本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
独联体控制 7.1 版
AWS Audit Manager 提供了一個預先構建的標準框架,支持互聯網安全中心(CIS)v7.1 實施組 1。
注意
如需有關 CIS V8 iG1 以及支援此標準的 AWS Audit Manager 架構的資訊,請參閱。獨聯體關鍵安全控制系統 8.0 版
什麼是 CIS 控制項?
CIS 控制是一組優先順序的動作,共同形成了一 defense-in-depth 組最佳實踐。這些最佳實務行動可紓解針對系統和網路的最普遍的網路攻擊。Implementation Group 1 通常是針對資源與網路安全專業知識有限的組織所設計,其在子控制項的實施部分需要進一步協助。
CIS 控制項和 CIS 基準之間的區別
CIS 控制項是基本最佳實務指南,組織可遵循這些指南防範已知的網路攻擊媒介。CIS 基準是針對供應商產品的安全最佳實務指南。從操作系統到雲端服務和網路裝置,基準測試套用的設定可保護使用的系統。
範例
-
CIS 基準是一系列的方案。它們通常會參考可在廠商產品中檢閱和配置的特定設定。
-
示例:獨聯體 AWS 基準測試 v1.2.0-確保為「根用戶」帳戶啟用了 MFA
-
此建議提供有關如何檢查此問題以及如何在 AWS 環境的 root 帳戶上設定此項目的規範性指引。
-
-
CIS 控制項適用於您的組織整體,而不是只針對單一供應商產品。
-
範例:CIS v7.1-針對所有系統管理存取使用多因素驗證
-
此控制項描述預期要在組織內套用的項目。它不會告知您應該如何將其應用於正在執行的系統和工作負載中 (無論它們位於何處)。
-
使用此架構
您可以使用CIS 控制項 v7.1 IG1 架構來幫助您準備審核。此架構包含預先打造的控制集合,其中包含說明和測試程序。這些控制項會根據 CIS 要求分組成控制集。您也可以根據特定需求自訂架構和控制項,以支援內部稽核。
使用架構作為起點,您可以建立 Audit Manager 評估,並開始收集與您的稽核相關的證據。建立評估之後,Audit Manager 會開始評估您的 AWS 資源。其根據 CIS Controls v7.1 IG1 架構中定義的控制項來執行此動作。需要進行稽核時,您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾,並選擇要包含在評估報告中的證據。或者,如果您啟用了證據搜尋工具,您就可以搜尋特定證據並以 CSV 格式匯出,或者從搜尋結果建立評估報告。不論何種方式,您都可以使用此評估報告來顯示您的控制項正在按預期運作。
CIS 控制項 v7.1 IG1 架構的詳細資訊如下:
| 框架名稱 AWS Audit Manager | 自動化控制項數量 | 手動控制項數量 | 控制集數 |
|---|---|---|---|
| 互聯網安全中心 (獨聯體) 7.1 版, IG1 |
31 |
12 |
18 |
提示
若要檢閱在此標準架構中用作資料來源對映的 AWS Config 規則,請下載 AuditManagerConfigDataSourceMappings_ CIS- V7.1-IG1.zip 檔案。
此架構中的控制項,並非為了驗證您的系統是否符合 CIS 控制項所設計。此外,他們無法保證您會透過 CIS 之稽核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控制項。
您可以在 Audit Manager 中架構程式庫的 [標準架構] 索引標籤下找到此架構。
後續步驟
如需使用此架構建立評估方式的說明,請參閱 在中建立評估 AWS Audit Manager。
如需如何自訂此架構以支援您的特定需求的指示,請參閱在中製作現有框架的可編輯副本 AWS Audit Manager。
其他資源
