AWS 基礎安全性最佳做法 () FSBP 標準

AWS 基礎安全性最佳做法標準是一組控制項，可偵測您 AWS 帳戶 和資源何時偏離安全性最佳做法。

該標準可讓您持續評估所有工作負載 AWS 帳戶 和工作負載，以快速識別偏離最佳實務的區域。它提供有關如何改善和維護組織安全性狀態的可行和規範性指導。

這些控制項包括來自多個資源的安全性最佳做法 AWS 服務。每個控制項也會指派一個類別，以反映套用至的安全性功能。如需詳細資訊，請參閱 控制類別。

套用至FSBP標準的控制項

[帳戶。1] 應提供安全聯繫信息 AWS 帳戶

[ACM.1] 進口和ACM發行的證書應在指定時間段後續期

[ACM.2] 管理的RSA證書ACM應使用至少 2,048 位的密鑰長度

[APIGateway.1] 應啟用API網關REST和 WebSocket API執行記錄

[APIGateway.2] API 閘道RESTAPI階段應設定為使用SSL憑證進行後端驗證

[APIGateway.3] API 網關RESTAPI階段應啟用 AWS X-Ray 跟踪

[APIGateway.4] API 網關應該與網絡關聯 WAF ACL

[APIGateway.5] API 閘道RESTAPI快取資料應在靜態時加密

[APIGateway.8] API 網關路由應指定授權類型

[APIGateway.9] 應為API閘道 V2 階段設定存取記錄

[AppSync.2] AWS AppSync 應啟用欄位層級記錄功能

[AppSync.5] AWS AppSync GraphQL 不APIs應該使用密鑰進行身份驗證 API

[AutoScaling.1] 與負載平衡器關聯的 Auto Scaling 群組應使用ELB健康狀態檢查

[AutoScaling.2] Amazon EC2 Auto Scaling 組應涵蓋多個可用區域

[AutoScaling.3] Auto Scaling 群組啟動設定應該將EC2執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2)

[自動擴展 .5] 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址

[AutoScaling.6] Auto Scaling 群組應在多個可用區域中使用多個執行個體類型

[AutoScaling.9] Amazon EC2 Auto Scaling 組應使用 Amazon EC2 啟動模板

[Backup 1] AWS Backup 復原點應該在靜態時加密

[CloudFront.1] CloudFront 發行版應該配置一個默認的根對象

[CloudFront.3] CloudFront 發行版在傳輸過程中應該需要加密

[CloudFront.4] CloudFront 發行版應該配置原始容錯移轉

[CloudFront.5] CloudFront 發行版應啟用日誌記錄

[CloudFront.6] CloudFront 發行版應該已WAF啟用

[CloudFront.7] CloudFront 發行版應使用自訂SSL/憑證 TLS

[CloudFront.8] CloudFront 發行版應用SNI於服務HTTPS請求

[CloudFront.9] CloudFront 發行版應該加密到自定義來源的流量

[CloudFront.10] CloudFront 發行版不應在邊緣位置和自定義來源之間使用棄用的SSL協議

[CloudFront.12] CloudFront 發行版不應指向不存在的 S3 來源

[CloudFront.13] CloudFront 發行版應使用源訪問控制

[CloudTrail.1] CloudTrail 應啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤

[CloudTrail.2] CloudTrail 應啟用靜態加密

[CloudTrail.4] 應啟用 CloudTrail 記錄檔驗證

[CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch 日誌整合

[CodeBuild.1] CodeBuild 比特桶源存儲庫不URLs應包含敏感憑據

[CodeBuild.2] CodeBuild 項目環境變量不應包含純文本憑據

[CodeBuild.3] CodeBuild S3 日誌應加密

[CodeBuild.4] CodeBuild 項目環境應該具有日誌記錄 AWS Config配置

AWS Config 應啟用 [Config.1]，並使用服務連結角色進行資源記錄

[DataFirehose.1] Firehose 交付流應在靜態時加密

[DMS.1] Database Migration Service 複製實例不應該是公共的

[DMS.6] DMS 複製執行個體應啟用自動次要版本升級

[DMS.7] 目標資料庫的DMS複寫任務應啟用記錄

[DMS.8] 來源資料庫的DMS複寫任務應啟用記錄

[DMS.9] DMS 端點應該使用 SSL

[DMS.10] Neptune 資料庫的DMS端點應啟用IAM授權

[DMS.11] MongoDB 的DMS端點應該啟用一個身份驗證機制

[DMS.12] Redis 的DMS端點應該已啟用 TLS

[文件 DB.1] Amazon DocumentDB 叢集應在靜態時加密

[文件 DB.2] Amazon DocumentDB 叢集應該有足夠的備份保留期

[文件 DB.3] 亞馬遜 DocumentDB 手動叢集快照不應該是公開的

[文件 DB.4] Amazon DocumentDB 叢集應將稽核日誌發佈到日誌 CloudWatch

[文件 DB.5] 亞馬遜 DocumentDB 叢集應啟用刪除保護

[DynamoDB 資料表應該會根據需求自動擴展容量

[動態 DynamoDB] 資料表應該已啟用復原 point-in-time

[DynamoDB 加速器 (DAX) 叢集應在靜 DynamoDB 時加密

[動態 DynamoDB] 資料表應該已啟用刪除保護

[DynamoDB 加速器叢集在傳輸過程中應加密

[EC2.1] Amazon EBS 快照不應該公開還原

[EC2.2] VPC 默認安全組不應允許入站或出站流量

[EC2.3] 附加的 Amazon EBS 卷應該靜態加密

[EC2.4] 停止的EC2實例應在指定時間段後刪除

[EC2.6] 應全部啟用VPC流程記錄 VPCs

[EC2.7] 應啟用EBS默認加密

[EC2.8] EC2 執行個體應該使用執行個體中繼資料服務版本 2 () IMDSv2

[EC2.9] Amazon EC2 實例不應該有公共IPv4地址

[EC2.10] Amazon EC2 應該配置為使用為 Amazon EC2 服務創建的VPC端點

[EC2.15] Amazon EC2 子網路不應自動分配公有 IP 地址

[EC2.16] 應移除未使用的網路存取控制清單

[EC2.17] Amazon EC2 實例不應使用多個 ENIs

[EC2.18] 安全群組只應允許授權連接埠不受限制的傳入流量

[EC2.19] 安全群組不應允許不受限制地存取具有高風險的連接埠

[EC2.20] 用於站 AWS 點到站點VPN連接的兩個VPN通道都應啟動

[EC2.21] 網路不ACLs應允許從 0.0.0/0 輸入連接埠 22 或連接埠 3389

[EC2.23] Amazon EC2 交通閘道不應自動接受VPC附件請求

[EC2.24] 不應使用 Amazon EC2 半虛擬實例類型

[EC2.25] Amazon EC2 啟動模板不應將公共分配IPs給網絡界面

[EC2.51] EC2 用戶VPN端端點應該已啟用用戶端連線記錄

[ECR.1] ECR 私有存儲庫應配置圖像掃描

[ECR.2] ECR 私有存儲庫應該配置標籤不變性

[ECR.3] ECR 存儲庫應至少配置一個生命週期策略

[ECS.1] Amazon ECS 任務定義應具有安全的聯網模式和使用者定義。

[ECS.2] ECS 服務不應該自動分配公共 IP 地址

[ECS.3] ECS 任務定義不應共享主機的進程名稱空間

[ECS.4] ECS 容器應該以非特權運行

[ECS.5] ECS 容器應僅限於對 root 文件系統的只讀訪問

[ECS.8] 秘密不應作為容器環境變量傳遞

[ECS.9] ECS 任務定義應該有一個日誌記錄配置

[ECS.10] ECS Fargate 服務應該在最新的 Fargate 平台版本上運行

[ECS.12] ECS 叢集應使用容器深入解析

[EFS.1] 應將彈性文件系統配置為使用以加密靜態文件數據 AWS KMS

[EFS.2] Amazon EFS 卷應該在備份計劃中

[EFS.3] EFS 訪問點應該強制執行根目錄

[EFS.4] EFS 接入點應強制執行用戶身份

[EFS.6] EFS 掛載目標不應與公共子網關聯

[EKS.1] EKS 叢集端點不應可公開存取

[EKS.2] EKS 叢集應該在受支援的 Kubernetes 版本上執行

[EKS.3] EKS 叢集應使用加密的 Kubernetes 秘密

[EKS.8] EKS 叢集應啟用稽核記錄

[ElastiCache.1] ElastiCache Redis 叢集應啟用自動備份

[ElastiCache.2] ElastiCache （RedisOSS）緩存集群應啟用自 auto 次要版本升級

[ElastiCache.3] ElastiCache (RedisOSS) 複製群組應啟用自動容錯移轉

[ElastiCache.4] ElastiCache (RedisOSS) 複製群組應在靜態時加密

[ElastiCache.5] ElastiCache (RedisOSS) 複寫群組在傳輸過程中應加密

[ElastiCache.6] ElastiCache (RedisOSS) 6.0 版之前的複製群組應該使用 Redis AUTH

[ElastiCache.7] ElastiCache 叢集不應使用預設的子網路群組

[ElasticBeanstalk.1] Elastic Beanstalk 環境應啟用增強的健康報告

[ElasticBeanstalk2] 應啟用 Elastic Beanstalk 管理平台更新

[ElasticBeanstalk.3] Elastic Beanstalk 應該將日誌流式傳輸到 CloudWatch

[ELB.1] 應配置應 Application Load Balancer 以將所有HTTP請求重定向到 HTTPS

[ELB.2] SSL 帶有/監HTTPS聽器的傳統負載平衡器應該使用由提供的證書 AWS Certificate Manager

[ELB.3] Classic Load Balancer 偵聽器應配置HTTPS或TLS終止

[ELB.4] 應將應 Application Load Balancer 設定為刪除 http 標頭

[ELB.5] 應啟用應用程式和傳統負載平衡器記錄

[ELB.6] 應用程式、閘道和網路負載平衡器應啟用刪除保護

[ELB.7] 傳統負載平衡器應啟用連線排空

[ELB.8] 帶有SSL偵聽器的傳統負載平衡器應使用具有強大配置的預定義安全策略 AWS Config

[ELB.9] 傳統負載平衡器應啟用跨區域負載平衡

[ELB.10] Classic Load Balancer 應跨越多個可用區域

[ELB.12] Application Load Balancer 應設定為防禦性或最嚴格的不同步緩解模式

[ELB.13] 應用程式、網路和閘道負載平衡器應跨越多個可用區域

[ELB.14] Classic Load Balancer 應設定為防禦性或最嚴格的不同步緩解模式

[EMR.1] Amazon EMR 叢集主節點不應具有公有 IP 地址

[EMR.2] 應啟用 Amazon EMR 塊公共訪問設置

[ES.1] 彈性搜尋網域應啟用靜態加密

[ES.2] 彈性搜索域名不應公開訪問

[E.3] 彈性搜尋網域應加密節點之間傳送的資料

[ES.4] 應該啟用彈性搜索域錯誤日誌記錄到 CloudWatch 日誌

[.5] 彈性搜尋網域應啟用稽核記錄

[ES.6] 彈性搜尋網域至少應該有三個資料節點

[ES.7] 彈性搜尋網域至少應設定三個專用主節點

[.8] 應使用最新的安全策略加密與彈性搜索域的連接 TLS

[EventBridge.3] EventBridge 自定義事件總線應該附加基於資源的策略

[FSx.1] FSx 對於打開ZFS文件系統，應配置為將標籤複製到備份和卷

[FSx.2] FSx 對於 Lustre 文件系統，應配置為將標籤複製到備份

[GuardDuty.1] GuardDuty 應該啟用

[IAM.1] IAM 策略不應允許完整的「*」管理權限

[IAM.2] IAM 用戶不應該附加IAM策略

[IAM.3] IAM 用戶的訪問密鑰應每 90 天或更短時間輪換一次

[IAM.4] IAM 根用戶訪問密鑰不應存在

所有擁有主控台密碼的使用IAM者都MFA應啟用 [IAM.5]

[IAM.6] 根用戶MFA應啟用硬件

[IAM.7] IAM 用戶的密碼策略應具有強大的配置

[IAM.8] 應刪除未使IAM用的用戶憑據

[IAM.21] 您建立的IAM客戶管理策略不應允許對服務執行萬用字元動作

[Kinesis.1] Kinesis 串流應該在靜態時加密

[KMS.1] IAM 客戶管理策略不應允許對所有密KMS鑰進行解密操作

[KMS.2] IAM 主體不應具有允許對所有KMS金鑰進行解密動作的IAM內嵌政策

[KMS.3] 不 AWS KMS keys 應被無意中刪除

[Lambda 1] Lambda 函數政策應該禁止公共訪問

[Lambda 2] Lambda 函數應該使用受支援的執行階段

[Lambda .5] VPC Lambda 函數應該在多個可用區域中運作

[Macie.1] Amazon Macie 應該啟用

[Macie.2] 應啟用 Macie 自動化敏感資料探索

[MQ2] ActiveMQ 代理程式應將稽核記錄串流至 CloudWatch

[MQ.3] Amazon MQ 代理程式應啟用自動次要版本升級

[MSK.1] MSK 叢集在代理程式節點之間的傳輸過程中應加密

[Neptune .1] Neptune DB 叢集在靜態時應加密

[Neptune .2] Neptune 資料庫叢集應將稽核記錄發佈至記錄 CloudWatch

[Neptune .3] Neptune DB 叢集快照不應該是公開的

[Neptune .4] Neptune 資料庫叢集應啟用刪除保護

[Neptune .5] Neptune 資料庫叢集應啟用自動備份

[Neptune .6] Neptune 資料庫叢集快照在靜態時應加密

[Neptune .7] Neptune 資料庫叢集應啟用資料庫驗IAM證

[Neptune .8] 應將 Neptune 資料庫叢集設定為將標籤複製到快照

[NetworkFirewall.2] 應啟用 Network Firewall 日誌記錄

[NetworkFirewall.3] Network Firewall 策略應至少有一個關聯的規則組

[NetworkFirewall.4] 對於完整封包，Network Firewall 策略的預設無狀態處理行動應為捨棄或轉送

[NetworkFirewall.5] 對於分散式封包，Network Firewall 策略的預設無狀態處理行動應該是捨棄或轉送

[NetworkFirewall.6] 無狀態 Network Firewall 規則群組不應為空

[NetworkFirewall.9] Network Firewall 防火牆應啟用刪除保護

OpenSearch 網域應該已啟用靜態加密

[打開搜索 .2] OpenSearch 域名不應該是公開訪問

OpenSearch 網域應該加密節點之間傳送的資料

應該啟用 OpenSearch 網域錯誤記錄到 CloudWatch 記錄

OpenSearch 網域應該已啟用稽核記錄

OpenSearch 網域應該至少有三個資料節點

OpenSearch 網域應該啟用精細的存取控制

應使用最新的安全策略加密與 OpenSearch 域的連接 TLS

OpenSearch 網域應該已安裝最新的軟體更新

[PCA.1] AWS Private CA 根證書授權單位應該被禁用

[路線 53.2] 路線 53 公共託管區域應記錄查詢 DNS

[RDS.1] RDS 快照應該是私有的

[RDS.2] RDS 數據庫實例應該禁止公共訪問，由配 PubliclyAccessible AWS Config置確定

[RDS.3] RDS 數據庫實例應啟用靜態加密

[RDS.4] RDS 叢集快照集和資料庫快照集應在靜態時加密

[RDS.5] RDS 資料庫執行個體應設定多個可用區域

[RDS.6] 應為RDS資料庫執行個體設定增強型監控

[RDS.7] RDS 叢集應啟用刪除保護

[RDS.8] RDS 資料庫執行個體應啟用刪除保護

[RDS.9] RDS 資料庫執行個體應該將日誌發佈到 CloudWatch 日誌

[RDS.10] 應為實例RDS配置IAM身份驗證

[RDS.11] RDS 執行個體應啟用自動備份

[RDS.12] 應為RDS叢集設定IAM驗證

[RDS.13] 應啟用RDS自動次要版本升級

[RDS.14] Amazon Aurora 叢集應啟用回溯

[RDS.15] 應為多個可用區域設定資RDS料庫叢集

[RDS.16] RDS 資料庫叢集應設定為將標籤複製到快照

[RDS.17] RDS 資料庫執行個體應設定為將標籤複製到快照

[RDS.18] RDS 執行個體應部署在 VPC

[RDS.19] 應針對重要叢集RDS事件設定現有事件通知訂閱

[RDS.20] 應針對重要資料庫執行個體RDS事件設定現有事件通知訂閱

[RDS.21] 應針對重要資料庫參數群組RDS事件設定事件通知訂閱

[RDS.22] 應針對重要資料庫安全性群組RDS事件設定事件通知訂閱

[RDS.23] RDS 執行個體不應使用資料庫引擎預設連接埠

[RDS.24] RDS 資料庫叢集應使用自訂管理員使用者名稱

[RDS.25] RDS 資料庫執行個體應使用自訂管理員使用者名稱

[RDS.27] RDS 資料庫叢集應在靜態時加密

[RDS.34] Aurora 我的SQL資料庫叢集應將稽核記錄發佈到 CloudWatch 記錄

[RDS.35] RDS 資料庫叢集應啟用自動次要版本升級

[紅移 1] 亞馬遜 Redshift 集群應禁止公共訪問

[紅移 2] 與亞馬遜 Redshift 叢集的連接應在傳輸過程中進行加密

[紅移 3] 亞馬遜 Redshift 集群應啟用自動快照

[紅移 4] 亞馬遜 Redshift 叢集應啟用稽核記錄

[紅移 6] 亞馬遜 Redshift 應該啟用自動升級到主要版本

[紅移 .7] Redshift 叢集應該使用增強型路由 VPC

[Redshift.8] 亞馬遜 Redshift 群集不應使用默認的管理員用戶名

[紅移 .9] Redshift 叢集不應使用預設的資料庫名稱

[紅移 .10] Redshift 叢集在靜態時應加密

[Redshift.15] Redshift 安全性群組應該只允許來自受限來源的叢集連接埠進入

[S3.1] S3 一般用途儲存貯體應啟用區塊公開存取設定

[S3.2] S3 通用存儲桶應該阻止公共讀取訪問

[S3.3] S3 通用存儲桶應該阻止公共寫入訪問

[S3.5] S3 通用存儲桶應該需要請求使用 SSL

[S3.6] S3 一般用途儲存貯體政策應限制對其他儲存貯體的存取 AWS 帳戶

[S3.8] S3 通用存儲桶應阻止公共訪問

[S3.9] S3 一般用途儲存貯體應啟用伺服器存取記錄

[S3.12] 不ACLs應用於管理使用者對 S3 一般用途儲存貯體的存取

[S3.13] S3 一般用途儲存貯體應具有生命週期組態

[S3.19] S3 存取點應該已啟用封鎖公用存取設定

[SageMaker.1] Amazon SageMaker 筆記本實例不應該直接訪問互聯網

[SageMaker.2] SageMaker 筆記本實例應以自定義方式啟動 VPC

[SageMaker.3] 用戶不應該擁有對 SageMaker 筆記本實例的 root 訪問權限

[SageMaker.4] SageMaker 端點生產變體的初始實例計數應該大於 1

[SecretsManager.1] Secrets Manager 秘密應該啟用自動旋轉

[SecretsManager.2] 配置了自動旋轉的秘密 Secrets Manager 密鑰應該成功旋轉

[SecretsManager.3] 刪除未使用的 Secrets Manager 秘密

[SecretsManager.4] Secrets Manager 密鑰應在指定的天數內輪替

[ServiceCatalog.1] Service Catalog 產品組合只能在組 AWS 織內共用

[SQS.1] Amazon SQS 隊列應該在靜態時加密

[SSM.1] Amazon EC2 實例應由 AWS Systems Manager

[SSM.2] 由系統管理員管理的 Amazon EC2 執行個體在安裝修補程式COMPLIANT後，修補程式合規狀態應為

[SSM.3] 由系統管理器管理的 Amazon EC2 執行個體應具有的關聯合規性狀態為 COMPLIANT

[SSM.4] SSM 文件不應公開

[StepFunctions.1] Step Functions 狀態機應該打開日誌記錄

[Transfer.2] Transfer Family 服務器不應使用FTP協議進行端點連接

[WAF.1] 應啟用 AWS WAF 傳統的全球 Web ACL 日誌記錄

[WAF2] AWS WAF 經典區域規則應至少有一個條件

[WAF.3] AWS WAF 傳統區域規則群組至少應該有一個規則

[WAF.4] AWS WAF 傳統區域網路至少ACLs應該有一個規則或規則群組

[WAF.6] AWS WAF 經典全局規則應至少有一個條件

[WAF.7] AWS WAF 傳統全域規則群組至少應該有一個規則

[WAF.8] AWS WAF 傳統全域網路至少ACLs應該有一個規則或規則群組

[WAF.10] AWS WAF web ACLs 應該至少有一個規則或規則群組

[WAF.12] AWS WAF 規則應啟用 CloudWatch 量度