本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CIS Critical Security Controls 8.0 版, IG1
AWS Audit Manager 提供預先建置的標準架構,支援 CIS Critical Security Controls 8.0 版,實作群組 1。
注意
如需有關 CIS v7.1 IG1和支援此標準的 AWS Audit Manager 架構的資訊,請參閱 CIS 控制項 v7.1、 IG1。
什麼是 CIS Controls?
CIS Critical Security Controls (CIS 控制項) 是一組優先的防護措施,可減輕對系統和網路的最普遍網路攻擊。它們被映射並引用到多款法律、監管和政策架構中。CIS 控制項 v8 已增強,以跟上現代系統和軟體的腳步。移至雲端式運算、虛擬化、行動性 work-from-home、外包和變更攻擊者策略,促使更新。此項更新支援企業移至完全雲端和混合式環境時的安全性。
CIS 控制項與CIS基準之間的差異
CIS 控制項是組織可以遵循的基礎最佳實務準則,以針對已知網路攻擊媒介提供保護。CIS 基準是針對廠商產品的安全最佳實務指南。從操作系統到雲端服務和網路裝置,基準測試套用的設定可保護使用的系統。
範例
-
CIS 基準是規範的。它們通常會參考可在廠商產品中檢閱和配置的特定設定。
-
範例:CIS AWS 基準 1.2.0 版 - 確定 MFA 已啟用「根使用者」帳戶
-
此建議提供如何檢查此項目以及如何在 AWS 環境的根帳戶上設定此項目的規範性指引。
-
-
CIS 控制項是針對您的組織整體,並非僅針對一個廠商產品。
-
範例:CISv7.1 - 對所有管理存取使用多重要素驗證
-
此控制項描述預期要在組織內套用的項目。它不會告知您應該如何將其應用於正在執行的系統和工作負載中 (無論它們位於何處)。
-
使用此架構
您可以使用 CIS v8 IG1架構來協助您準備稽核。此架構包含預先打造的控制集合,其中包含說明和測試程序。這些控制項會根據CIS需求分組至控制集。您也可以根據特定需求自訂架構和控制項,以支援內部稽核。
使用架構作為起點,您可以建立 Audit Manager 評估,並開始收集與您的稽核相關的證據。建立評估之後,Audit Manager 會開始評估您的 AWS 資源。它會根據 CIS v8 架構中定義的控制項來執行此操作。需要進行稽核時,您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾,並選擇要包含在評估報告中的證據。或者,如果您啟用證據搜尋工具,您可以搜尋特定證據並以 CSV 格式匯出,或從搜尋結果建立評估報告。不論何種方式,您都可以使用此評估報告來顯示您的控制項正在按預期運作。
架構的詳細資訊如下:
| 中的架構名稱 AWS Audit Manager | 自動化控制項數量 | 手動控制項數量 | 控制集數 |
|---|---|---|---|
| CIS Critical Security Controls 8.0 版 (CIS 8.0 版), IG1 | 21 | 35 | 15 |
重要
為確保此架構從 收集預期證據 AWS Security Hub,請務必在 Security Hub 中啟用所有標準。
為確保此架構從 收集預期證據 AWS Config,請務必啟用必要的 AWS Config 規則。若要檢閱在此標準架構中用作資料來源映射的 AWS Config 規則,請下載 AuditManager_ConfigDataSourceMappings_CIS-v8.0-IG1.zip 檔案。
此架構中的控制項並非用來驗證您的系統是否符合CIS控制項。此外,他們無法保證您會通過CIS稽核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控制項。
您可以在 Audit Manager 中架構庫的標準架構索引標籤下找到此架構。
後續步驟
如需使用此架構建立評估方式的說明,請參閱 在中建立評估 AWS Audit Manager。
如需如何自訂此架構以支援特定需求的指示,請參閱 在中製作現有框架的可編輯副本 AWS Audit Manager。
其他資源
