CIS AWS 基準測試 - AWS Audit Manager
什麼是 CIS AWS 基準?使用這些架構後續步驟其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

CIS AWS 基準測試

AWS Audit Manager 提供支援網際網路安全中心的兩個預先建置的標準架構 () CIS AWS 基金會基準測試 v1.4.0。

注意

什麼是 CIS AWS 基準?

該 CIS AWS 基準測試 v1.4.0 針對 Amazon Web Services 子集設定安全選項提供規範指引。其將基礎、可測試和體系結構不可知的設定做為重點。本文件部分特定 Amazon Web Services 範圍包含以下項目:

  • AWS Identity and Access Management (IAM)

  • IAM Access Analyzer

  • AWS Config

  • AWS CloudTrail

  • Amazon CloudWatch

  • Amazon 簡單通知服務(AmazonSNS)

  • Amazon Simple Storage Service (Amazon S3)

  • Amazon 彈性運算雲(AmazonEC2)

  • Amazon Relational Database Service(AmazonRDS)

  • Amazon Virtual Private Cloud

CIS基準和CIS控制之間的區別

這些CIS基準是針對廠商產品特定的安全性最佳實務準則。從操作系統到雲端服務和網路裝置,基準測試套用的設定可保護正在使用的系統。CIS控制項是組織遵循的基本最佳實務準則,以協助防範已知的網路攻擊媒介。

範例

  • CIS基準是規定的。它們通常會參考可在廠商產品中檢閱和配置的特定設定。

    範例:CIS AWS 基準測試 v1.3.0-確保 MFA「根用戶」帳戶已啟用

    此建議提供有關如何檢查以及如何在根帳戶上設定此項的規範性指引 AWS 環境。

  • CIS控制項適用於您的組織整體,而不是僅限於一個廠商產品。

    範例:CISv7.1-針對所有系統管理存取使用多因素驗證

    此控制項描述預期要在組織內套用的項目。然而,它不會說明您應該如何將其應用於正在執行的系統和工作負載中 (無論它們位於何處)。

使用此架構支援您進行稽核準備

您可以使用 CIS AWS 基準測試 v1.4.0 框架 AWS Audit Manager 協助您準備CIS稽核。您也可以根據特定需求自訂這些架構和他們的控制項,以支援內部稽核。

使用架構作為起點,您可以建立 Audit Manager 評估,並開始收集與稽核相關的證據。建立評估之後,Audit Manager 會開始評估您的 AWS 的費用。它根據CIS框架中定義的控件執行此操作。需要進行稽核時,您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾,並選擇要包含在評估報告中的證據。或者,如果您啟用了證據查找器,則可以搜索特定證據並以CSV格式導出,或者從搜索結果中創建評估報告。不論何種方式,您都可以使用此評估報告來顯示您的控制項正在按預期運作。

架構的詳細資訊如下:

框架名稱 AWS Audit Manager 自動化控制項數量 手動控制項數量 控制集數
互聯網安全中心(CIS)Amazon Web Services(AWS)基準 v1.4.0,第一級 32 6 5

互聯網安全中心(CIS)Amazon Web Services(AWS)基準 v1.4.0,第一級和第二級

 50 8 5
提示

若要檢閱清單 AWS Config 用作這些標準框架的數據源映射規則,請下載以下文件:

  1. AuditManager_ ConfigDataSourceMappings _ CIS--AWS 基準測試-V1.4.0-Level-1.zip

  2. AuditManager_ ConfigDataSourceMappings _ CIS--AWS 基準測試-V1.4.0-Level-1-and-2.zip

這些架構中的控制項目不是用來驗證您的系統是否符合 CIS AWS 基準測試版 1.4.0。此外,他們不能保證您會通過CIS審核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控件。

您可以在 Audit Manager 中架構程式庫的 [標準架構] 索引標籤下找到這些架構。

後續步驟

如需使用這些架構建立評估方式的說明,請參閱 在中建立評估 AWS Audit Manager

如需如何自訂這些架構以支援您的特定需求的指示,請參閱在中製作現有框架的可編輯副本 AWS Audit Manager

其他資源