服务管理标准： AWS Control Tower

本节提供有关服务托管标准的信息： AWS Control Tower.

什么是服务管理标准： AWS Control Tower?

该标准专为以下用户而设计 AWS Security Hub 和 AWS Control Tower。 它允许您配置的主动控制 AWS Control Tower 除了 Security Hub 的侦探控制外 AWS Control Tower 服务。

主动控制有助于确保您的 AWS 账户 保持合规性，因为它们会标记可能导致违反策略或配置错误的操作。Detective 控件可检测您内部的资源不合规（例如，配置错误） AWS 账户。 通过为您启用主动和侦测控制 AWS 环境，您可以在开发的不同阶段增强您的安全状况。

提示

服务管理标准不同于以下标准 AWS Security Hub 负责管理。例如，您必须在托管服务中创建和删除服务托管标准。有关更多信息，请参阅 Security Hub 中的服务管理标准。

在 Security Hub 控制台中API，您可以查看服务管理标准： AWS Control Tower 以及其他 Security Hub 标准。

创建标准

仅当您在中创建标准时，此标准才可用 AWS Control Tower. AWS Control Tower 使用以下方法之一首次启用适用的控件时创建标准：

• AWS Control Tower Console

• AWS Control Tower API（致电 EnableControlAPI）

• AWS CLI （运行enable-control命令）

Security Hub 控件在 AWS Control Tower 控制台为 SH。ControlID（例如，SH。 CodeBuild.1)。

在创建标准时，如果您尚未启用 Security Hub， AWS Control Tower 还会为您启用 Security Hub。

如果你还没有设置 AWS Control Tower，你无法在 Security Hub 控制台、Security Hub 中查看或访问此标准API，或者 AWS CLI。 即使你已经设置好了 AWS Control Tower，如果不先在 Security Hub 中创建标准，则无法在 Security Hub 中查看或访问该标准 AWS Control Tower 使用上述方法之一。

该标准仅在 AWS 区域 其中 AWS Control Tower 可用，包括 AWS GovCloud (US).

在标准中启用和禁用控件

在中创建标准之后 AWS Control Tower 控制台，则可以在两个服务中查看标准版及其可用控件。

首次创建标准后，没有任何自动启用的控件。此外，当 Security Hub 添加新控件时，这些控件不会自动启用服务托管标准版： AWS Control Tower。 您应该在中启用和禁用标准控件 AWS Control Tower 通过使用以下方法之一：

• AWS Control Tower Console

• AWS Control Tower API（打电话给 an EnableControld DisableControlAPIs）

• AWS CLI （运行enable-control和disable-control命令）

当您在中更改控件的启用状态时 AWS Control Tower，这一变化也反映在 Security Hub 中。

但是，在 Security Hub 中禁用已在中启用的控件 AWS Control Tower 导致控制偏移。控制状态为 AWS Control Tower 显示为Drifted。您可以通过在 “重新注册 OU” 中选择 “重新注册 OU” 来解决这种偏差 AWS Control Tower 控制台，或者在中禁用并重新启用控件 AWS Control Tower 使用上述方法之一。

在中完成启用和禁用操作 AWS Control Tower 帮助您避免控制偏差。

当您在中启用或禁用控件时 AWS Control Tower，该操作适用于所有账户和区域。如果您在 Security Hub 中启用和禁用控制（不建议用于此标准），则该操作仅适用于当前账户和区域。

注意

中央配置不能用于管理服务管理标准： AWS Control Tower。 如果您使用集中配置，则只能使用 AWS Control Tower 该服务用于启用和禁用本标准中针对集中管理账户的控件。

查看启用状态和控件状态

您可以使用以下方法之一查看控件的启用状态：

• Security Hub 控制台、Security Hub API 或 AWS CLI

• AWS Control Tower Console

• AWS Control Tower API查看已启用的控件列表（请致电 ListEnabledControlsAPI）

• AWS CLI 查看已启用的控件列表（运行list-enabled-controls命令）

你在中禁用的控件 AWS Control Tower 除非您在 Security Hub Disabled 中明确启用该控件，否则在 Security Hub 中的启用状态为。

Security Hub 根据控件调查发现的工作流程状态和合规性状态来计算控件状态。有关启用状态和控件状态的更多信息，请参阅 查看控件的详细信息。

根据控制状态，Security Hub 计算服务管理标准的安全分数： AWS Control Tower。 此分数仅在 Security Hub 中可用。此外，您只能在 Security Hub 中查看控件调查发现。标准安全评分和控制结果在中不可用 AWS Control Tower.

注意

当您为服务管理标准启用控制时： AWS Control Tower，Security Hub 最多可能需要 18 小时才能生成使用现有控件的控件的调查结果 AWS Config 服务关联规则。如果您在 Security Hub 中启用了其他标准和控件，则可能已有与服务相关的规则。有关更多信息，请参阅 有关运行安全检查的计划。

删除标准

你可以在中删除这个标准 AWS Control Tower 使用以下方法之一禁用所有适用的控件：

• AWS Control Tower Console

• AWS Control Tower API（致电 DisableControlAPI）

• AWS CLI （运行disable-control命令）

禁用所有控件会删除所有托管账户和受管辖区域中的标准 AWS Control Tower。 删除中的标准 AWS Control Tower 将其从 Security Hub 控制台的 “标准” 页面中移除，您将无法再使用 Security Hub 访问它API或 AWS CLI.

注意

在 Security Hub 中禁用标准中的所有控件并不能禁用或删除该标准。

禁用 Security Hub 服务会移除服务托管标准： AWS Control Tower 以及您启用的任何其他标准。

服务管理标准的查找字段格式： AWS Control Tower

创建服务管理标准时： AWS Control Tower 并对其启用控件，您将开始在 Security Hub 中收到控制结果。Security Hub 在 AWS 安全调查结果格式 (ASFF) 中报告控件调查发现。以下是该标准的 Amazon 资源名称 (ARN) 的ASFF值，以及GeneratorId：

• 标准 ARN — arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

• GeneratorId – service-managed-aws-control-tower/v/1.0.0/CodeBuild.1

有关服务管理标准的调查结果示例： AWS Control Tower，请参阅 Security Hub 中的控制结果示例。

适用于服务管理标准的控制措施： AWS Control Tower

服务管理标准： AWS Control Tower 支持属于控件的子集 AWS 基础安全最佳实践 (FSBP) 标准。从下表中选择一个控件以查看有关该控件的信息，包括失败的调查发现的补救步骤。

以下列表显示了服务托管标准的可用控件： AWS Control Tower。 对控制的区域限制与标准中对必然控制的区域限制相符。FSBP此列表显示了与标准无关的安全控制。IDs在 AWS Control Tower 控制台，控IDs件格式为 SH。ControlID（例如 SH。 CodeBuild.1)。在 Security Hub 中，如果在账户中关闭了整合的控件调查发现，则 ProductFields.ControlId 字段将使用基于标准的控件 ID。基于标准的对照 ID 的格式为 CT。ControlId（例如，CT。 CodeBuild.1)。

• [Account.1] 应为以下人员提供安全联系信息 AWS 账户

• [ACM.1] 导入和ACM签发的证书应在指定的时间段后续订

• [ACM.2] 由管理的RSA证书ACM应使用至少 2,048 位的密钥长度

• [APIGateway.1] 应启用API网关REST和 WebSocket API执行日志记录

• [APIGateway.2] 应将API网关RESTAPI阶段配置为使用SSL证书进行后端身份验证

• [APIGateway.3] API 网关RESTAPI阶段应该有 AWS X-Ray 已启用跟踪

• [APIGateway.4] API 网关应与 Web 关联 WAF ACL

• [APIGateway.5] API 网关RESTAPI缓存数据应在静态时加密

• [APIGateway.8] API 网关路由应指定授权类型

• [APIGateway.9] 应为API网关 V2 阶段配置访问日志

• [AppSync.5] AWS AppSync APIs不应使用密钥对 GraphQL 进行身份验证 API

• [AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用运行ELB状况检查

• [AutoScaling.2] Amazon A EC2 uto Scaling 组应覆盖多个可用区域

• [AutoScaling.3] Auto Scaling 组启动配置应将EC2实例配置为需要实例元数据服务版本 2 (IMDSv2)

• [Autoscaling.5] 使用 Auto Scaling 组启动配置启动的EC2亚马逊实例不应具有公有 IP 地址

• [AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型

• [AutoScaling.9] 亚马逊 A EC2 uto Scaling 小组应使用亚马逊EC2启动模板

• [CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪

• [CloudTrail.2] CloudTrail 应该启用静态加密

• [CloudTrail.4] 应启用 CloudTrail 日志文件验证

• [CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成

• [CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问

• [CodeBuild.1] CodeBuild Bitbucket 源存储库URLs不应包含敏感凭证

• [CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证

• [CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密

• [CodeBuild.4] CodeBuild 项目环境应该有日志记录 AWS Config持续时间

• [DMS.1] Database Migration Service 的复制实例不应是公共的

• [DMS.9] DMS 端点应使用 SSL

• [DocumentDB.1] Amazon DocumentDB 集群应进行静态加密

• [DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期

• [DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开

• [DynamoDB.1] DynamoDB 表应根据需求自动扩展容量

• [DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time

• [DynamodB.3] DynamoDB Accelerator () 集群应处于静态加密状态 DAX

• [EC2.1] Amazon EBS 快照不应公开恢复

• [EC2.2] VPC 默认安全组不应允许入站或出站流量

• [EC2.3] 附加的 Amazon EBS 卷应在静态状态下进行加密

• [EC2.4] 应在指定时间段后移除已停止的EC2实例

• [EC2.6] 应全部启用VPC流日志记录 VPCs

• [EC2.7] 应EBS启用默认加密

• [EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2

• [EC2.9] Amazon EC2 实例不应有公共地址 IPv4

• [EC2.10] EC2 应将亚马逊配置为使用为亚马逊EC2服务创建的VPC终端节点

• [EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址

• [EC2.16] 应删除未使用的网络访问控制列表

• [EC2.17] Amazon EC2 实例不应使用多个 ENIs

• [EC2.18] 安全组应只允许授权端口不受限制的传入流量

• [EC2.19] 安全组不应允许不受限制地访问高风险端口

• [EC2.20] 两VPN条隧道都是 AWS 站点到站点的VPN连接应该已开启

• [EC2.21] 网络ACLs不应允许从 0.0.0.0/0 进入端口 22 或端口 3389

• [EC2.22] 应移除未使用的亚马逊EC2安全组

• [EC2.23] Amazon Tr EC2 ansit Gateways 不应自动接受VPC附件请求

• [EC2.25] Amazon EC2 启动模板不应将公共分配IPs给网络接口

• [ECR.1] ECR 私有仓库应配置图像扫描

• [ECR.2] ECR 私有仓库应配置标签不可变性

• [ECR.3] ECR 存储库应至少配置一个生命周期策略

• [ECS.1] Amazon ECS 任务定义应具有安全联网模式和用户定义。

• [ECS.2ECS] 不应自动为其分配公有 IP 地址

• [ECS.3] ECS 任务定义不应共享主机的进程命名空间

• [ECS.4] ECS 容器应以非特权身份运行

• [ECS.5] 应将ECS容器限制为对根文件系统的只读访问权限

• [ECS.8] 不应将机密作为容器环境变量传递

• [ECS.10] Farg ECS ate 服务应在最新的 Fargate 平台版本上运行

• [ECS.12] ECS 集群应使用容器见解

• [EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS

• [EFS.2] Amazon EFS 卷应包含在备份计划中

• [EFS.3] EFS 接入点应强制使用根目录

• [EFS.4] EFS 接入点应强制使用用户身份

• [EKS.1] 不应公开访问EKS集群终端节点

• [EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行

• [ElastiCache.3] ElastiCache (RedisOSS) 复制组应启用自动故障转移

• [ElastiCache.4] ElastiCache (RedisOSS) 复制组应进行静态加密

• [ElastiCache.5] ElastiCache (RedisOSS) 复制组应在传输过程中进行加密

• [ElastiCache.6] ElastiCache （RedisOSS）早期版本的复制组应启用 Redis OSS AUTH

• [ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告

• [ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新

• [ELB.1] 应将 Application Load Balancer 配置为将所有HTTP请求重定向到 HTTPS

• [ELB.2] 带SSL/HTTPS监听器的经典负载均衡器应使用由提供的证书 AWS Certificate Manager

• [ELB.3] 应将 Classic Load Balancer 侦听器配置为HTTPS或终止 TLS

• [ELB.4] 应将 Application Load Balancer 配置为删除 http 标头

• [ELB.5] 应启用应用程序和经典负载均衡器日志记录

• [ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护

• [ELB.7] 经典负载均衡器应启用连接耗尽功能

• [ELB.8] 带有SSL侦听器的经典负载均衡器应使用具有强大功能的预定义安全策略 AWS Config持续时间

• [ELB.9] 经典负载均衡器应启用跨区域负载均衡

• [ELB.10] Classic Load Balancer 应跨越多个可用区

• [ELB.12] 应将 Application Load Balancer 配置为防御性或最严格的不同步缓解模式

• [ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区

• [ELB.14] 应将 Classic Load Balancer 配置为防御或最严格的不同步缓解模式

• [EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址

• [ES.1] Elasticsearch 域应启用静态加密

• [ES.2] Elasticsearch 域名不可供公共访问

• [ES.3] Elasticsearch 域应加密节点之间发送的数据

• [ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志

• [ES.5] Elasticsearch 域名应该启用审核日志

• [ES.6] Elasticsearch 域应拥有至少三个数据节点

• [ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点

• [ES.8] 应使用最新的安全策略对与 Elasticsearch 域的连接进行加密 TLS

• [EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略

• [GuardDuty.1] GuardDuty 应该启用

• [IAM.1] IAM 策略不应允许完全的 “*” 管理权限

• [IAM.2] IAM 用户不应附加IAM政策

• [IAM.3] IAM 用户的访问密钥应每 90 天或更短时间轮换一次

• [IAM.4] IAM root 用户访问密钥不应存在

• MFA应为所有拥有控制台密码的IAM用户启用 [IAM.5]

• [IAM.6] MFA 应为 root 用户启用硬件

• [IAM.7] IAM 用户的密码策略应具有很强的配置

• [IAM.8] 应删除未使用的IAM用户凭证

• [IAM.21] 您创建的IAM客户托管策略不应允许对服务执行通配符操作

• [Kinesis.1] Kinesis 直播应在静态状态下进行加密

• [KMS.1] IAM 客户托管策略不应允许对所有密钥执行解密操作 KMS

• [KMS.2] IAM 委托人不应有允许对所有密钥进行解密操作的IAM内联策略 KMS

• [KMS.3] AWS KMS keys 不应无意中删除

• [KMS.4] AWS KMS 应启用密钥轮换

• [Lambda.1] Lambda 函数策略应禁止公共访问

• [Lambda.2] Lambda 函数应使用受支持的运行时系统

• [Lambda.3] Lambda 函数应位于 VPC

• [Lambda.5] Lambd VPC a 函数应在多个可用区中运行

• [MSK.1] MSK 集群应在代理节点之间传输时进行加密

• [MQ.5] ActiveMQ 代理应使用主动/备用部署模式

• [MQ.6] RabbitMQ 代理应该使用集群部署模式

• [Neptune.1] 应对 Neptune 数据库集群进行静态加密

• [Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch

• [Neptune.4] Neptune 数据库集群应启用删除保护

• [Neptune.4] Neptune 数据库集群应启用删除保护

• [Neptune.5] Neptune 数据库集群应启用自动备份

• [Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密

• [Neptune.7] Neptune 数据库集群应启用数据库身份验证 IAM

• [Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照

• [NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组

• [NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包

• [NetworkFirewall.5] 对于分段的数据包，Network Firewall 策略的默认无状态操作应为丢弃或转发

• [NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空

• [Opensearch.1] OpenSearch 域名应启用静态加密

• [Opensearch.2] OpenSearch 域名不应向公众开放

• [Opensearch.3] OpenSearch 域应加密节点之间发送的数据

• [Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误

• [Opensearch.5] OpenSearch 域应启用审核日志

• [Opensearch.6] OpenSearch 域名应至少有三个数据节点

• [Opensearch.7] OpenSearch 域名应启用精细的访问控制

• [Opensearch.8] 应使用最新的安全 OpenSearch 策略对与域的连接进行加密 TLS

• [RDS.1] RDS 快照应该是私有的

• [RDS.2] RDS 数据库实例应禁止公共访问，具体由以下决定 PubliclyAccessible AWS Config持续时间

• [RDS.3] RDS 数据库实例应启用静态加密

• [RDS.4] RDS 集群快照和数据库快照应进行静态加密

• [RDS.5] RDS 数据库实例应配置多个可用区

• [RDS.6] 应为RDS数据库实例配置增强监控

• [RDS.8] RDS 数据库实例应启用删除保护

• [RDS.9] RDS 数据库实例应将日志发布到 CloudWatch 日志

• [RDS.10] 应为RDS实例配置IAM身份验证

• [RDS.11] RDS 实例应启用自动备份

• [RDS.12] 应为RDS群集配置IAM身份验证

• [RDS.13] 应RDS启用自动次要版本升级

• [RDS.15] 应为多个可用区配置RDS数据库集群

• [RDS.17] 应将RDS数据库实例配置为将标签复制到快照

• [RDS.18] RDS 实例应部署在 VPC

• [RDS.19] 应为关键群集RDS事件配置现有的事件通知订阅

• [RDS.20] 应为关键数据库实例RDS事件配置现有的事件通知订阅

• [RDS.21] 应为关键数据库参数组RDS事件配置事件通知订阅

• [RDS.22] 应为关键的数据库安全组RDS事件配置事件通知订阅

• [RDS.23] RDS 实例不应使用数据库引擎的默认端口

• [RDS.25] RDS 数据库实例应使用自定义的管理员用户名

• [RDS.27] RDS 数据库集群应进行静态加密

• [Redshift.1] Amazon Redshift 集群应禁止公共访问

• [Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密

• [Redshift.4] Amazon Redshift 集群应启用审核日志记录

• [Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能

• [Redshift.7] Redshift 集群应使用增强型路由 VPC

• [Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名

• [Redshift.9] Redshift 集群不应使用默认的数据库名称

• [Redshift.10] Redshift 集群应在静态状态下进行加密

• [S3.1] S3 通用存储桶应启用阻止公共访问设置

• [S3.2] S3 通用存储桶应阻止公共读取权限

• [S3.3] S3 通用存储桶应阻止公共写入权限

• [S3.5] S3 通用存储桶应要求请求才能使用 SSL

• [S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 AWS 账户

• [S3.8] S3 通用存储桶应阻止公共访问

• [S3.9] S3 通用存储桶应启用服务器访问日志记录

• [S3.12] ACLs 不应用于管理用户对 S3 通用存储桶的访问权限

• [S3.13] S3 通用存储桶应具有生命周期配置

• [S3.17] S3 通用存储桶应使用静态加密 AWS KMS keys

• [SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网

• [SageMaker.2] SageMaker 笔记本实例应以自定义方式启动 VPC

• [SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限

• [SecretsManager.1] Secrets Manager 密钥应启用自动轮换

• [SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应成功轮换

• [SecretsManager.3] 移除未使用的 Secrets Manager 密钥

• [SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换

• [SQS.1] 应对亚马逊SQS队列进行静态加密

• [SSM.1] 亚马逊EC2实例应由以下人员管理 AWS Systems Manager

• [SSM.2] 安装补丁COMPLIANT后，由 Systems Manager 管理的亚马逊EC2实例的补丁合规性状态应为

• [SSM.3] 由 Systems Manager 管理的亚马逊EC2实例的关联合规状态应为 COMPLIANT

• [SSM.4] SSM 文档不应公开

• [WAF.2] AWS WAF 经典区域规则应至少有一个条件

• [WAF.3] AWS WAF 经典区域规则组应至少有一条规则

• [WAF.4] AWS WAF 经典区域网站ACLs应至少有一个规则或规则组

• [WAF.10] AWS WAF Web ACLs 应该至少有一个规则或规则组

有关该标准的更多信息，请参阅中的 S ecurity Hub 控件 AWS Control Tower 用户指南。