "Allow" with "Action": "*" over "Resource": "*"。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.1.2 将对特权用户 ID 的访问权限限制为履行工作职责所需的最低权限。

iam-policy-no-statements-with-full-access

确保 IAM 操作仅限于需要的那些操作。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.1.2 将对特权用户 ID 的访问权限限制为履行工作职责所需的最低权限。

iam-root-access-key-check

通过检查根用户的 AWS Identity and Access Management (IAM) 角色是否拥有访问密钥,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户来帮助纳入最少功能原则。
7.1.2 将对特权用户 ID 的访问权限限制为履行工作职责所需的最低权限。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 可通过确保用户至少属于一个组来帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.1.2 将对特权用户 ID 的访问权限限制为履行工作职责所需的最低权限。

iam-user-no-policies-check

此规则可确保仅将 AWS Identity and Access Management (IAM) 策略附加到组或角色,以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

ecs-containers-nonprivileged

为了帮助实施最低权限原则,Amazon Elastic Container Service (Amazon ECS) 任务定义不应启用提升权限。在该参数为 true 时,将为该容器提供提升的主机容器实例权限(类似于根用户)。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

ecs-containers-readonly-access

启用对 Amazon Elastic Container Service (ECS) 容器的只读访问有助于遵守最低权限原则。此选项可以减少攻击载体,因为除非容器实例具有明确的读写权限,否则无法修改其文件系统。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

efs-access-point-enforce-root-directory

为 Amazon Elastic File System (Amazon EFS) 接入点强制使用根目录可确保接入点的用户只能访问指定子目录的文件,从而帮助限制数据访问。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

efs-access-point-enforce-user-identity

为了帮助实施最低权限原则,请确保为您的 Amazon Elastic File System (Amazon EFS) 启用用户强制执行。启用后,Amazon EFS 会将 NFS 客户端的用户和组 ID 替换为接入点上为所有文件系统操作配置的身份,并只向此强制用户身份授予访问权限。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以按照最低权限和职责分离的原则管理和纳入访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为委托人提供一种进行身份验证的方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,从而限制策略包含对所有 AWS Key Management Service 密钥的阻止操作。拥有超过完成任务所需的权限可能会违反最低权限和职责分离的原则。该规则允许您设置 blockedActionsPatterns 参数。(AWS 基础安全最佳实践值:kms:Decrypt、kms:ReEncryptFrom)。实际值应反映贵组织的策略
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

iam-group-has-users-check

AWS Identity and Access Management (IAM) 可以确保 IAM 组至少有一个用户,从而帮助您将最低权限和职责分离原则与访问权限和授权相结合。根据用户的相关权限或工作职能将用户分组,是纳入最低权限的一种方法。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

iam-inline-policy-blocked-kms-actions

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有允许对所有 AWS Key Management Service 密钥执行阻止操作的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委托权限管理。该规则允许您设置 blockedActionsPatterns 参数。(AWS 基础安全最佳实践值:kms:Decrypt、kms:ReEncryptFrom)。实际值应反映贵组织的策略。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制系统和资产访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委托权限管理。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,限制策略包含 "Effect": "Allow" with "Action": "*" over "Resource": "*"。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

iam-policy-no-statements-with-full-access

确保 IAM 操作仅限于需要的那些操作。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

iam-root-access-key-check

通过检查根用户的 AWS Identity and Access Management (IAM) 角色是否拥有访问密钥,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户来帮助纳入最少功能原则。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 可通过确保用户至少属于一个组来帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

iam-user-no-policies-check

此规则可确保仅将 AWS Identity and Access Management (IAM) 策略附加到组或角色,以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
7.2.1 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。该访问控制系统必须包括以下内容:所有系统组件的涵盖范围

opensearch-access-control-enabled

确保在 Amazon OpenSearch Service 域中启用精细访问控制。精细访问控制提供增强的授权机制,以实现对 Amazon OpenSearch Service 域的最低权限访问。它允许对域进行基于角色的访问控制,以及索引、文档和字段级别的安全性,支持 OpenSearch Service 控制面板多租户,以及 OpenSearch Service 和 Kibana 的 HTTP 基本身份验证。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

ecs-containers-nonprivileged

为了帮助实施最低权限原则,Amazon Elastic Container Service (Amazon ECS) 任务定义不应启用提升权限。在该参数为 true 时,将为该容器提供提升的主机容器实例权限(类似于根用户)。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

ecs-containers-readonly-access

启用对 Amazon Elastic Container Service (ECS) 容器的只读访问有助于遵守最低权限原则。此选项可以减少攻击载体,因为除非容器实例具有明确的读写权限,否则无法修改其文件系统。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

efs-access-point-enforce-root-directory

为 Amazon Elastic File System (Amazon EFS) 接入点强制使用根目录可确保接入点的用户只能访问指定子目录的文件,从而帮助限制数据访问。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

efs-access-point-enforce-user-identity

为了帮助实施最低权限原则,请确保为您的 Amazon Elastic File System (Amazon EFS) 启用用户强制执行。启用后,Amazon EFS 会将 NFS 客户端的用户和组 ID 替换为接入点上为所有文件系统操作配置的身份,并只向此强制用户身份授予访问权限。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

emr-kerberos-enabled

通过为 Amazon EMR 集群启用 Kerberos,可以按照最低权限和职责分离的原则管理和纳入访问权限和授权。在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域中。在该领域中,Kerberos 服务器被称为密钥分配中心 (KDC)。它为委托人提供一种进行身份验证的方法。KDC 通过颁发用于身份验证的票证进行身份验证。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,从而限制策略包含对所有 AWS Key Management Service 密钥的阻止操作。拥有超过完成任务所需的权限可能会违反最低权限和职责分离的原则。该规则允许您设置 blockedActionsPatterns 参数。(AWS 基础安全最佳实践值:kms:Decrypt、kms:ReEncryptFrom)。实际值应反映贵组织的策略
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

iam-group-has-users-check

AWS Identity and Access Management (IAM) 可以确保 IAM 组至少有一个用户,从而帮助您将最低权限和职责分离原则与访问权限和授权相结合。根据用户的相关权限或工作职能将用户分组,是纳入最低权限的一种方法。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

iam-inline-policy-blocked-kms-actions

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有允许对所有 AWS Key Management Service 密钥执行阻止操作的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委托权限管理。该规则允许您设置 blockedActionsPatterns 参数。(AWS 基础安全最佳实践值:kms:Decrypt、kms:ReEncryptFrom)。实际值应反映贵组织的策略。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

iam-no-inline-policy-check

确保 AWS Identity and Access Management (IAM) 用户、IAM 角色或 IAM 组没有控制系统和资产访问的内联策略。AWS 建议使用托管策略而不是内联策略。托管策略允许可重用性、版本控制、回滚和委托权限管理。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 可以帮助您将最低权限和职责分离原则与访问权限和授权相结合,限制策略包含 "Effect": "Allow" with "Action": "*" over "Resource": "*"。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

iam-policy-no-statements-with-full-access

确保 IAM 操作仅限于需要的那些操作。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

iam-root-access-key-check

通过检查根用户的 AWS Identity and Access Management (IAM) 角色是否拥有访问密钥,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户来帮助纳入最少功能原则。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 可通过确保用户至少属于一个组来帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最低权限和职责分离的原则。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

iam-user-no-policies-check

此规则可确保仅将 AWS Identity and Access Management (IAM) 策略附加到组或角色,以控制对系统和资产的访问。在组或角色级别分配权限有助于减少身份获得或保留过多权限的机会。
7.2.2 为系统组件建立一个访问控制系统,以根据需要了解的内容限制访问并将其设置为“全部拒绝”,除非明确允许。此访问控制系统必须包括以下内容:根据职位分类和职能为个人分配权限。

opensearch-access-control-enabled

确保在 Amazon OpenSearch Service 域中启用精细访问控制。精细访问控制提供增强的授权机制,以实现对 Amazon OpenSearch Service 域的最低权限访问。它允许对域进行基于角色的访问控制,以及索引、文档和字段级别的安全性,支持 OpenSearch Service 控制面板多租户,以及 OpenSearch Service 和 Kibana 的 HTTP 基本身份验证。
7.2.3 默认“全部拒绝”设置。

s3-bucket-acl-prohibited

此规则检查访问控制列表 (ACL) 是否用于对 Amazon S3 存储桶进行访问控制。ACL 是 Amazon S3 存储桶的传统访问控制机制,早于 AWS Identity and Access Management (IAM)。最佳实践是使用 IAM 策略或 S3 存储桶策略来更轻松地管理对 S3 存储桶的访问权限,而不是使用 ACL。
8.1.1 在允许所有用户访问系统组件或持卡人数据之前,为他们分配一个唯一的 ID。

iam-root-access-key-check

通过检查根用户的 AWS Identity and Access Management (IAM) 角色是否拥有访问密钥,可以控制对系统和资产的访问。确保删除根访问密钥。相反,创建和使用基于角色的 AWS 账户来帮助纳入最少功能原则。
8.1.4 删除/禁用 90 天内不活跃的用户账户。

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 可以通过检查指定时间段内未使用的 IAM 密码和访问密钥,来帮助您获得访问权限和授权。如果发现这些未使用的凭证,则应禁用和/或删除这些凭证,因为这可能违反最低权限原则。此规则要求您为 maxCredentialUsageAge 设置一个值(Config 默认值:90)。实际值应反映贵组织的策略。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

codebuild-project-environment-privileged-check

为了帮助实现最低权限原则,请确保您的 Amazon CodeBuild 项目环境未启用特权模式。应禁用此设置,以防止意外访问 Docker API 及容器的底层硬件。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

ecs-no-environment-secrets

作为安全最佳实践,请将敏感信息作为环境变量传递给容器。通过在 Amazon ECS 任务定义的容器定义中引用存储在 AWS Systems Manager Parameter Store 或 AWS Secrets Manager 中的值,您可以安全地将数据注入 Amazon Elastic Container Service (ECS) 容器。然后,您可以将敏感信息作为环境变量公开,或在容器的日志配置中公开。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

alb-http-to-https-redirection-check

为帮助保护传输中的数据,请确保应用负载均衡器自动将未加密的 HTTP 请求重定向到 HTTPS。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

api-gw-ssl-enabled

确保 Amazon API Gateway REST API 阶段配置了 SSL 证书,以允许后端系统验证请求来自 API Gateway。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

ec2-ebs-encryption-by-default

为了帮助保护静态数据,请确保为您的 Amazon Elastic Block Store (Amazon EBS) 卷启用加密。由于这些卷中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

efs-encrypted-check

由于可能存在敏感数据,并且为了帮助保护静态数据,请确保为您的 Amazon Elastic File System (EFS) 启用加密。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

elasticsearch-encrypted-at-rest

由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon OpenSearch Service (OpenSearch Service) 域启用了加密。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

elb-tls-https-listeners-only

确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

encrypted-volumes

由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon Elastic Block Store (Amazon EBS) 卷启用了加密。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

opensearch-encrypted-at-rest

由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 Amazon OpenSearch Service 域启用了加密。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

rds-snapshot-encrypted

确保为 Amazon Relational Database Service (Amazon RDS) 快照启用加密。由于可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

rds-storage-encrypted

为了帮助保护静态数据,请确保您的 Amazon Relational Database Service (Amazon RDS) 实例启用了加密。由于 Amazon RDS 实例中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

redshift-cluster-configuration-check

要保护静态数据,请确保您的 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录,以提供有关数据库中连接和用户活动的信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的策略。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

s3-bucket-server-side-encryption-enabled

为了帮助保护静态数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用加密以帮助保护这些数据。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

s3-bucket-ssl-requests-only

为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

s3-default-encryption-kms

确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

sagemaker-endpoint-configuration-kms-key-configured

为了帮助保护静态数据,请确保您的 SageMaker 终端节点启用了使用 AWS Key Management Service (AWS KMS) 的加密。由于 SageMaker 端点中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

sagemaker-notebook-instance-kms-key-configured

为了帮助保护静态数据,请确保您的 SageMaker 笔记本启用了使用 AWS Key Management Service (AWS KMS) 的加密。由于 SageMaker 笔记本中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

secretsmanager-using-cmk

为了帮助保护静态数据,请确保为 AWS Secrets Manager 机密启用 AWS Key Management Service (AWS KMS)。由于 Secrets Manager 机密中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
8.2.1 通过使用强大的加密技术,使所有身份验证凭证(例如密码/短语)在所有系统组件上传输和存储期间不可读。

sns-encrypted-kms

为了帮助保护静态数据,请确保您的 Amazon Simple Notification Service (Amazon SNS) 主题需要使用 AWS Key Management Service (AWS KMS) 进行加密。由于已发布的消息中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
8.2.3 密码/口令必须满足以下条件:• 要求长度至少为七个字符。• 同时包含数字和字母字符。或者,密码/口令的复杂性和强度必须至少等同于上面指定的参数。

iam-password-policy

身份和凭证是根据组织 IAM 密码策略颁发、管理和验证的。它们符合或超过 NIST SP 800-63 和针对密码强度的 AWS 基础安全最佳实践标准规定的要求。此规则允许您选择性地为您的 IAM 密码策略设置 RequireUppercaseCharacters(PCI DSS 默认值:false)、RequireLowercaseCharacters(PCI DSS 默认值:true)、RequireSymbols(PCI DSS 默认值:false)、RequireNumbers(PCI DSS 默认值:true)、MinimumPasswordLength(PCI DSS 默认:7)、PasswordReusePrevention(PCI DSS 默认值:4)和 MaxPasswordAge(PCI DSS 默认值:90)。实际值应反映贵组织的策略。
8.2.4 至少每 90 天更改一次用户密码/口令。

access-keys-rotated

通过确保按照组织政策轮换 IAM 访问密钥,对授权的设备、用户和流程的凭证进行审核。定期更改访问密钥是一种安全最佳实践。它会缩短访问密钥的有效期,并降低密钥泄露时对业务的影响。此规则需要访问密钥轮换值(配置默认值:90)。实际值应反映贵组织的策略。
8.2.4 至少每 90 天更改一次用户密码/口令。

iam-password-policy

身份和凭证是根据组织 IAM 密码策略颁发、管理和验证的。它们符合或超过 NIST SP 800-63 和针对密码强度的 AWS 基础安全最佳实践标准规定的要求。此规则允许您选择性地为您的 IAM 密码策略设置 RequireUppercaseCharacters(PCI DSS 默认值:false)、RequireLowercaseCharacters(PCI DSS 默认值:true)、RequireSymbols(PCI DSS 默认值:false)、RequireNumbers(PCI DSS 默认值:true)、MinimumPasswordLength(PCI DSS 默认:7)、PasswordReusePrevention(PCI DSS 默认值:4)和 MaxPasswordAge(PCI DSS 默认值:90)。实际值应反映贵组织的策略。
8.2.4 至少每 90 天更改一次用户密码/口令。

secretsmanager-rotation-enabled-check

此规则可确保 AWS Secrets Manager 机密已启用轮换。定期轮换机密可以缩短机密的有效期,并有可能减少机密泄露时对业务的影响。
8.2.5 不允许个人提交与他或她最近使用的四个密码/口令中的任何一个相同的新密码/口令。

iam-password-policy

身份和凭证是根据组织 IAM 密码策略颁发、管理和验证的。它们符合或超过 NIST SP 800-63 和针对密码强度的 AWS 基础安全最佳实践标准规定的要求。此规则允许您选择性地为您的 IAM 密码策略设置 RequireUppercaseCharacters(PCI DSS 默认值:false)、RequireLowercaseCharacters(PCI DSS 默认值:true)、RequireSymbols(PCI DSS 默认值:false)、RequireNumbers(PCI DSS 默认值:true)、MinimumPasswordLength(PCI DSS 默认:7)、PasswordReusePrevention(PCI DSS 默认值:4)和 MaxPasswordAge(PCI DSS 默认值:90)。实际值应反映贵组织的策略。
8.3.1 将所有非控制台访问的多重身份验证加入具有管理访问权限的人员的 CDE 中。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则可确保为所有用户启用多重身份验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。要求用户进行多重身份验证,从而减少账户被盗事件。
8.3.1 将所有非控制台访问的多重身份验证加入具有管理访问权限的人员的 CDE 中。

mfa-enabled-for-iam-console-access

通过确保为所有拥有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA,来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户进行 MFA,您可以减少账户被盗事件,防止未经授权的用户访问敏感数据。
8.3.1 将所有非控制台访问的多重身份验证加入具有管理访问权限的人员的 CDE 中。

root-account-hardware-mfa-enabled

通过确保为根用户启用硬件 MFA,来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户进行 MFA,可以减少 AWS 账户被盗的事件。
8.3.1 将所有非控制台访问的多重身份验证加入具有管理访问权限的人员的 CDE 中。

root-account-mfa-enabled

通过确保为根用户启用 MFA,来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户进行 MFA,可以减少 AWS 账户被盗的事件。
8.3.2 对来自实体网络外部的所有远程网络访问(包括用户和管理员,包括用于支持或维护的第三方访问)采用多重身份验证。

iam-user-mfa-enabled

启用此规则可限制对 AWS 云中资源的访问。此规则可确保为所有用户启用多重身份验证 (MFA)。MFA 在用户名和密码之上增加了一层额外的防护。要求用户进行多重身份验证,从而减少账户被盗事件。
8.3.2 对来自实体网络外部的所有远程网络访问(包括用户和管理员,包括用于支持或维护的第三方访问)采用多重身份验证。

mfa-enabled-for-iam-console-access

通过确保为所有拥有控制台密码的 AWS Identity and Access Management (IAM) 用户启用 MFA,来管理对 AWS 云中资源的访问。MFA 在用户名和密码之上增加了一层额外的防护。通过要求用户进行 MFA,您可以减少账户被盗事件,防止未经授权的用户访问敏感数据。
8.3.2 对来自实体网络外部的所有远程网络访问(包括用户和管理员,包括用于支持或维护的第三方访问)采用多重身份验证。

root-account-hardware-mfa-enabled

通过确保为根用户启用硬件 MFA,来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户进行 MFA,可以减少 AWS 账户被盗的事件。
8.3.2 对来自实体网络外部的所有远程网络访问(包括用户和管理员,包括用于支持或维护的第三方访问)采用多重身份验证。

root-account-mfa-enabled

通过确保为根用户启用 MFA,来管理对 AWS 云中资源的访问。根用户是 AWS 账户中权限最高的用户。MFA 为用户名和密码增加了一层额外的保护。通过要求根用户进行 MFA,可以减少 AWS 账户被盗的事件。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

api-gw-execution-logging-enabled

API Gateway 日志显示访问 API 的用户以及他们访问 API 的方式的详细视图。这种洞察可实现用户活动的可见性。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

elb-logging-enabled

Elastic Load Balancing 活动是环境中的一个通信中心点。确保已启用 ELB 日志记录。收集的数据将提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将来自所有 AWS 区域的日志文件传输到您的 S3 存储桶。此外,当 AWS 推出新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您无需采取任何措施,即可收到包含新区域的 API 活动的日志文件。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录可提供一种监控网络中是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录,来监控事件。每条访问日志记录都提供有关单个访问请求的详细信息。这些详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

vpc-flow-logs-enabled

VPC 流日志详细记录进出 Amazon Virtual Private Cloud (Amazon VPC) 网络接口的 IP 流量信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

wafv2-logging-enabled

为了帮助在您的环境中进行日志记录和监控,请在区域和全局 Web ACL 上启用 AWS WAF (V2) 日志记录。AWSWAF 日志记录提供有关 Web ACL 分析的流量的详细信息。日志记录 AWS 接收来自 AWS 资源的请求的时间,有关请求的详细信息,以及每个请求所匹配的规则的操作。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用 AWS 服务的用户和 AWS 账户、发出调用的源 IP 地址以及调用的时间。捕获的数据的详细信息可在 AWS CloudTrail“记录内容”中查看。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

cloudtrail-s3-dataevents-enabled

收集 Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

codebuild-project-logging-enabled

确保已启用 AWS CodeBuild 项目日志记录,以便将构建输出日志发送到 Amazon CloudWatch 或 Amazon Simple Storage Service (Amazon S3)。构建输出日志提供有关您的构建项目的详细信息。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

elasticsearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

opensearch-audit-logging-enabled

确保在 Amazon OpenSearch Service 域中启用审计日志记录。审计日志记录允许您跟踪 OpenSearch 域上的用户活动,包括成功和失败的身份验证、对 OpenSearch 的请求、索引更改以及传入的搜索查询。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

opensearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。OpenSearch Service 错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

rds-logging-enabled

为了帮助在环境中进行日志记录和监控,请确保已启用 Amazon Relational Database Service (Amazon RDS) 日志记录。利用 Amazon RDS 日志记录,您可以捕获诸如连接、断开连接、查询或查询的表之类的事件。
10.1 实施审核跟踪,以将对系统组件的所有访问与每个单独的用户关联。

redshift-cluster-configuration-check

要保护静态数据,请确保您的 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录,以提供有关数据库中连接和用户活动的信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的策略。
10.2.1 为所有系统组件实施自动审核跟踪以重建以下事件:所有单独的用户对持卡人数据的访问

api-gw-execution-logging-enabled

API Gateway 日志显示访问 API 的用户以及他们访问 API 的方式的详细视图。这种洞察可实现用户活动的可见性。
10.2.1 为所有系统组件实施自动审核跟踪以重建以下事件:所有单独的用户对持卡人数据的访问

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将来自所有 AWS 区域的日志文件传输到您的 S3 存储桶。此外,当 AWS 推出新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您无需采取任何措施,即可收到包含新区域的 API 活动的日志文件。
10.2.1 为所有系统组件实施自动审核跟踪以重建以下事件:所有单独的用户对持卡人数据的访问

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录可提供一种监控网络中是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录,来监控事件。每条访问日志记录都提供有关单个访问请求的详细信息。这些详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.2.1 为所有系统组件实施自动审核跟踪以重建以下事件:所有单独的用户对持卡人数据的访问

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用 AWS 服务的用户和 AWS 账户、发出调用的源 IP 地址以及调用的时间。捕获的数据的详细信息可在 AWS CloudTrail“记录内容”中查看。
10.2.1 为所有系统组件实施自动审核跟踪以重建以下事件:所有单独的用户对持卡人数据的访问

cloudtrail-s3-dataevents-enabled

收集 Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.2.1 为所有系统组件实施自动审核跟踪以重建以下事件:所有单独的用户对持卡人数据的访问

codebuild-project-logging-enabled

确保已启用 AWS CodeBuild 项目日志记录,以便将构建输出日志发送到 Amazon CloudWatch 或 Amazon Simple Storage Service (Amazon S3)。构建输出日志提供有关您的构建项目的详细信息。
10.2.1 为所有系统组件实施自动审核跟踪以重建以下事件:所有单独的用户对持卡人数据的访问

elasticsearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.1 为所有系统组件实施自动审核跟踪以重建以下事件:所有单独的用户对持卡人数据的访问

opensearch-audit-logging-enabled

确保在 Amazon OpenSearch Service 域中启用审计日志记录。审计日志记录允许您跟踪 OpenSearch 域上的用户活动,包括成功和失败的身份验证、对 OpenSearch 的请求、索引更改以及传入的搜索查询。
10.2.1 为所有系统组件实施自动审核跟踪以重建以下事件:所有单独的用户对持卡人数据的访问

opensearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。OpenSearch Service 错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.1 为所有系统组件实施自动审核跟踪以重建以下事件:所有单独的用户对持卡人数据的访问

rds-logging-enabled

为了帮助在环境中进行日志记录和监控,请确保已启用 Amazon Relational Database Service (Amazon RDS) 日志记录。利用 Amazon RDS 日志记录,您可以捕获诸如连接、断开连接、查询或查询的表之类的事件。
10.2.1 为所有系统组件实施自动审核跟踪以重建以下事件:所有单独的用户对持卡人数据的访问

redshift-cluster-configuration-check

要保护静态数据,请确保您的 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录,以提供有关数据库中连接和用户活动的信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的策略。
10.2.2 为所有系统组件实施自动审核跟踪以重建以下事件:具有根或管理权限的任何个人执行的所有操作

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将来自所有 AWS 区域的日志文件传输到您的 S3 存储桶。此外,当 AWS 推出新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您无需采取任何措施,即可收到包含新区域的 API 活动的日志文件。
10.2.2 为所有系统组件实施自动审核跟踪以重建以下事件:具有根或管理权限的任何个人执行的所有操作

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用 AWS 服务的用户和 AWS 账户、发出调用的源 IP 地址以及调用的时间。捕获的数据的详细信息可在 AWS CloudTrail“记录内容”中查看。
10.2.2 为所有系统组件实施自动审核跟踪以重建以下事件:具有根或管理权限的任何个人执行的所有操作

codebuild-project-logging-enabled

确保已启用 AWS CodeBuild 项目日志记录,以便将构建输出日志发送到 Amazon CloudWatch 或 Amazon Simple Storage Service (Amazon S3)。构建输出日志提供有关您的构建项目的详细信息。
10.2.2 为所有系统组件实施自动审核跟踪以重建以下事件:具有根或管理权限的任何个人执行的所有操作

elasticsearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.2 为所有系统组件实施自动审核跟踪以重建以下事件:具有根或管理权限的任何个人执行的所有操作

opensearch-audit-logging-enabled

确保在 Amazon OpenSearch Service 域中启用审计日志记录。审计日志记录允许您跟踪 OpenSearch 域上的用户活动,包括成功和失败的身份验证、对 OpenSearch 的请求、索引更改以及传入的搜索查询。
10.2.2 为所有系统组件实施自动审核跟踪以重建以下事件:具有根或管理权限的任何个人执行的所有操作

opensearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。OpenSearch Service 错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.2 为所有系统组件实施自动审核跟踪以重建以下事件:具有根或管理权限的任何个人执行的所有操作

rds-logging-enabled

为了帮助在环境中进行日志记录和监控,请确保已启用 Amazon Relational Database Service (Amazon RDS) 日志记录。利用 Amazon RDS 日志记录,您可以捕获诸如连接、断开连接、查询或查询的表之类的事件。
10.2.2 为所有系统组件实施自动审核跟踪以重建以下事件:具有根或管理权限的任何个人执行的所有操作

redshift-cluster-configuration-check

要保护静态数据,请确保您的 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录,以提供有关数据库中连接和用户活动的信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的策略。
10.2.3 为所有系统组件实施自动审核跟踪以重建以下事件:对所有审核跟踪的访问

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将来自所有 AWS 区域的日志文件传输到您的 S3 存储桶。此外,当 AWS 推出新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您无需采取任何措施,即可收到包含新区域的 API 活动的日志文件。
10.2.3 为所有系统组件实施自动审核跟踪以重建以下事件:对所有审核跟踪的访问

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用 AWS 服务的用户和 AWS 账户、发出调用的源 IP 地址以及调用的时间。捕获的数据的详细信息可在 AWS CloudTrail“记录内容”中查看。
10.2.3 为所有系统组件实施自动审核跟踪以重建以下事件:对所有审核跟踪的访问

cloudtrail-s3-dataevents-enabled

收集 Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.2.3 为所有系统组件实施自动审核跟踪以重建以下事件:对所有审核跟踪的访问

codebuild-project-logging-enabled

确保已启用 AWS CodeBuild 项目日志记录,以便将构建输出日志发送到 Amazon CloudWatch 或 Amazon Simple Storage Service (Amazon S3)。构建输出日志提供有关您的构建项目的详细信息。
10.2.3 为所有系统组件实施自动审核跟踪以重建以下事件:对所有审核跟踪的访问

elasticsearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.3 为所有系统组件实施自动审核跟踪以重建以下事件:对所有审核跟踪的访问

opensearch-audit-logging-enabled

确保在 Amazon OpenSearch Service 域中启用审计日志记录。审计日志记录允许您跟踪 OpenSearch 域上的用户活动,包括成功和失败的身份验证、对 OpenSearch 的请求、索引更改以及传入的搜索查询。
10.2.3 为所有系统组件实施自动审核跟踪以重建以下事件:对所有审核跟踪的访问

opensearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。OpenSearch Service 错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.3 为所有系统组件实施自动审核跟踪以重建以下事件:对所有审核跟踪的访问

rds-logging-enabled

为了帮助在环境中进行日志记录和监控,请确保已启用 Amazon Relational Database Service (Amazon RDS) 日志记录。利用 Amazon RDS 日志记录,您可以捕获诸如连接、断开连接、查询或查询的表之类的事件。
10.2.3 为所有系统组件实施自动审核跟踪以重建以下事件:对所有审核跟踪的访问

redshift-cluster-configuration-check

要保护静态数据,请确保您的 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录,以提供有关数据库中连接和用户活动的信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的策略。
10.2.3 为所有系统组件实施自动审核跟踪以重建以下事件:对所有审核跟踪的访问

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录可提供一种监控网络中是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录,来监控事件。每条访问日志记录都提供有关单个访问请求的详细信息。这些详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.2.4 为所有系统组件实施自动审核跟踪以重建以下事件:无效的逻辑访问尝试

api-gw-execution-logging-enabled

API Gateway 日志显示访问 API 的用户以及他们访问 API 的方式的详细视图。这种洞察可实现用户活动的可见性。
10.2.4 为所有系统组件实施自动审核跟踪以重建以下事件:无效的逻辑访问尝试

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将来自所有 AWS 区域的日志文件传输到您的 S3 存储桶。此外,当 AWS 推出新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您无需采取任何措施,即可收到包含新区域的 API 活动的日志文件。
10.2.4 为所有系统组件实施自动审核跟踪以重建以下事件:无效的逻辑访问尝试

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录可提供一种监控网络中是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录,来监控事件。每条访问日志记录都提供有关单个访问请求的详细信息。这些详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.2.4 为所有系统组件实施自动审核跟踪以重建以下事件:无效的逻辑访问尝试

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用 AWS 服务的用户和 AWS 账户、发出调用的源 IP 地址以及调用的时间。捕获的数据的详细信息可在 AWS CloudTrail“记录内容”中查看。
10.2.4 为所有系统组件实施自动审核跟踪以重建以下事件:无效的逻辑访问尝试

cloudtrail-s3-dataevents-enabled

收集 Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.2.4 为所有系统组件实施自动审核跟踪以重建以下事件:无效的逻辑访问尝试

codebuild-project-logging-enabled

确保已启用 AWS CodeBuild 项目日志记录,以便将构建输出日志发送到 Amazon CloudWatch 或 Amazon Simple Storage Service (Amazon S3)。构建输出日志提供有关您的构建项目的详细信息。
10.2.4 为所有系统组件实施自动审核跟踪以重建以下事件:无效的逻辑访问尝试

elasticsearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.4 为所有系统组件实施自动审核跟踪以重建以下事件:无效的逻辑访问尝试

opensearch-audit-logging-enabled

确保在 Amazon OpenSearch Service 域中启用审计日志记录。审计日志记录允许您跟踪 OpenSearch 域上的用户活动,包括成功和失败的身份验证、对 OpenSearch 的请求、索引更改以及传入的搜索查询。
10.2.4 为所有系统组件实施自动审核跟踪以重建以下事件:无效的逻辑访问尝试

opensearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。OpenSearch Service 错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.4 为所有系统组件实施自动审核跟踪以重建以下事件:无效的逻辑访问尝试

rds-logging-enabled

为了帮助在环境中进行日志记录和监控,请确保已启用 Amazon Relational Database Service (Amazon RDS) 日志记录。利用 Amazon RDS 日志记录,您可以捕获诸如连接、断开连接、查询或查询的表之类的事件。
10.2.4 为所有系统组件实施自动审核跟踪以重建以下事件:无效的逻辑访问尝试

redshift-cluster-configuration-check

要保护静态数据,请确保您的 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录,以提供有关数据库中连接和用户活动的信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的策略。
10.2.5 为所有系统组件实施自动审计跟踪记录以重建以下事件:使用和更改标识和身份验证机制(包括但不限于创建新账户和提升权限)以及所有更改、添加或删除具有根或管理权限的账户的操作

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将来自所有 AWS 区域的日志文件传输到您的 S3 存储桶。此外,当 AWS 推出新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您无需采取任何措施,即可收到包含新区域的 API 活动的日志文件。
10.2.5 为所有系统组件实施自动审计跟踪记录以重建以下事件:使用和更改标识和身份验证机制(包括但不限于创建新账户和提升权限)以及所有更改、添加或删除具有根或管理权限的账户的操作

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用 AWS 服务的用户和 AWS 账户、发出调用的源 IP 地址以及调用的时间。捕获的数据的详细信息可在 AWS CloudTrail“记录内容”中查看。
10.2.5 为所有系统组件实施自动审计跟踪记录以重建以下事件:使用和更改标识和身份验证机制(包括但不限于创建新账户和提升权限)以及所有更改、添加或删除具有根或管理权限的账户的操作

codebuild-project-logging-enabled

确保已启用 AWS CodeBuild 项目日志记录,以便将构建输出日志发送到 Amazon CloudWatch 或 Amazon Simple Storage Service (Amazon S3)。构建输出日志提供有关您的构建项目的详细信息。
10.2.5 为所有系统组件实施自动审计跟踪记录以重建以下事件:使用和更改标识和身份验证机制(包括但不限于创建新账户和提升权限)以及所有更改、添加或删除具有根或管理权限的账户的操作

elasticsearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.5 为所有系统组件实施自动审计跟踪记录以重建以下事件:使用和更改标识和身份验证机制(包括但不限于创建新账户和提升权限)以及所有更改、添加或删除具有根或管理权限的账户的操作

opensearch-audit-logging-enabled

确保在 Amazon OpenSearch Service 域中启用审计日志记录。审计日志记录允许您跟踪 OpenSearch 域上的用户活动,包括成功和失败的身份验证、对 OpenSearch 的请求、索引更改以及传入的搜索查询。
10.2.5 为所有系统组件实施自动审计跟踪记录以重建以下事件:使用和更改标识和身份验证机制(包括但不限于创建新账户和提升权限)以及所有更改、添加或删除具有根或管理权限的账户的操作

opensearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。OpenSearch Service 错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.5 为所有系统组件实施自动审计跟踪记录以重建以下事件:使用和更改标识和身份验证机制(包括但不限于创建新账户和提升权限)以及所有更改、添加或删除具有根或管理权限的账户的操作

rds-logging-enabled

为了帮助在环境中进行日志记录和监控,请确保已启用 Amazon Relational Database Service (Amazon RDS) 日志记录。利用 Amazon RDS 日志记录,您可以捕获诸如连接、断开连接、查询或查询的表之类的事件。
10.2.5 为所有系统组件实施自动审计跟踪记录以重建以下事件:使用和更改标识和身份验证机制(包括但不限于创建新账户和提升权限)以及所有更改、添加或删除具有根或管理权限的账户的操作

redshift-cluster-configuration-check

要保护静态数据,请确保您的 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录,以提供有关数据库中连接和用户活动的信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的策略。
10.2.6 为所有系统组件实施自动审计跟踪记录以重建以下事件:初始化、停止或暂停审计日志

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将来自所有 AWS 区域的日志文件传输到您的 S3 存储桶。此外,当 AWS 推出新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您无需采取任何措施,即可收到包含新区域的 API 活动的日志文件。
10.2.6 为所有系统组件实施自动审计跟踪记录以重建以下事件:初始化、停止或暂停审计日志

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用 AWS 服务的用户和 AWS 账户、发出调用的源 IP 地址以及调用的时间。捕获的数据的详细信息可在 AWS CloudTrail“记录内容”中查看。
10.2.6 为所有系统组件实施自动审计跟踪记录以重建以下事件:初始化、停止或暂停审计日志

rds-logging-enabled

为了帮助在环境中进行日志记录和监控,请确保已启用 Amazon Relational Database Service (Amazon RDS) 日志记录。利用 Amazon RDS 日志记录,您可以捕获诸如连接、断开连接、查询或查询的表之类的事件。
10.2.7 为所有系统组件实施自动审计跟踪记录以重建以下事件:创建和删除系统级对象

api-gw-execution-logging-enabled

API Gateway 日志显示访问 API 的用户以及他们访问 API 的方式的详细视图。这种洞察可实现用户活动的可见性。
10.2.7 为所有系统组件实施自动审计跟踪记录以重建以下事件:创建和删除系统级对象

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将来自所有 AWS 区域的日志文件传输到您的 S3 存储桶。此外,当 AWS 推出新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您无需采取任何措施,即可收到包含新区域的 API 活动的日志文件。
10.2.7 为所有系统组件实施自动审计跟踪记录以重建以下事件:创建和删除系统级对象

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用 AWS 服务的用户和 AWS 账户、发出调用的源 IP 地址以及调用的时间。捕获的数据的详细信息可在 AWS CloudTrail“记录内容”中查看。
10.2.7 为所有系统组件实施自动审计跟踪记录以重建以下事件:创建和删除系统级对象

elasticsearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.7 为所有系统组件实施自动审计跟踪记录以重建以下事件:创建和删除系统级对象

opensearch-audit-logging-enabled

确保在 Amazon OpenSearch Service 域中启用审计日志记录。审计日志记录允许您跟踪 OpenSearch 域上的用户活动,包括成功和失败的身份验证、对 OpenSearch 的请求、索引更改以及传入的搜索查询。
10.2.7 为所有系统组件实施自动审计跟踪记录以重建以下事件:创建和删除系统级对象

opensearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。OpenSearch Service 错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.2.7 为所有系统组件实施自动审计跟踪记录以重建以下事件:创建和删除系统级对象

rds-logging-enabled

为了帮助在环境中进行日志记录和监控,请确保已启用 Amazon Relational Database Service (Amazon RDS) 日志记录。利用 Amazon RDS 日志记录,您可以捕获诸如连接、断开连接、查询或查询的表之类的事件。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

api-gw-execution-logging-enabled

API Gateway 日志显示访问 API 的用户以及他们访问 API 的方式的详细视图。这种洞察可实现用户活动的可见性。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

elb-logging-enabled

Elastic Load Balancing 活动是环境中的一个通信中心点。确保已启用 ELB 日志记录。收集的数据将提供有关发送到 ELB 的请求的详细信息。每个日志都包含信息 (例如,收到请求的时间、客户端的 IP 地址、延迟、请求路径和服务器响应)。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

multi-region-cloudtrail-enabled

AWS CloudTrail 记录 AWS 管理控制台操作和 API 调用。您可以标识哪些用户和账户调用了 AWS、从中发出调用的源 IP 地址以及调用的发生时间。如果启用了 MULTI_REGION_CLOUD_TRAIL_ENABLED,CloudTrail 会将来自所有 AWS 区域的日志文件传输到您的 S3 存储桶。此外,当 AWS 推出新区域时,CloudTrail 将在新区域中创建相同的跟踪。因此,您无需采取任何措施,即可收到包含新区域的 API 活动的日志文件。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) 服务器访问日志记录可提供一种监控网络中是否存在潜在网络安全事件的方法。通过捕获向 Amazon S3 存储桶发出的请求的详细记录,来监控事件。每条访问日志记录都提供有关单个访问请求的详细信息。这些详细信息包括请求者、存储桶名称、请求时间、请求操作、响应状态和错误代码(如果相关)。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

vpc-flow-logs-enabled

VPC 流日志详细记录进出 Amazon Virtual Private Cloud (Amazon VPC) 网络接口的 IP 流量信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

wafv2-logging-enabled

为了帮助在您的环境中进行日志记录和监控,请在区域和全局 Web ACL 上启用 AWS WAF (V2) 日志记录。AWSWAF 日志记录提供有关 Web ACL 分析的流量的详细信息。日志记录 AWS 接收来自 AWS 资源的请求的时间,有关请求的详细信息,以及每个请求所匹配的规则的操作。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

cloudtrail-enabled

AWS CloudTrail 可以通过记录 AWS 管理控制台操作和 API 调用来帮助实现不可否认性。您可以识别调用 AWS 服务的用户和 AWS 账户、发出调用的源 IP 地址以及调用的时间。捕获的数据的详细信息可在 AWS CloudTrail“记录内容”中查看。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

cloudtrail-s3-dataevents-enabled

收集 Simple Storage Service (Amazon S3) 数据事件有助于检测任何异常活动。详细信息包括访问 Amazon S3 存储桶的 AWS 账户信息、IP 地址和事件时间。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

codebuild-project-logging-enabled

确保已启用 AWS CodeBuild 项目日志记录,以便将构建输出日志发送到 Amazon CloudWatch 或 Amazon Simple Storage Service (Amazon S3)。构建输出日志提供有关您的构建项目的详细信息。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

elasticsearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。域错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

opensearch-audit-logging-enabled

确保在 Amazon OpenSearch Service 域中启用审计日志记录。审计日志记录允许您跟踪 OpenSearch 域上的用户活动,包括成功和失败的身份验证、对 OpenSearch 的请求、索引更改以及传入的搜索查询。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

opensearch-logs-to-cloudwatch

确保 Amazon OpenSearch Service 域已启用错误日志,并将其流式传输到 Amazon CloudWatch Logs 以进行保留和响应。OpenSearch Service 错误日志可以帮助进行安全和访问审核,还可以帮助诊断可用性问题。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

rds-logging-enabled

为了帮助在环境中进行日志记录和监控,请确保已启用 Amazon Relational Database Service (Amazon RDS) 日志记录。利用 Amazon RDS 日志记录,您可以捕获诸如连接、断开连接、查询或查询的表之类的事件。
10.3.1 对于每个事件,为所有系统组件至少记录以下审计跟踪记录条目:用户标识

redshift-cluster-configuration-check

要保护静态数据,请确保您的 Amazon Redshift 集群启用了加密。您还必须确保在 Amazon Redshift 集群上部署所需的配置。应启用审计日志记录,以提供有关数据库中连接和用户活动的信息。此规则要求为 clusterDbEncrypted(Config 默认值:TRUE)和 loggingEnabled(Config 默认值:TRUE)设置值。实际值应反映贵组织的策略。
10.5 保护审计跟踪记录,使其无法更改。

cloud-trail-encryption-enabled

由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 AWS CloudTrail 跟踪启用了加密。
10.5 保护审计跟踪记录,使其无法更改。

s3-bucket-server-side-encryption-enabled

为了帮助保护静态数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用加密以帮助保护这些数据。
10.5 保护审计跟踪记录,使其无法更改。

s3-default-encryption-kms

确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
10.5.2 保护审计跟踪记录文件免遭未经授权的修改。

cloud-trail-encryption-enabled

由于可能存在敏感数据,并且为了帮助保护静态数据,应确保您的 AWS CloudTrail 跟踪启用了加密。
10.5.2 保护审计跟踪记录文件免遭未经授权的修改。

s3-bucket-server-side-encryption-enabled

为了帮助保护静态数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用加密以帮助保护这些数据。
10.5.2 保护审计跟踪记录文件免遭未经授权的修改。

s3-default-encryption-kms

确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶启用了加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。
10.5.3 立即将审计跟踪记录文件备份到难以修改的集中式日志服务器或介质。

s3-lifecycle-policy-check

确保配置了 Amazon S3 生命周期策略,以帮助定义您希望 Amazon S3 在对象生命周期内采取的操作(例如,将对象过渡到其他存储类、将其存档或在指定时间后删除)。
10.5.3 立即将审计跟踪记录文件备份到难以修改的集中式日志服务器或介质。

backup-plan-min-frequency-and-min-retention-check

为了帮助完成数据备份流程,请确保为 AWS Backup 计划设置最低频率和保留期。AWSBackup 是一项完全托管式备份服务,具有基于策略的备份解决方案。该解决方案可简化您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue(Config 默认值:1)、requiredRetentionDays(Config 默认值:35)和 requiredFrequencyUnit(Config 默认值:days)参数。实际值应反映贵组织的需求。
10.5.3 立即将审计跟踪记录文件备份到难以修改的集中式日志服务器或介质。

cloud-trail-cloud-watch-logs-enabled

使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据可提供您的 AWS 账户中 API 调用活动的详细信息。
10.5.3 立即将审计跟踪记录文件备份到难以修改的集中式日志服务器或介质。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) 跨区域复制 (CRR) 支持保持足够的容量和可用性。CRR 可在 Amazon S3 存储桶间自动异步复制对象,以帮助确保数据的可用性。
10.5.5 对日志使用文件完整性监控或更改检测软件,以确保在未生成警报的情况下无法更改现有的日志数据(但添加的新数据应该不会导致警报)

cloud-trail-log-file-validation-enabled

利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 交付后是否被修改、删除或更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
10.5.5 对日志使用文件完整性监控或更改检测软件,以确保在未生成警报的情况下无法更改现有的日志数据(但添加的新数据应该不会导致警报)

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) 存储桶版本控制有助于将对象的多个变体保存在同一 Amazon S3 存储桶中。对于 Amazon S3 存储桶中存储的每个对象,使用版本控制功能来保存、检索和还原它们的各个版本。版本控制功能可帮助您轻松地从用户意外操作和应用程序故障中恢复。
10.7 将审计跟踪记录保留至少一年,其中至少有三个月可以立即进行分析(例如,在线、存档或可从备份中恢复)。

s3-lifecycle-policy-check

确保配置了 Amazon S3 生命周期策略,以帮助定义您希望 Amazon S3 在对象生命周期内采取的操作(例如,将对象过渡到其他存储类、将其存档或在指定时间后删除)。
10.7 将审计跟踪记录保留至少一年,其中至少有三个月可以立即进行分析(例如,在线、存档或可从备份中恢复)。

backup-plan-min-frequency-and-min-retention-check

为了帮助完成数据备份流程,请确保为 AWS Backup 计划设置最低频率和保留期。AWSBackup 是一项完全托管式备份服务,具有基于策略的备份解决方案。该解决方案可简化您的备份管理,使您能够满足业务和监管备份合规性要求。此规则允许您设置 requiredFrequencyValue(Config 默认值:1)、requiredRetentionDays(Config 默认值:35)和 requiredFrequencyUnit(Config 默认值:days)参数。实际值应反映贵组织的需求。
11.2.3 进行内部和外部扫描,并在发生重大变化后根据需要重新扫描。必须由合格的人员进行扫描。

ecr-private-image-scanning-enabled

Amazon Elastic Container Repository (ECR) 映像扫描可帮助识别容器映像中的软件漏洞。在 ECR 存储库中启用映像扫描功能可为所存储映像的完整性和安全性增加一层验证。
11.4 使用入侵检测和/或入侵防御技术来检测和/或防止网络入侵。监控持卡人数据环境周边以及持卡人数据环境关键点的所有流量,并提醒人员注意可疑的漏洞。及时更新所有入侵检测和防护引擎、基准和签名。

guardduty-enabled-centralized

Amazon GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。这些威胁情报源包括恶意 IP 列表和机器学习列表,用于标识您的 AWS 云环境中的意外、未经授权的恶意活动。
11.4 使用入侵检测和/或入侵防御技术来检测和/或防止网络入侵。监控持卡人数据环境周边以及持卡人数据环境关键点的所有流量,并提醒人员注意可疑的漏洞。及时更新所有入侵检测和防护引擎、基准和签名。

netfw-policy-rule-group-associated

AWS Network Firewall 策略定义您的防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来过滤数据包和流量,并定义默认流量处理方式。
11.5 部署更改检测机制(例如文件完整性监控工具),提醒人员注意关键系统文件、配置文件或内容文件未经授权的修改(包括更改、添加和删除);并将软件配置为至少每周进行一次关键文件比较。

cloud-trail-log-file-validation-enabled

利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 交付后是否被修改、删除或更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。
11.5 部署更改检测机制(例如文件完整性监控工具),提醒人员注意关键系统文件、配置文件或内容文件未经授权的修改(包括更改、添加和删除);并将软件配置为至少每周进行一次关键文件比较。

securityhub-enabled

AWS Security Hub 有助于监控未经授权的人员、连接、设备和软件。AWSSecurity Hub 可以聚合、组织和优先处理来自多个 AWS 服务的安全告警或结果。其中一些服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager 和 AWS 合作伙伴解决方案。

模板

该模板可在 GitHub 上找到:PCI DSS 3.2.1 操作最佳实践