本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub 控制項的變更記錄
下列變更記錄會追蹤現有 AWS Security Hub 安全控制項的重大變更,這可能會導致控制項的整體狀態及其發現項目的符合性狀態變更。如需有關 Security Hub 如何評估控制項狀態的資訊,請參閱法規遵循狀態和控制狀態。變更可能需要在這個記錄檔中輸入幾天後,才會影響所有 AWS 區域 可用控制項的內容。
此記錄檔會追蹤自 2023 年 4 月以來發生的變更。
選取控制項以檢視其詳細資訊。標題變更會在每個控制項的詳細說明中記錄 90 天。
| 變更日期 | 控制項 ID 和標題 | 變更說明 |
|---|---|---|
| 2024年6月25 日 | AWS Config 應啟用 [Config.1],並使用服務連結角色進行資源記錄 | 此控制項會檢查 AWS Config 是否已啟用、使用服務連結角色,以及記錄已啟用控制項的資源。Security Hub 更新了控制項標題,以反映控制項評估的內容。 |
| 2024年6月14日 | [RDS.34] Aurora 我的SQL資料庫叢集應將稽核記錄發佈到 CloudWatch 記錄 | 此控制項可檢查 Amazon Aurora MySQL 資料庫叢集是否設定為將稽核日誌發佈到 Amazon CloudWatch 日誌。Security Hub 已更新控制項,因此不會產生 Aurora 無伺服器 v1 資料庫叢集的發現項目。 |
| 2024年6月11日 | [EKS.2] EKS 叢集應該在受支援的 Kubernetes 版本上執行 | 此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。支援的最舊版本為1.27。 |
| 2024年6月10日 | AWS Config 應啟用 [Config.1],並使用服務連結角色進行資源記錄 | 此控制項會檢查 AWS Config 是否已啟用並開啟 AWS Config 資源記錄。先前,只有在您為所有資源配置記錄時,控制項才會產生PASSED發現項目。Security Hub 更新了控制項,以在啟用控制項所需的資源錄製功能開啟時產生PASSED發現項目。控制項也已更新,以檢查是否使用 AWS Config 服務連結角色,提供記錄必要資源的權限。 |
| 2024年5月8日 | [S3.20] S3 一般用途儲存貯體應啟用刪除功能 MFA | 此控制項可檢查 Amazon S3 一般用途版本化儲存貯體是否已啟用多因素身份驗證 (MFA) 刪除功能。先前,控制項會針對具有生命週期組態的值區產生一個FAILED發現項目。但是,具有生命週期組態的值區無法啟用具有版本控制的 MFA 刪除功能。Security Hub 已更新控制項,以針對具有生命週期組態的值區產生任何發現項目。控制項描述已更新,以反映目前的行為。 |
| 2024年5月2日 | [EKS.2] EKS 叢集應該在受支援的 Kubernetes 版本上執行 | Security Hub 更新了 Amazon EKS 叢集可以在其上執行的最舊受支援 Kubernetes 版本,以產生通過的發現項目。目前支援的最舊版本為 Kubernetes 1.26。 |
| 2024 年 4 月 30 日 | [CloudTrail.3] 至少應啟用一個 CloudTrail 軌跡 | 將控制項標題從變更為CloudTrail 應啟用至少一個 CloudTrail 追蹤。如果至少啟用 AWS 帳戶 了一個 CloudTrail 追蹤,此控制項目前會產生PASSED發現項目。標題和描述已變更,以準確反映目前的行為。 |
| 2024年4月29 日 | [AutoScaling.1] 與負載平衡器關聯的 Auto Scaling 群組應使用ELB健康狀態檢查 | 從與 Classic Load Balancer 相關聯的 Auto Scaling 群組變更控制項標題應使用負載平衡器健康狀態檢查,以便與負載平衡器相關聯的 Auto Scaling 群組應使用 ELB 運作狀態檢 此控制項目前會評估應用程式、閘道、網路和傳統負載平衡器。標題和描述已變更,以準確反映目前的行為。 |
| 2024年4月19 日 | [CloudTrail.1] CloudTrail 應啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤 | 控制項會檢查 AWS CloudTrail 是否已啟用及設定至少一個包含讀取和寫入管理事件的多區域追蹤。先前,當帳戶 CloudTrail 啟用並設定至少一個多區域追蹤時,控制項會錯誤地產生PASSED發現項目,即使沒有追蹤擷取讀取和寫入管理事件也是如此。控制項現在只有在啟用並設定至少一個擷取讀取和寫入管理事件的多區域追蹤時 CloudTrail ,才會產生PASSED發現項目。 |
| 2024年4月10日 | [Athena.1] Athena 工作群組應在靜態時加密 | Security Hub 淘汰此控制項,並將其從所有標準中移除。Athena 工作群組會將日誌傳送到亞馬遜簡易儲存服務 (Amazon S3) 儲存貯體。Amazon S3 現在可在新的和現有的 S3 儲存貯體上使用 S3 受管金鑰 (SS3-S3) 提供預設加密。 |
| 2024年4月10日 | [AutoScaling.4] Auto Scaling 群組啟動設定的中繼資料回應躍點限制不應超過 1 | Security Hub 淘汰此控制項,並將其從所有標準中移除。Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的中繼資料回應躍點限制取決於工作負載。 |
| 2024年4月10日 | [CloudFormation.1] CloudFormation 堆棧應與 Simple Notification Service (SNS) 集成 | Security Hub 淘汰此控制項,並將其從所有標準中移除。將 AWS CloudFormation 堆疊與 Amazon SNS 主題整合不再是安全性最佳實務。雖然將重要 CloudFormation 堆疊與 SNS 主題整合可能很有用,但並非所有堆疊都需要這麼做。 |
| 2024年4月10日 | [CodeBuild.5] CodeBuild 項目環境不應啟用特權模式 | Security Hub 淘汰此控制項,並將其從所有標準中移除。在 CodeBuild 專案中啟用特權模式不會對客戶環境造成額外風險。 |
| 2024年4月10日 | [IAM.20] 避免使用根用戶 | Security Hub 淘汰此控制項,並將其從所有標準中移除。此控制項的目的是由另一個控制項所涵蓋[CloudWatch.1] 對於「root」用戶的使用,應存在日誌指標過濾器和警報。 |
| 2024年4月10日 | [SNS.2] 傳送至主題的通知訊息應啟用傳送狀態的記錄功能 | Security Hub 淘汰此控制項,並將其從所有標準中移除。記錄 SNS 主題的傳遞狀態已不再是安全性最佳作法。雖然記錄重要 SNS 主題的傳遞狀態可能很有用,但並非所有主題都需要它。 |
| 2024年4月10日 | [S3.10] 啟用版本控制的 S3 一般用途儲存貯體應具有生命週期組態 | Security Hub 從 AWS 基礎安全性最佳做法和服務管理標準中移除此控制項:。 AWS Control Tower此控制項的目的由另外兩個控制項所涵蓋:[S3.13] S3 一般用途儲存貯體應具有生命週期組態和[S3.14] S3 一般用途儲存貯體應啟用版本控制。這個控制仍然是 NIST SP 800-53 版本 5 的一部分。 |
| 2024年4月10日 | [S3.11] S3 一般用途儲存貯體應啟用事件通知 | Security Hub 從 AWS 基礎安全性最佳做法和服務管理標準中移除此控制項:。 AWS Control Tower雖然在某些情況下,S3 儲存貯體的事件通知很有用,但這並不是通用的安全最佳做法。這個控制仍然是 NIST SP 800-53 版本 5 的一部分。 |
| 2024年4月10日 | [SNS.1] SNS 主題應該使用靜態加密 AWS KMS | Security Hub 從 AWS 基礎安全性最佳做法和服務管理標準中移除此控制項:。 AWS Control Tower由於 SNS 預設已經加密主題,因此不再建議使用 AWS KMS 來加密主題作為安全性最佳作法。這個控制仍然是 NIST SP 800-53 版本 5 的一部分。 |
| 2024年4月8日 | [ELB.6] 應用程式、閘道和網路負載平衡器應啟用刪除保護 | 從 Ap plication Load Balancer 刪除保護變更的控制項標題應啟用應用程式、閘道和網路負載平衡器應啟用刪除保護。此控制項目前會評估應用程式、閘道和網路負載平衡器。標題和描述已變更,以準確反映目前的行為。 |
| 2024年3月22日 | 應使用最新的安全策略加密與 OpenSearch 域的連接 TLS | 從連線到 OpenSearch 網域變更的控制項標題應使用 TLS 1.2 加密至 OpenSearch 網域的連線應使用最新的 TLS 安全性原則加密。先前,控制項只檢查 OpenSearch 網域的連線是否使用 TLS 1.2。控制項現在會產生一個PASSED發現是否使用最新的 TLS 安全性原則加密 OpenSearch 網域。控制項標題和描述已更新,以反映目前的行為。 |
| 2024年3月22日 | [.8] 應使用最新的安全策略加密與彈性搜索域的連接 TLS | 從連線至 Elasticsearch 網域變更的控制項標題應使用 TLS 1.2 加密,而連線至 Elasticsearch 網域應使用最新的 TLS 安全性原則加密。先前,控制項只會檢查與彈性搜尋網域的連線是否使用 TLS 1.2。如果使用最新的 TLS 安全策略加密 Elasticsearch 域,控制項現在會產生一個PASSED發現。控制項標題和描述已更新,以反映目前的行為。 |
| 2024年3月12日 | [S3.1] S3 一般用途儲存貯體應啟用區塊公開存取設定 | 從 S3 封鎖公用存取設定變更的標題應啟用至 S3 一般用途儲存貯體,應啟用封鎖公用存取設定。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.2] S3 通用存儲桶應該阻止公共讀取訪問 | 從 S3 儲存貯體變更的標題應禁止公開讀取 S3 一般用途儲存貯體的存取權限應該會封鎖公用讀取存取 Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.3] S3 通用存儲桶應該阻止公共寫入訪問 | 從 S3 儲存貯體變更標題應禁止對 S3 一般用途儲存貯體的公開寫入存取權限,應封鎖公用寫入存取權 Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.5] S3 通用存儲桶應該需要請求使用 SSL | 從 S3 儲存貯體變更標題應該要求使用安全通訊端層至 S3 一般用途儲存貯體的請求,應該要求才能使用 SSL。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.6] S3 一般用途儲存貯體政策應限制對其他儲存貯體的存取 AWS 帳戶 | 從授予儲存貯體政策的 S3 許可變更標題應限制 AWS 帳戶 在 S3 一般用途儲存貯體政策應限制對其他儲存貯體政策的存取 AWS 帳戶。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.7] S3 一般用途儲存貯體應使用跨區域複寫 | 從 S3 儲存貯體變更的標題應啟用跨區域複寫至 S3 一般用途儲存貯體,應使用跨區域複寫。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.7] S3 一般用途儲存貯體應使用跨區域複寫 | 從 S3 儲存貯體變更的標題應啟用跨區域複寫至 S3 一般用途儲存貯體,應使用跨區域複寫。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.8] S3 通用存儲桶應阻止公共訪問 | 從 S3 區塊公開存取設定變更的標題應該在儲存貯體層級啟用至 S3 一般用途儲存貯體,應該會封鎖公用存取。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.9] S3 一般用途儲存貯體應啟用伺服器存取記錄 | 應為 S3 一般用途儲存貯體啟用伺服器存取記錄的變更標題,才能啟用伺服器存取記錄。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.10] 啟用版本控制的 S3 一般用途儲存貯體應具有生命週期組態 | 已啟用版本控制的 S3 儲存貯體變更標題應將生命週期政策設定為啟用版本控制的 S3 一般用途儲存貯體應具有生命週期組態 Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.11] S3 一般用途儲存貯體應啟用事件通知 | S3 儲存貯體中變更的標題應啟用 S3 一般用途儲存貯體的事件通知應啟用事件通知。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.12] 不ACLs應用於管理使用者對 S3 一般用途儲存貯體的存取 | S3 存取控制清單 (ACL) 中變更的標題不應用於管理使用者對 ACL 的儲存貯體存取,不應該用於管理使用者對 S3 一般用途儲存貯體的存取。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.13] S3 一般用途儲存貯體應具有生命週期組態 | 從 S3 儲存貯體變更的標題應該將生命週期政策設定為 S3 一般用途儲存貯體應具有生命週期組態 Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.14] S3 一般用途儲存貯體應啟用版本控制 | 從 S3 儲存貯體變更的標題應該使用版本控制到 S3 一般用途儲存貯體應啟用版本控制。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.15] S3 一般用途儲存貯體應啟用物件鎖定 | 從 S3 儲存貯體變更的標題應設定為使用物件鎖定至 S3 一般用途儲存貯體,應啟用物件鎖定。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月12日 | [S3.17] S3 一般用途儲存貯體在靜態時應使用 AWS KMS keys | S3 儲存貯體中變更的標題應在靜態時加密 AWS KMS keys至 S3 一般用途儲存貯體,應使用靜態加密 AWS KMS keys。Security Hub 將標題變更為新 S3 儲存貯體類型的帳戶。 |
| 2024年3月7日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行階段的 AWS Lambda 函數設定是否符合針對每種語言支援執行階段所設定的預期值。Security Hub 現在支持nodejs20.x和ruby3.3作為參數。 |
| 2024年2月22 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行階段的 AWS Lambda 函數設定是否符合針對每種語言支援執行階段所設定的預期值。Security Hub 現在支持dotnet8作為參數。 |
| 2024年2月5 日 | [EKS.2] EKS 叢集應該在受支援的 Kubernetes 版本上執行 | Security Hub 更新了 Amazon EKS 叢集可以在其上執行的最舊受支援 Kubernetes 版本,以產生通過的發現項目。目前支援的最舊版本為 Kubernetes 1.25。 |
| 2024 年 1 月 10 日 | [CodeBuild.1] CodeBuild 比特桶源存儲庫不URLs應包含敏感憑據 | 從CodeBuild GitHub 或比特桶源存儲庫 URL 更改的標題應該使用 OAuth 來CodeBuild 源存儲庫 URL 不應包含敏感憑據。Security Hub 刪除了 OAuth 的提及,因為其他連接方法也可以是安全的。Security Hub 刪除了提及, GitHub 因為它不再可能在 GitHub 源存儲庫 URL 中具有個人訪問令牌或用戶名和密碼。 |
| 2024 年 1 月 8 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行階段的 AWS Lambda 函數設定是否符合針對每種語言支援執行階段所設定的預期值。Security Hub 不再支援go1.x和java8作為參數,因為這些是淘汰的執行階段。 |
| 2023 年 12 月 29 日 | [RDS.8] RDS 資料庫執行個體應啟用刪除保護 | RDS.8 會檢查使用其中一個受支援資料庫引擎的 Amazon RDS 資料庫執行個體是否已啟用刪除保護。Security Hub 現在支援custom-oracle-eeoracle-ee-cdb、和oracle-se2-cdb作為資料庫引擎。 |
| 2023 年 12 月 22 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行階段的 AWS Lambda 函數設定是否符合針對每種語言支援執行階段所設定的預期值。Security Hub 現在支持java21和python3.12作為參數。Security Hub 不再支持ruby2.7作為參數。 |
| 2023 年 12 月 15 日 | [CloudFront.1] CloudFront 發行版應該配置一個默認的根對象 | CloudFront.1 檢查 Amazon CloudFront 分發是否已設定預設根物件。Security Hub 將此控制項的嚴重性從「嚴重」降低到「高」,因為新增預設根物件是建議,取決於使用者的應用程式和特定需求。 |
| 2023 年 12 月 5 日 | [EC2.13] 安全性群組不應允許從 0.0.0/0 或:: /0 輸入連接埠 22 | 從安全性群組變更控制標題不應允許從 0.0.0.0/0 輸入連接埠 22 到安全性群組,不應允許從 0.0.0.0/0 或::/0 到連接埠 22 的輸入。 |
| 2023 年 12 月 5 日 | [EC2.14] 安全性群組不應允許從 0.0.0.0/0 或:/0 輸入至連接埠 3389 | 將控制項標題從 [確保沒有安全性群組允許從 0.0.0.0/0 輸入連接埠 3389 到安全性群組不應允許從 0.0.0.0/0 或:: /0 輸入連接埠 3389。 |
| 2023 年 12 月 5 日 | [RDS.9] RDS 資料庫執行個體應該將日誌發佈到 CloudWatch 日誌 | RDS 資料庫執行個體應啟用資料庫記錄中變更的控制項標題,應將記錄發佈至記 CloudWatch 錄。Security Hub 識別此控制項只會檢查是否將日誌發佈到 Amazon CloudWatch 日誌,而不會檢查 RDS 日誌是否已啟用。如果 RDS 資料庫執行個體設定為將記錄發佈到記錄,則控制項會產生發PASSED CloudWatch 現項目。控制項標題已更新,以反映目前的行為。 |
| 2023 年 11 月 17 日 | [EC2.19] 安全群組不應允許不受限制地存取具有高風險的連接埠 | EC2.19 會檢查被視為高風險的指定連接埠是否可存取安全性群組的不受限制傳入流量。Security Hub 已更新此控制項,以在將受管理的前置詞清單作為安全性群組規則的來源提供這些清單。如果前綴列表包含字符串 '0.0.0.0/0' 或 ':: /0',則控制項生成一個FAILED發現。 |
| 2023 年 11 月 16 日 | [CloudWatch.15] CloudWatch 警報應設定指定的動作 | 從CloudWatch 警報變更的控制項標題應該具有針對警 CloudWatch 示狀態設定的動作,應該已設定指定的動作。 |
| 2023 年 11 月 16 日 | [CloudWatch.16] CloudWatch 記錄群組應保留指定的時間段 | CloudWatch 記錄群組中變更的控制項標題應保留至少 1 年,以便 CloudWatch 記錄群組應保留指定的時間段。 |
| 2023 年 11 月 16 日 | [Lambda .5] VPC Lambda 函數應該在多個可用區域中運作 | 從 VPC Lambda 函數變更控制標題應該在多個可用區域中運作,而 VPC Lambda 函數應該在多個可用區域中運作。 |
| 2023 年 11 月 16 日 | [AppSync.2] AWS AppSync 應啟用欄位層級記錄功能 | 從變更的控制項標題AWS AppSync 應該開啟要求層級和欄位層級記錄功能,以啟AWS AppSync 用欄位層級記錄。 |
| 2023 年 11 月 16 日 | [EMR.1] Amazon EMR 叢集主節點不應具有公有 IP 地址 | 從 Amazon 彈性 MapReduce叢集主節點變更的控制標題不應具有連至 Amazon EMR 叢集主節點的公有 IP 地址不應具有公用 IP 地址。 |
| 2023 年 11 月 16 日 | [打開搜索 .2] OpenSearch 域名不應該是公開訪問 | 從OpenSearch 網域變更的控制項標題應該位於 VPC 中變更為OpenSearch網域,不應可公開存取。 |
| 2023 年 11 月 16 日 | [ES.2] 彈性搜索域名不應公開訪問 | 從 Elasticsearch 網域變更的控制項標題應該位於 VPC 到彈性搜尋網域不應該可公開存取。 |
| 2023 年 10 月 31 日 | [ES.4] 應該啟用彈性搜索域錯誤日誌記錄到 CloudWatch 日誌 | ES.4 會檢查彈性搜尋網域是否設定為將錯誤日誌傳送到 Amazon 日誌。 CloudWatch 控制項先前針對 Elasticsearch 網域產生了一個發PASSED現項目,該網域的任何記錄已設定為傳送至 CloudWatch 記錄檔。Security Hub 已更新控制項,以僅針對設定為將錯誤記錄檔傳送至記錄的 Elasticsearch 網域產生尋PASSED找項目。 CloudWatch 控制項也已更新,排除不支援錯誤記錄檔的 Elasticsearch 版本進行評估。 |
| 2023 年 10 月 16 日 | [EC2.13] 安全性群組不應允許從 0.0.0/0 或:: /0 輸入連接埠 22 | EC2.13 會檢查安全群組是否允許不受限制的輸入存取連接埠 22。Security Hub 已更新此控制項,以在將受管理的前置詞清單作為安全性群組規則的來源提供這些清單。如果前綴列表包含字符串 '0.0.0.0/0' 或 ':: /0',則控制項生成一個FAILED發現。 |
| 2023 年 10 月 16 日 | [EC2.14] 安全性群組不應允許從 0.0.0.0/0 或:/0 輸入至連接埠 3389 | EC2.14 會檢查安全群組是否允許不受限制的輸入存取連接埠 3389。Security Hub 已更新此控制項,以在將受管理的前置詞清單作為安全性群組規則的來源提供這些清單。如果前綴列表包含字符串 '0.0.0.0/0' 或 ':: /0',則控制項生成一個FAILED發現。 |
| 2023 年 10 月 16 日 | [EC2.18] 安全群組只應允許授權連接埠不受限制的傳入流量 | EC2.18 會檢查使用中的安全性群組是否允許不受限制的傳入流量。Security Hub 已更新此控制項,以在將受管理的前置詞清單作為安全性群組規則的來源提供這些清單。如果前綴列表包含字符串 '0.0.0.0/0' 或 ':: /0',則控制項生成一個FAILED發現。 |
| 2023 年 10 月 16 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行階段的 AWS Lambda 函數設定是否符合針對每種語言支援執行階段所設定的預期值。Security Hub 現在支持python3.11作為參數。 |
| 2023 年 10 月 4 日 | [S3.7] S3 一般用途儲存貯體應使用跨區域複寫 | Security Hub 新增的參數ReplicationType值為,CROSS-REGION以確保 S3 儲存貯體已啟用跨區域複寫,而不是啟用相同區域複寫。 |
| 2023 年 9 月 27 日 | [EKS.2] EKS 叢集應該在受支援的 Kubernetes 版本上執行 | Security Hub 更新了 Amazon EKS 叢集可以在其上執行的最舊受支援 Kubernetes 版本,以產生通過的發現項目。目前支援的最舊版本為 Kubernetes 1.24。 |
| 2023 年 9 月 20 日 | CloudFront.2 — CloudFront 發行版應啟用原始訪問身份 | Security Hub 淘汰此控制項,並將其從所有標準中移除。反之,請參閱 [CloudFront.13] CloudFront 發行版應使用源訪問控制。Origin 存取控制是目前的安全性最佳做法。此控制項將在 90 天內從文件中移除。 |
| 2023 年 9 月 20 日 | [EC2.22] 應移除未使用的 Amazon EC2 安全群組 | Security Hub 從 AWS 基礎安全性最佳實踐(FSBP)和美國國家標準與技術研究所(NIST)SP 800-53 版 5 中刪除了此控制。它仍然是服務管理標準的一部分: AWS Control Tower。如果安全群組連接至 EC2 執行個體或 elastic network interface,此控制項會產生傳遞的發現。但是,對於某些使用案例,未連接的安全性群組不會造成安全性風險。您可以使用其他 EC2 控制項 (例如 EC2.2、EC2.13、EC2.14、EC2.18 和 EC2.19) 來監控您的安全群組。 |
| 2023 年 9 月 20 日 | EC2.29 — EC2 執行個體應該在虛擬私人 VPC 中啟動 | Security Hub 淘汰此控制項,並將其從所有標準中移除。Amazon EC2 已將 EC2-經典實例遷移到 VPC。此控制項將在 90 天內從文件中移除。 |
| 2023 年 9 月 20 日 | S3.4 — S3 儲存貯體應啟用伺服器端加密 | Security Hub 淘汰此控制項,並將其從所有標準中移除。Amazon S3 現在可在新的和現有的 S3 儲存貯體上使用 S3 受管金鑰 (SS3-S3) 提供預設加密。對於使用 SS3-S3 或 SS3-KMS 伺服器端加密加密的現有儲存貯體,加密設定不會變更。此控制項將在 90 天內從文件中移除。 |
| 2023 年 9 月 14 日 | [EC2.2] VPC 默認安全組不應允許入站或出站流量 | 已變更的控制項標題 VPC 預設安全性群組不應允許對 VPC 預設安全性群組的輸入和出站流量不應允許輸入或輸出流量。 |
| 2023 年 9 月 14 日 | MFA應為 root 使用者啟用 [IAM.9] | 根使用者應啟用從 Virtual MFA 變更的控制項標題,才能讓 root 使用者啟用至 MFA。 |
|
2023 年 9 月 14 日 |
[RDS.19] 應針對重要叢集RDS事件設定現有事件通知訂閱 | 從 RDS 事件通知訂閱變更控制項標題應針對重要叢集事件設定為現有 RDS 事件通知訂閱應針對重要叢集事件設定。 |
| 2023 年 9 月 14 日 | [RDS.20] 應針對重要資料庫執行個體RDS事件設定現有事件通知訂閱 | 從 RDS 事件通知訂閱變更控制項標題應針對重要資料庫執行個體事件設定為現有 RDS 事件通知訂閱,應針對重要資料庫執行個體事件設定。 |
| 2023 年 9 月 14 日 | [WAF2] AWS WAF 經典區域規則應至少有一個條件 | 從 WAF 區域規則變更的控制項標題應具有至少一個條件,以AWS WAF 傳統區域規則應具有至少一個條件。 |
| 2023 年 9 月 14 日 | [WAF.3] AWS WAF 傳統區域規則群組至少應該有一個規則 | 從 WAF 區域規則群組變更的控制項標題至少應具有一個規則,AWS WAF 傳統區域規則群組應至少有一個規則。 |
| 2023 年 9 月 14 日 | [WAF.4] AWS WAF 傳統區域網路至少ACLs應該有一個規則或規則群組 | 從 WAF 地區 Web ACL 變更的控制項標題應該至少有一個規則或規則群組,以AWS WAF 傳統區域 Web ACL 應該至少有一個規則或規則群組。 |
| 2023 年 9 月 14 日 | [WAF.6] AWS WAF 經典全局規則應至少有一個條件 | 從 WAF 全域規則變更控制項標題應具有至少一個條件,AWS WAF 傳統全域規則應該至少有一個條件。 |
| 2023 年 9 月 14 日 | [WAF.7] AWS WAF 傳統全域規則群組至少應該有一個規則 | 從 WAF 全域規則群組變更的控制項標題應該至少有一個規則,AWS WAF 傳統全域規則群組應該至少有一個規則。 |
| 2023 年 9 月 14 日 | [WAF.8] AWS WAF 傳統全域網路至少ACLs應該有一個規則或規則群組 | 從 WAF 全域 Web ACL 變更的控制項標題應該至少有一個規則或規則群組,以AWS WAF 傳統全域 Web ACL 應該至少有一個規則或規則群組。 |
| 2023 年 9 月 14 日 | [WAF.10] AWS WAF web ACLs 應該至少有一個規則或規則群組 | 從 WAFv2 Web ACL 變更控制項標題至少應該有一個規則或規則群組到 AWS WAF Web ACL,至少應該有一個規則或規則群組。 |
| 2023 年 9 月 14 日 | [WAF.11] 應ACL啟用 AWS WAF 網頁記錄 | 應啟用從AWS WAF v2 Web ACL 記錄中變更的控制項標題,以啟用AWS WAF 網頁 ACL 記錄。 |
|
2023 年 7 月 20 日 |
S3.4 — S3 儲存貯體應啟用伺服器端加密 | S3.4 會檢查 Amazon S3 儲存貯體是否已啟用伺服器端加密,或 S3 儲存貯體政策明確拒絕沒有伺服器端加密的PutObject請求。Security Hub 已更新此控制項,以包含使用 KMS 金鑰 (DSSE-KMS) 的雙層伺服器端加密。當 S3 儲存貯體使用 SSE-S3、SSE-KMS 或 DSSE-KMS 加密時,控制項會產生傳遞的發現項目。 |
| 2023 年 7 月 17 日 | [S3.17] S3 一般用途儲存貯體在靜態時應使用 AWS KMS keys | S3.17 會檢查 Amazon S3 儲存貯體是否使用. AWS KMS key Security Hub 已更新此控制項,以包含使用 KMS 金鑰 (DSSE-KMS) 的雙層伺服器端加密。當 S3 儲存貯體使用 SSE-KMS 或 DSSE-KMS 加密時,控制項會產生傳遞的發現項目。 |
| 2023 年 6 月 9 日 | [EKS.2] EKS 叢集應該在受支援的 Kubernetes 版本上執行 | EKS.2 會檢查 Amazon EKS 叢集是否在支援的 Kubernetes 版本上執行。目前支援的最舊版本為。1.23 |
| 2023 年 6 月 9 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行階段的 AWS Lambda 函數設定是否符合針對每種語言支援執行階段所設定的預期值。Security Hub 現在支持ruby3.2作為參數。 |
| 2023 年 6 月 5 日 | [APIGateway.5] API 閘道RESTAPI快取資料應在靜態時加密 | 檢查 Amazon API Gateway REST API 階段中的所有方法是否在靜態時加密。Security Hub 更新控制項,只有在啟用該方法的快取時,才評估特定方法的加密。 |
| 2023 年 5 月 18 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行階段的 AWS Lambda 函數設定是否符合針對每種語言支援執行階段所設定的預期值。Security Hub 現在支持java17作為參數。 |
| 2023 年 5 月 18 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行階段的 AWS Lambda 函數設定是否符合針對每種語言支援執行階段所設定的預期值。Security Hub 不再支持nodejs12.x作為參數。 |
| 2023年4月23 日 | [ECS.10] ECS Fargate 服務應該在最新的 Fargate 平台版本上運行 | ECS.10 檢查 Amazon ECS Fargate 服務是否正在運行最新的 Fargate 平台版本。客戶可以直接透過 ECS 部署 Amazon ECS,也可以使用. CodeDeploy Security Hub 已更新此控制項,以便在您使用 CodeDeploy 部署 ECS Fargate 服務時產生「通過」的發現項目。 |
| 2023 年 4 月 20 日 | [S3.6] S3 一般用途儲存貯體政策應限制對其他儲存貯體的存取 AWS 帳戶 | S3.6 會檢查 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策是否防止其他 AWS 帳戶 主體對 S3 儲存貯體中的資源執行拒絕動作。Security Hub 更新了控制項,以說明值區策略中的條件。 |
| 2023 年 4 月 18 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行階段的 AWS Lambda 函數設定是否符合針對每種語言支援執行階段所設定的預期值。Security Hub 現在支持python3.10作為參數。 |
| 2023 年 4 月 18 日 | [Lambda 2] Lambda 函數應該使用受支援的執行階段 | Lambda.2 會檢查執行階段的 AWS Lambda 函數設定是否符合針對每種語言支援執行階段所設定的預期值。Security Hub 不再支持dotnetcore3.1作為參數。 |
| 2023 年 4 月 17 日 | [RDS.11] RDS 執行個體應啟用自動備份 | RDS.11 會檢查 Amazon RDS 執行個體是否已啟用自動備份,且備份保留期大於或等於 7 天。Security Hub 已更新此控制項以將僅供讀取複本排除在評估之外,因為並非所有引擎都支援僅供讀取複本上的自動備份。此外,RDS 不提供在建立僅供讀取複本時指定備份保留期的選項。僅供讀取複本建立的備份保留期預0設為。 |
