本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
每个控件都被分配了一个类别。控件的类别反映了它应用于的安全功能。
类别值包含类别、类别内的子类别以及可选的子类别内的分类器。例如:
-
识别 > 清单
-
保护 > 数据保护 > 传输中数据加密
以下是对可用类别、子类别和分类器的描述。
识别
了解组织情况以管理系统、资产、数据和功能面临的网络安全风险。
- 清单
-
该服务是否实施了正确的资源标记策略? 标记策略是否包含资源拥有者?
该服务使用哪些资源? 该服务是否有权使用这些资源?
您是否知道批准的库存? 例如,您是否使用诸如 Amazon S EC2 ystems Manager 和 Service Catalog 之类的服务?
- 日志记录
-
您是否已安全启用该服务的所有相关日志记录? 日志文件的示例包括以下内容:
-
Amazon VPC 流量日志
-
Elastic Load Balancing 访问日志
-
亚马逊 CloudFront 日志
-
Amazon CloudWatch 日志
-
Amazon Relational Database Service 日志
-
亚马逊 OpenSearch 服务慢速索引日志
-
X-Ray 跟踪
-
AWS Directory Service 日志
-
AWS Config 物品
-
快照
-
保护
制定并实施适当的保护措施,以确保提供关键基础设施服务和安全编码实践。
- 安全访问管理
-
该服务是否在其 IAM 或资源策略中使用最低权限实践?
密码和密钥是否足够复杂? 它们是否已适当轮换?
该服务是否使用多因素身份验证 (MFA)?
该服务是否避开根用户?
基于资源的策略是否允许公有访问?
- 安全网络配置
-
该服务是否避免公有和不安全的远程网络访问?
该服务是否VPCs正常使用? 例如,是否需要作业才能运行VPCs?
该服务是否已正确分割和隔离敏感资源?
- 数据保护
-
静态数据加密——该服务是否加密静态数据?
加密传输中数据——该服务是否对数据进行传输中加密?
数据完整性——该服务是否验证数据的完整性?
数据删除保护——该服务是否保护数据免遭意外删除?
数据管理/使用——您是否使用 Amazon Macie 等服务来跟踪敏感数据的位置?
- API保护
-
该服务是否 AWS PrivateLink 用于保护服务API操作?
- 保护性服务
-
是否有适当的保护性服务? 它们是否提供了正确的覆盖范围?
保护性服务可帮助您转移针对该服务的攻击和破坏。中的保护服务示例 AWS 包括 AWS Control Tower、、、Vanta AWS WAF AWS Shield Advanced、Secrets Manager、A IAM ccess Analyzer 和 AWS Resource Access Manager。
- 安全开发
-
您是否使用了安全编码实践?
您是否避免了诸如 Open Web 应用程序安全项目 (OWASP) 前十名之类的漏洞?
Detect
制定并实施适当的活动,以识别网络安全事件的发生。
- 检测服务
-
是否有适当的检测服务?
它们是否提供了正确的覆盖范围?
AWS 检测服务的示例包括亚马逊 GuardDuty、Amazon Inspector AWS Security Hub、Amazon Detective、A CloudWatch mazon Al AWS IoT Device Defender arms 和 AWS Trusted Advisor。
响应
制定并实施适当的活动,以便对检测到的网络安全事件采取措施。
- 响应措施
-
您是否能迅速对安全事件做出响应?
您现在是否有任何“严重”或“高”严重性的结果?
- 取证
-
您是否能够安全地获取服务的取证数据? 例如,您是否获取了与真实积极发现相关的Amazon EBS 快照?
您是否设立了取证账户?
恢复
制定并实施适当的活动,以维护恢复能力计划,恢复因网络安全事件而受损的任何能力或服务。
- 弹性
-
服务配置是否支持正常故障转移、弹性扩展和高可用性?
您是否已创建备份?
