本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CIS AWS 基準測試
AWS Audit Manager 提供了兩個預先構建的框架,支持互聯網安全中心(CIS)Amazon Web Services(AWS)基準測試版 1.2.0。
注意
-
如需支援 v1.3.0 之 Audit Manager 架構的相關資訊,請參閱 CIS AWS 基準測試。
-
如需支援 v1.4.0 之 Audit Manager 架構的相關資訊,請參閱 CIS AWS 基準測試。
什麼是CIS?
該CIS是一個非營利組織,開發了 CIS AWS 基礎基準
如需詳細資訊,請參閱 CIS AWS 基金會基準博客
CIS基準和CIS控制之間的區別
CIS基準測試是特定於廠商產品的安全性最佳實務準則。從操作系統到雲端服務和網路裝置,基準測試套用的設定可保護貴組織使用的特定系統。CIS控制項是組織層級系統的基本最佳實務準則,以協助防範已知的網路攻擊媒介。
範例
-
CIS基準是規定的。它們通常會參考可在廠商產品中檢閱和配置的特定設定。
範例:CIS AWS 基準測試 v1.2.0-確保MFA為「根用戶」帳戶啟用。
此建議提供有關如何檢查以及如何在根帳戶上設定此項的規範性指引 AWS 環境。
-
CIS控制項適用於您的組織作為一個整體。它們不是針對單一供應商產品。
範例:CISv7.1-針對所有系統管理存取使用多因素驗證
此控制項描述預期要在組織內套用的項目。它不會說明您應該如何將其應用於正在執行的系統和工作負載中 (無論它們位於何處)。
使用此架構
您可以使用 CIS AWS 基準測試 v1.2 框架 AWS Audit Manager 協助您準備CIS稽核。您也可以根據特定需求自訂這些架構和他們的控制項,以支援內部稽核。
使用架構作為起點,您可以建立 Audit Manager 評估,並開始收集與稽核相關的證據。建立評估之後,Audit Manager 會開始評估您的 AWS 的費用。它根據CIS框架中定義的控件執行此操作。需要進行稽核時,您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾,並選擇要包含在評估報告中的證據。或者,如果您啟用了證據查找器,則可以搜索特定證據並以CSV格式導出,或者從搜索結果中創建評估報告。不論何種方式,您都可以使用此評估報告來顯示您的控制項正在按預期運作。
架構的詳細資訊如下:
| 框架名稱 AWS Audit Manager | 自動化控制項數量 | 手動控制項數量 | 控制集數 |
|---|---|---|---|
| 互聯網安全中心(CIS)Amazon Web Services(AWS)基準 v1.2.0,1 級 | 33 | 3 | 4 |
| 互聯網安全中心(CIS)Amazon Web Services(AWS)基準 v1.2.0,第一級和第二級 | 45 | 4 | 4 |
提示
若要檢閱清單 AWS Config 用作這些標準框架的數據源映射規則,請下載以下文件:
-
AuditManager_ ConfigDataSourceMappings _ CIS--AWS 基準測試-V1.2.0-Level-1.zip
-
AuditManager_ ConfigDataSourceMappings _ CIS--AWS 基準測試-V1.2.0-Level-1-and-2.zip
這些架構中的控制項並非用來驗證您的系統是否符合 CIS AWS 基準最佳做法。此外,他們不能保證您會通過CIS審核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控件。
您可以在 Audit Manager 中架構程式庫的 [標準架構] 索引標籤下找到這些架構。
使用這些架構的先決條件
中的許多控件 CIS AWS 基準測試 v1.2 框架使用 AWS Config 做為資料來源類型。若要支援這些控制項,您必須啟用 AWS Config在每個帳戶上 AWS 區域 您已啟用 Audit Manager 的位置。您還必須確保具體 AWS Config 規則已啟用,且這些規則已正確設定。
如下所示 AWS Config 需要規則和參數才能收集正確的證據並捕獲準確的合規狀態 CIS AWS 基金會基準 V1.2。如需如何啟用或設定規則的指示,請參閱使用 AWS Config 受管規則。
| 必要 AWS Config 規則 | 必要參數 |
|---|---|
| ACCESS_KEYS_ROTATED |
|
| CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED | 不適用 |
| CLOUD_TRAIL_ENCRYPTION_ENABLED | 不適用 |
| CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED | 不適用 |
| CMK_BACKING_KEY_ROTATION_ENABLED | 不適用 |
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
| IAM_PASSWORD_POLICY |
|
|
|
| IAM_ POLICY _ 否 _ _ STATEMENTS _ WITH ADMIN ACCESS | 不適用 |
| IAM_ROOT_ACCESS_KEY_CHECK | 不適用 |
| IAM_ USER 不 _ POLICIES _ CHECK | 不適用 |
| IAM_USER_UNUSED_CREDENTIALS_CHECK |
|
| INCOMING_SSH_DISABLED | 不適用 |
| MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS | 不適用 |
| MULTI_REGION_CLOUD_TRAIL_ENABLED | 不適用 |
| RESTRICTED_INCOMING_TRAFFIC |
|
| ROOT_ACCOUNT_HARDWARE_MFA_ENABLED | 不適用 |
| ROOT_ACCOUNT_MFA_ENABLED | 不適用 |
| S3 _ _ BUCKET LOGGING ENABLED |
|
| S3 _ _ BUCKET _ PUBLIC READ PROHIBITED | 不適用 |
| VPC_DEFAULT_SECURITY_GROUP_CLOSED | 不適用 |
| VPC_FLOW_LOGS_ENABLED |
|
後續步驟
如需使用這些架構建立評估方式的說明,請參閱 在中建立評估 AWS Audit Manager。
如需如何自訂這些架構以支援您的特定需求的指示,請參閱在中製作現有框架的可編輯副本 AWS Audit Manager。
其他資源
-
CIS AWS 基金會基準博客
文章 AWS 安全部落格
