本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
每個控制項都會指派一個類別。控制項的類別會反映控制項套用的安全性功能。
類別值包含類別、類別內的子類別,以及可選擇的子類別內的分類器。例如:
-
識別 > 庫存
-
保護 > 資料保護 > 加密傳輸中的資料
以下是可用類別、子類別和分類器的說明。
識別
發展組織理解,以管理系統、資產、資料和能力的網路安全風險。
- 庫存
-
該服務是否實施了正確的資源標記策略? 此標記策略是否包括資源擁有者?
服務使用哪些資源? 這些資源是此服務已核准的資源嗎?
您是否可以查看已核准的庫存? 例如,您是否使用 Amazon EC2 Systems Manager 和 Service Catalog 等服務?
- 日誌
-
您是否安全地啟用了該服務的所有相關日誌記錄? 日誌檔案的範例包括下列項目:
-
Amazon VPC 流程日誌
-
Elastic Load Balancing 存取日誌
-
Amazon CloudFront 日誌
-
Amazon CloudWatch Logs
-
Amazon Relational Database Service 記錄
-
Amazon OpenSearch Service 慢索引日誌
-
X 射線追蹤
-
AWS Directory Service 日誌
-
AWS Config 項目
-
快照
-
保護
制定和實施適當的保護措施,以確保提供關鍵基礎設施服務和安全編碼實務。
- 安全存取管理
-
服務是否在其 IAM 或資源政策中使用最低權限實務?
密碼和私密的複雜性是否足夠? 它們是否適當輪換?
此服務是否使用多重因素認證 (MFA)?
服務是否避免根使用者?
以資源為基礎的政策是否允許公開存取?
- 安全網路組態
-
此服務是否避免公有和不安全的遠端網路存取?
此服務是否正確使用 VPC? 例如,是否需要在 VPC 中執行任務?
此服務是否正確地分割並隔離敏感資源?
- 資料保護
-
靜態資料加密 – 服務是否加密靜態資料?
加密傳輸中的資料 – 服務是否會加密傳輸中的資料?
資料完整性 – 服務是否驗證資料完整性?
資料刪除保護 – 服務是否保護資料免於意外刪除?
資料管理/使用 – 您是否使用 Amazon Macie 等服務來追蹤敏感資料的位置?
- API 保護
-
服務是否使用 AWS PrivateLink 來保護服務 API 操作?
- 保護服務
-
正確的保護服務是否已就緒? 他們是否提供正確的涵蓋範圍?
保護服務可協助您擺脫針對服務的攻擊和入侵。中的保護服務範例 AWS 包括 AWS Control Tower、 AWS WAF AWS Shield Advanced、Vanta、Secrets Manager、IAM Access Analyzer 和 AWS Resource Access Manager。
- 安全開發
-
您使用安全的編碼實務嗎?
您是否避免了諸如開放式 Web 應用程式安全專案 (OWASP) 前十個等漏洞?
偵測
制定和實施適當的活動,以識別網路安全事件的發生。
- 偵測服務
-
正確的偵測服務是否已就緒?
他們是否提供正確的涵蓋範圍?
AWS 偵測服務的範例包括 Amazon GuardDuty AWS Security Hub、Amazon Inspector、Amazon Detective AWS IoT Device Defender、Amazon CloudWatch Alarms 和 AWS Trusted Advisor。
回應
制定並實施適當的活動,以針對偵測到的網路安全事件採取行動。
- 回應動作
-
您是否迅速回應安全性事件?
您是否有任何作用中的嚴重或高嚴重性問題清單?
- 鑑識
-
您可以安全地取得服務的鑑識資料嗎? 例如,您是否取得與真陽性問題清單相關聯的 Amazon EBS 快照?
您是否設立一個鑑識帳戶?
復原
制定和實施適當的活動,以維持恢復計劃,並恢復因網路安全事件而受損的任何功能或服務。
- 恢復能力
-
服務組態是否支援正常容錯移轉、彈性擴展和高可用性?
您是否已建立備份?
