本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CIS AWS 基準測試
AWS Audit Manager 提供兩個預先建置的標準架構,以支援 CIS AWS 基準測試版 1.3。
注意
-
如需支援 v1.2.0 之 Audit Manager 架構的相關資訊,請參閱 CIS AWS 基準測試。
-
如需支援 v1.4.0 之 Audit Manager 架構的相關資訊,請參閱 CIS AWS 基準測試。
什麼是 AWS CIS基準?
該CIS開發的 CIS AWS 基礎基準測試
如需詳細資訊,請參閱 CIS AWS 基金會基準博客
CIS AWS 基準測試 v1.3.0 提供了一個子集的安全性選項設定指引 AWS 服務 著重於基礎,可測試和架構不可知的設置。本文件部分特定 Amazon Web Services 範圍包含以下項目:
-
AWS Identity and Access Management (IAM)
-
AWS Config
-
AWS CloudTrail
-
Amazon CloudWatch
-
Amazon 簡單通知服務(AmazonSNS)
-
Amazon Simple Storage Service (Amazon S3)
-
Amazon Virtual Private Cloud (預設)
CIS基準和CIS控制之間的區別
這些CIS基準是針對廠商產品特定的安全性最佳實務準則。從操作系統到雲端服務和網路裝置,基準套用的設定可保護貴組織使用的系統。CIS控制項是組織遵循的基本最佳實務準則,以協助防範已知的網路攻擊媒介。
範例
-
CIS基準是規定的。它們通常會參考可在廠商產品中檢閱和配置的特定設定。
範例:CIS AWS 基準測試 v1.3.0-確保 MFA「根用戶」帳戶已啟用
此建議提供有關如何檢查以及如何在根帳戶上設定此項的規範性指引 AWS 環境。
-
CIS控制項適用於您的組織整體,而不是僅限於一個廠商產品。
範例:CISv7.1-針對所有系統管理存取使用多因素驗證
此控制項會說明組織內預期套用的項目,但不會說明您應該如何將其應用於正在執行的系統和工作負載中 (無論它們位於何處)。
使用這些架構
您可以使用 CIS AWS 基準測試 v1.3 框架 AWS Audit Manager 協助您準備CIS稽核。您也可以根據特定需求自訂這些架構和他們的控制項,以支援內部稽核。
使用架構作為起點,您可以建立 Audit Manager 評估,並開始收集與稽核相關的證據。建立評估之後,Audit Manager 會開始評估您的 AWS 的費用。它根據CIS框架中定義的控件執行此操作。需要進行稽核時,您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾,並選擇要包含在評估報告中的證據。或者,如果您啟用了證據查找器,則可以搜索特定證據並以CSV格式導出,或者從搜索結果中創建評估報告。不論何種方式,您都可以使用此評估報告來顯示您的控制項正在按預期運作。
架構的詳細資訊如下:
框架名稱 AWS Audit Manager | 自動化控制項數量 | 手動控制項數量 | 控制集數 |
---|---|---|---|
互聯網安全中心(CIS)Amazon Web Services(AWS)基準 v1.3.0,1 級 | 32 | 5 | 5 |
互聯網安全中心(CIS)Amazon Web Services(AWS)基準 v1.3.0,第一級和第二級 | 49 | 6 | 5 |
提示
若要檢閱清單 AWS Config 用作這些標準框架的數據源映射規則,請下載以下文件:
-
AuditManager_ ConfigDataSourceMappings _ CIS--AWS 基準測試-V1.3.0-Level-1.zip
-
AuditManager_ ConfigDataSourceMappings _ CIS--AWS 基準測試-V1.3.0-Level-1-and-2.zip
這些架構中的控制項並非用來驗證您的系統是否符合 CIS AWS 基準最佳做法。此外,他們不能保證您會通過CIS審核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控件。
您可以在 Audit Manager 中架構程式庫的 [標準架構] 索引標籤下找到這些架構。
後續步驟
如需使用這些架構建立評估方式的說明,請參閱 在中建立評估 AWS Audit Manager。
如需如何自訂這些架構以支援您的特定需求的指示,請參閱在中製作現有框架的可編輯副本 AWS Audit Manager。
其他資源
-
CIS AWS 基金會基準博客
文章 AWS 安全部落格