服務管理標準： AWS Control Tower

本節提供服務管理標準的相關資訊： AWS Control Tower。

什麼是服務管理標準： AWS Control Tower？

此標準是專為 AWS Security Hub 和 AWS Control Tower. 它可讓您設定 AWS Control Tower 服務中安全中心偵測控制項 AWS Control Tower 旁邊的主動控制項。

主動式控制有助於確保您 AWS 帳戶 維持合規性，因為它們會標記可能導致政策違規或設定錯誤的動作。Detective 測控制項會偵測您的. AWS 帳戶透過為您的 AWS 環境啟用主動式和偵測控制，您可以在不同開發階段加強安全狀態。

提示

服務管理的標準與 AWS Security Hub 管理的標準不同。例如，您必須在管理服務中建立和刪除服務管理的標準。如需詳細資訊，請參閱 服務管理標準。

在 Security Hub 主控台中API，您可以檢視服務管理標準：以 AWS Control Tower 及其他 Security Hub 標準。

建立標準

只有在中建立標準時，才能使用此標準 AWS Control Tower。 AWS Control Tower 當您第一次使用下列其中一種方法啟用適用的控制項時，會建立標準：

• AWS Control Tower 控制台

• AWS Control Tower API(呼叫 EnableControlAPI)

• AWS CLI （運行命enable-control令）

Security Hub 控制項在主控 AWS Control Tower 台中識別為 SH。ControlID(例如, SH. CodeBuild1）。

當您建立標準時，如果您尚未啟用 Security Hub， AWS Control Tower 也會為您啟用 Security Hub。

如果您尚未設定 AWS Control Tower，則無法在資訊安全中心主控台、Security Hub 全中心或中檢視或存取此標準 AWS CLI。API即使您已設定 AWS Control Tower，您也無法在 Security Hub 中檢視或存取此標準，而不必先 AWS Control Tower 使用上述方法之一建立標準。

此標準僅適用於可用AWS 區域AWS Control Tower 位置，包括 AWS GovCloud (US)。

啟用和停用標準中的控制項

在主控 AWS Control Tower 台中建立標準之後，您可以在這兩個服務中檢視標準及其可用控制項。

在您第一次建立標準之後，它沒有任何自動啟用的控制項。此外，當 Security Hub 新增控制項時，系統不會自動啟用服務管理標準： AWS Control Tower。您應該使用下列其中一種方法 AWS Control Tower 來啟用和停用中標準的控制項：

• AWS Control Tower 控制台

• AWS Control Tower API(呼叫EnableControl和 DisableControlAPIs)

• AWS CLI （運行enable-control和disable-control命令）

當您變更中控制項的啟用狀態時 AWS Control Tower，此變更也會反映在 Security Hub 中。

但是，停用安全中心中啟用的控制項會 AWS Control Tower 導致控制偏移。中的控制項狀態 AWS Control Tower 顯示為Drifted。您可以選取 AWS Control Tower 主控台中的 [重新註冊 OU]，或停用並重新啟 AWS Control Tower 用上述方法之一中的控制項，以解決此偏移問題。

在中完成啟用和停用動作可 AWS Control Tower 協助您避免控制漂移。

當您在中啟用或停用控制項時 AWS Control Tower，此動作會套用至所有帳戶和區域。如果您在 Security Hub 中啟用和停用控制項 (此標準不建議使用)，則此動作僅適用於目前的帳戶和區域。

注意

中央設定無法用於管理服務管理標準： AWS Control Tower。如果您使用中央設定，則只能使用 AWS Control Tower 服務來針對集中管理的帳戶啟用和停用此標準中的控制項。

檢視啟用狀態和控制狀態

您可以使用下列其中一種方法來檢視控制項的啟用狀態：

• Security Hub 主控台、Security Hub API 或 AWS CLI

• AWS Control Tower 控制台

• AWS Control Tower API以查看已啟用控制項的清單 (呼叫 ListEnabledControlsAPI)

• AWS CLI 以查看已啟用控件的列表（運行list-enabled-controls命令）

除非您在 Security Hub 中 AWS Control Tower 明確啟用該控制項，否則您Disabled在中停用的控制項在 Security Hub 中的啟用狀態為。

Security Hub 會根據控制項發現項目的工作流程狀態和符合性狀態來計算控制項狀態。如需啟用狀態和控制狀態的詳細資訊，請參閱檢視控制項的詳細資訊。

Security Hub 會根據控制項狀態計算服務管理標準： AWS Control Tower的安全分數。此分數僅適用於資訊安全中心。此外，您只能檢視安全中心中的控制項發現項目。在中不提供標準安全分數和控制項發現項目 AWS Control Tower。

注意

當您啟用服務管理標準的控制項時： AWS Control Tower，Security Hub 最多可能需要 18 小時才能針對使用現有 AWS Config 服務連結規則的控制項產生發現項目。如果您已在 Security Hub 中啟用其他標準和控制項，則可能會有現有的服務連結規則。如需詳細資訊，請參閱 執行安全檢查的排程。

刪除標準

您可以使用下列其中一種方法停用所有適用的控制項， AWS Control Tower 來刪除中的此標準：

• AWS Control Tower 控制台

• AWS Control Tower API(呼叫 DisableControlAPI)

• AWS CLI （運行命disable-control令）

停用所有控制項會刪除中所有受管理帳戶和受控管區域中的標準 AWS Control Tower。刪 AWS Control Tower 除中的標準會將其從 Security Hub 主控台的 [標準] 頁面中移除，而且您無法再使用 Security Hub API 或進行存取 AWS CLI。

注意

停用安全中心標準中的所有控制項並不會停用或刪除標準。

停用 Security Hub 服務會移除服務管理的標準：以 AWS Control Tower 及您已啟用的任何其他標準。

尋找服務管理標準的欄位格式： AWS Control Tower

當您建立服務管理標準： AWS Control Tower 並為其啟用控制項時，您將開始接收 Security Hub 中的控制項發現項目。安全中心報告控制AWS 安全性發現格式 (ASFF). 這些是此標準的 Amazon 資源名稱 (ARN) 和ASFF值GeneratorId：

• 標準 ARN — arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

• GeneratorId – service-managed-aws-control-tower/v/1.0.0/CodeBuild.1

如需服務管理標準的搜尋範例： AWS Control Tower，請參閱樣本控制結果。

適用於服務管理標準的控制項： AWS Control Tower

服務管理標準： AWS Control Tower 支援屬於 AWS 基礎安全性最佳作法 () FSBP 標準一部分的控制項子集。從下表選擇一個控制項以檢視控制項的相關資訊，包括失敗發現項目的修正步驟。

下列清單顯示服務管理標準的可用控制項： AWS Control Tower。控制區域限制符合標準中的必要控制區域限制。FSBP此清單顯示與標準無關的安全控制。IDs在 AWS Control Tower 主控台中，控制IDs項格式化為 SH。ControlID(例如 SH. CodeBuild1）。在 Security Hub 中，如果您的帳戶中已關閉合併控制項發現項目，則該ProductFields.ControlId欄位會使用標準型控制 ID。基於標準的控制 ID 格式化為 CT。ControlId(例如，CT. CodeBuild1）。

• [帳戶。1] 應提供安全聯繫信息 AWS 帳戶

• [ACM.1] 進口和ACM發行的證書應在指定時間段後續期

• [ACM.2] 管理的RSA證書ACM應使用至少 2,048 位的密鑰長度

• [APIGateway.1] 應啟用API網關REST和 WebSocket API執行記錄

• [APIGateway.2] API 閘道RESTAPI階段應設定為使用SSL憑證進行後端驗證

• [APIGateway.3] API 網關RESTAPI階段應啟用 AWS X-Ray 跟踪

• [APIGateway.4] API 網關應該與網絡關聯 WAF ACL

• [APIGateway.5] API 閘道RESTAPI快取資料應在靜態時加密

• [APIGateway.8] API 網關路由應指定授權類型

• [APIGateway.9] 應為API閘道 V2 階段設定存取記錄

• [AppSync.5] AWS AppSync GraphQL 不APIs應該使用密鑰進行身份驗證 API

• [AutoScaling.1] 與負載平衡器關聯的 Auto Scaling 群組應使用ELB健康狀態檢查

• [AutoScaling.2] Amazon EC2 Auto Scaling 組應涵蓋多個可用區域

• [AutoScaling.3] Auto Scaling 群組啟動設定應該將EC2執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2)

• [自動擴展 .5] 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址

• [AutoScaling.6] Auto Scaling 群組應在多個可用區域中使用多個執行個體類型

• [AutoScaling.9] Amazon EC2 Auto Scaling 組應使用 Amazon EC2 啟動模板

• [CloudTrail.1] CloudTrail 應啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤

• [CloudTrail.2] CloudTrail 應啟用靜態加密

• [CloudTrail.4] 應啟用 CloudTrail 記錄檔驗證

• [CloudTrail.5] CloudTrail 追蹤應與 Amazon CloudWatch 日誌整合

• [CloudTrail.6] 確保用於存放 CloudTrail 日誌的 S3 儲存貯體無法公開存取

• [CodeBuild.1] CodeBuild 比特桶源存儲庫不URLs應包含敏感憑據

• [CodeBuild.2] CodeBuild 項目環境變量不應包含純文本憑據

• [CodeBuild.3] CodeBuild S3 日誌應加密

• [CodeBuild.4] CodeBuild 項目環境應該具有日誌記錄 AWS Config配置

• [DMS.1] Database Migration Service 複製實例不應該是公共的

• [DMS.9] DMS 端點應該使用 SSL

• [文件 DB.1] Amazon DocumentDB 叢集應在靜態時加密

• [文件 DB.2] Amazon DocumentDB 叢集應該有足夠的備份保留期

• [文件 DB.3] 亞馬遜 DocumentDB 手動叢集快照不應該是公開的

• [DynamoDB 資料表應該會根據需求自動擴展容量

• [動態 DynamoDB] 資料表應該已啟用復原 point-in-time

• [DynamoDB 加速器 (DAX) 叢集應在靜 DynamoDB 時加密

• [EC2.1] Amazon EBS 快照不應該公開還原

• [EC2.2] VPC 默認安全組不應允許入站或出站流量

• [EC2.3] 附加的 Amazon EBS 卷應該靜態加密

• [EC2.4] 停止的EC2實例應在指定時間段後刪除

• [EC2.6] 應全部啟用VPC流程記錄 VPCs

• [EC2.7] 應啟用EBS默認加密

• [EC2.8] EC2 執行個體應該使用執行個體中繼資料服務版本 2 () IMDSv2

• [EC2.9] Amazon EC2 實例不應該有公共IPv4地址

• [EC2.10] Amazon EC2 應該配置為使用為 Amazon EC2 服務創建的VPC端點

• [EC2.15] Amazon EC2 子網路不應自動分配公有 IP 地址

• [EC2.16] 應移除未使用的網路存取控制清單

• [EC2.17] Amazon EC2 實例不應使用多個 ENIs

• [EC2.18] 安全群組只應允許授權連接埠不受限制的傳入流量

• [EC2.19] 安全群組不應允許不受限制地存取具有高風險的連接埠

• [EC2.20] 用於站 AWS 點到站點VPN連接的兩個VPN通道都應啟動

• [EC2.21] 網路不ACLs應允許從 0.0.0/0 輸入連接埠 22 或連接埠 3389

• [EC2.22] 應移除未使用的 Amazon EC2 安全群組

• [EC2.23] Amazon EC2 交通閘道不應自動接受VPC附件請求

• [EC2.25] Amazon EC2 啟動模板不應將公共分配IPs給網絡界面

• [ECR.1] ECR 私有存儲庫應配置圖像掃描

• [ECR.2] ECR 私有存儲庫應該配置標籤不變性

• [ECR.3] ECR 存儲庫應至少配置一個生命週期策略

• [ECS.1] Amazon ECS 任務定義應具有安全的聯網模式和使用者定義。

• [ECS.2] ECS 服務不應該自動分配公共 IP 地址

• [ECS.3] ECS 任務定義不應共享主機的進程名稱空間

• [ECS.4] ECS 容器應該以非特權運行

• [ECS.5] ECS 容器應僅限於對 root 文件系統的只讀訪問

• [ECS.8] 秘密不應作為容器環境變量傳遞

• [ECS.10] ECS Fargate 服務應該在最新的 Fargate 平台版本上運行

• [ECS.12] ECS 叢集應使用容器深入解析

• [EFS.1] 應將彈性文件系統配置為使用以加密靜態文件數據 AWS KMS

• [EFS.2] Amazon EFS 卷應該在備份計劃中

• [EFS.3] EFS 訪問點應該強制執行根目錄

• [EFS.4] EFS 接入點應強制執行用戶身份

• [EKS.1] EKS 叢集端點不應可公開存取

• [EKS.2] EKS 叢集應該在受支援的 Kubernetes 版本上執行

• [ElastiCache.3] ElastiCache (RedisOSS) 複製群組應啟用自動容錯移轉

• [ElastiCache.4] ElastiCache (RedisOSS) 複製群組應在靜態時加密

• [ElastiCache.5] ElastiCache (RedisOSS) 複寫群組在傳輸過程中應加密

• [ElastiCache.6] ElastiCache (RedisOSS) 6.0 版之前的複製群組應該使用 Redis AUTH

• [ElasticBeanstalk.1] Elastic Beanstalk 環境應啟用增強的健康報告

• [ElasticBeanstalk2] 應啟用 Elastic Beanstalk 管理平台更新

• [ELB.1] 應配置應 Application Load Balancer 以將所有HTTP請求重定向到 HTTPS

• [ELB.2] SSL 帶有/監HTTPS聽器的傳統負載平衡器應該使用由提供的證書 AWS Certificate Manager

• [ELB.3] Classic Load Balancer 偵聽器應配置HTTPS或TLS終止

• [ELB.4] 應將應 Application Load Balancer 設定為刪除 http 標頭

• [ELB.5] 應啟用應用程式和傳統負載平衡器記錄

• [ELB.6] 應用程式、閘道和網路負載平衡器應啟用刪除保護

• [ELB.7] 傳統負載平衡器應啟用連線排空

• [ELB.8] 帶有SSL偵聽器的傳統負載平衡器應使用具有強大配置的預定義安全策略 AWS Config

• [ELB.9] 傳統負載平衡器應啟用跨區域負載平衡

• [ELB.10] Classic Load Balancer 應跨越多個可用區域

• [ELB.12] Application Load Balancer 應設定為防禦性或最嚴格的不同步緩解模式

• [ELB.13] 應用程式、網路和閘道負載平衡器應跨越多個可用區域

• [ELB.14] Classic Load Balancer 應設定為防禦性或最嚴格的不同步緩解模式

• [EMR.1] Amazon EMR 叢集主節點不應具有公有 IP 地址

• [ES.1] 彈性搜尋網域應啟用靜態加密

• [ES.2] 彈性搜索域名不應公開訪問

• [E.3] 彈性搜尋網域應加密節點之間傳送的資料

• [ES.4] 應該啟用彈性搜索域錯誤日誌記錄到 CloudWatch 日誌

• [.5] 彈性搜尋網域應啟用稽核記錄

• [ES.6] 彈性搜尋網域至少應該有三個資料節點

• [ES.7] 彈性搜尋網域至少應設定三個專用主節點

• [.8] 應使用最新的安全策略加密與彈性搜索域的連接 TLS

• [EventBridge.3] EventBridge 自定義事件總線應該附加基於資源的策略

• [GuardDuty.1] GuardDuty 應該啟用

• [IAM.1] IAM 策略不應允許完整的「*」管理權限

• [IAM.2] IAM 用戶不應該附加IAM策略

• [IAM.3] IAM 用戶的訪問密鑰應每 90 天或更短時間輪換一次

• [IAM.4] IAM 根用戶訪問密鑰不應存在

• 所有擁有主控台密碼的使用IAM者都MFA應啟用 [IAM.5]

• [IAM.6] 根用戶MFA應啟用硬件

• [IAM.7] IAM 用戶的密碼策略應具有強大的配置

• [IAM.8] 應刪除未使IAM用的用戶憑據

• [IAM.21] 您建立的IAM客戶管理策略不應允許對服務執行萬用字元動作

• [Kinesis.1] Kinesis 串流應該在靜態時加密

• [KMS.1] IAM 客戶管理策略不應允許對所有密KMS鑰進行解密操作

• [KMS.2] IAM 主體不應具有允許對所有KMS金鑰進行解密動作的IAM內嵌政策

• [KMS.3] 不 AWS KMS keys 應被無意中刪除

• [KMS.4] AWS KMS 鍵旋轉應該啟用

• [Lambda 1] Lambda 函數政策應該禁止公共訪問

• [Lambda 2] Lambda 函數應該使用受支援的執行階段

• [Lambda 3] Lambda 函數應該在一個 VPC

• [Lambda .5] VPC Lambda 函數應該在多個可用區域中運作

• [MSK.1] MSK 叢集在代理程式節點之間的傳輸過程中應加密

• [MQ.5] ActiveMQ 代理程式應該使用主動/待命部署模式

• [MQ.6] RabbitMQ 代理程式應該使用叢集部署模式

• [Neptune .1] Neptune DB 叢集在靜態時應加密

• [Neptune .2] Neptune 資料庫叢集應將稽核記錄發佈至記錄 CloudWatch

• [Neptune .4] Neptune 資料庫叢集應啟用刪除保護

• [Neptune .4] Neptune 資料庫叢集應啟用刪除保護

• [Neptune .5] Neptune 資料庫叢集應啟用自動備份

• [Neptune .6] Neptune 資料庫叢集快照在靜態時應加密

• [Neptune .7] Neptune 資料庫叢集應啟用資料庫驗IAM證

• [Neptune .8] 應將 Neptune 資料庫叢集設定為將標籤複製到快照

• [NetworkFirewall.3] Network Firewall 策略應至少有一個關聯的規則組

• [NetworkFirewall.4] 對於完整封包，Network Firewall 策略的預設無狀態處理行動應為捨棄或轉送

• [NetworkFirewall.5] 對於分散式封包，Network Firewall 策略的預設無狀態處理行動應該是捨棄或轉送

• [NetworkFirewall.6] 無狀態 Network Firewall 規則群組不應為空

• OpenSearch 網域應該已啟用靜態加密

• [打開搜索 .2] OpenSearch 域名不應該是公開訪問

• OpenSearch 網域應該加密節點之間傳送的資料

• 應該啟用 OpenSearch 網域錯誤記錄到 CloudWatch 記錄

• OpenSearch 網域應該已啟用稽核記錄

• OpenSearch 網域應該至少有三個資料節點

• OpenSearch 網域應該啟用精細的存取控制

• 應使用最新的安全策略加密與 OpenSearch 域的連接 TLS

• [RDS.1] RDS 快照應該是私有的

• [RDS.2] RDS 數據庫實例應該禁止公共訪問，由配 PubliclyAccessible AWS Config置確定

• [RDS.3] RDS 數據庫實例應啟用靜態加密

• [RDS.4] RDS 叢集快照集和資料庫快照集應在靜態時加密

• [RDS.5] RDS 資料庫執行個體應設定多個可用區域

• [RDS.6] 應為RDS資料庫執行個體設定增強型監控

• [RDS.8] RDS 資料庫執行個體應啟用刪除保護

• [RDS.9] RDS 資料庫執行個體應該將日誌發佈到 CloudWatch 日誌

• [RDS.10] 應為實例RDS配置IAM身份驗證

• [RDS.11] RDS 執行個體應啟用自動備份

• [RDS.12] 應為RDS叢集設定IAM驗證

• [RDS.13] 應啟用RDS自動次要版本升級

• [RDS.15] 應為多個可用區域設定資RDS料庫叢集

• [RDS.17] RDS 資料庫執行個體應設定為將標籤複製到快照

• [RDS.18] RDS 執行個體應部署在 VPC

• [RDS.19] 應針對重要叢集RDS事件設定現有事件通知訂閱

• [RDS.20] 應針對重要資料庫執行個體RDS事件設定現有事件通知訂閱

• [RDS.21] 應針對重要資料庫參數群組RDS事件設定事件通知訂閱

• [RDS.22] 應針對重要資料庫安全性群組RDS事件設定事件通知訂閱

• [RDS.23] RDS 執行個體不應使用資料庫引擎預設連接埠

• [RDS.25] RDS 資料庫執行個體應使用自訂管理員使用者名稱

• [RDS.27] RDS 資料庫叢集應在靜態時加密

• [紅移 1] 亞馬遜 Redshift 集群應禁止公共訪問

• [紅移 2] 與亞馬遜 Redshift 叢集的連接應在傳輸過程中進行加密

• [紅移 4] 亞馬遜 Redshift 叢集應啟用稽核記錄

• [紅移 6] 亞馬遜 Redshift 應該啟用自動升級到主要版本

• [紅移 .7] Redshift 叢集應該使用增強型路由 VPC

• [Redshift.8] 亞馬遜 Redshift 群集不應使用默認的管理員用戶名

• [紅移 .9] Redshift 叢集不應使用預設的資料庫名稱

• [紅移 .10] Redshift 叢集在靜態時應加密

• [S3.1] S3 一般用途儲存貯體應啟用區塊公開存取設定

• [S3.2] S3 通用存儲桶應該阻止公共讀取訪問

• [S3.3] S3 通用存儲桶應該阻止公共寫入訪問

• [S3.5] S3 通用存儲桶應該需要請求使用 SSL

• [S3.6] S3 一般用途儲存貯體政策應限制對其他儲存貯體的存取 AWS 帳戶

• [S3.8] S3 通用存儲桶應阻止公共訪問

• [S3.9] S3 一般用途儲存貯體應啟用伺服器存取記錄

• [S3.12] 不ACLs應用於管理使用者對 S3 一般用途儲存貯體的存取

• [S3.13] S3 一般用途儲存貯體應具有生命週期組態

• [S3.17] S3 一般用途儲存貯體在靜態時應使用 AWS KMS keys

• [SageMaker.1] Amazon SageMaker 筆記本實例不應該直接訪問互聯網

• [SageMaker.2] SageMaker 筆記本實例應以自定義方式啟動 VPC

• [SageMaker.3] 用戶不應該擁有對 SageMaker 筆記本實例的 root 訪問權限

• [SecretsManager.1] Secrets Manager 秘密應該啟用自動旋轉

• [SecretsManager.2] 配置了自動旋轉的秘密 Secrets Manager 密鑰應該成功旋轉

• [SecretsManager.3] 刪除未使用的 Secrets Manager 秘密

• [SecretsManager.4] Secrets Manager 密鑰應在指定的天數內輪替

• [SQS.1] Amazon SQS 隊列應該在靜態時加密

• [SSM.1] Amazon EC2 實例應由 AWS Systems Manager

• [SSM.2] 由系統管理員管理的 Amazon EC2 執行個體在安裝修補程式COMPLIANT後，修補程式合規狀態應為

• [SSM.3] 由系統管理器管理的 Amazon EC2 執行個體應具有的關聯合規性狀態為 COMPLIANT

• [SSM.4] SSM 文件不應公開

• [WAF2] AWS WAF 經典區域規則應至少有一個條件

• [WAF.3] AWS WAF 傳統區域規則群組至少應該有一個規則

• [WAF.4] AWS WAF 傳統區域網路至少ACLs應該有一個規則或規則群組

• [WAF.10] AWS WAF web ACLs 應該至少有一個規則或規則群組

如需有關此標準的詳細資訊，請參閱AWS Control Tower 使用者指南中的 Security Hub 控制項。