本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# CIS AWS 基金会在 Security Hub CSPM 中的基准
互联网安全中心 (CIS) AWS 基金会基准测试是一组安全配置最佳实践 AWS。这些业界认可的最佳实践为您提供了清晰的 step-by-step实施和评估程序。从操作系统到云服务和网络设备,此基准测试中的控件可帮助您保护组织使用的特定系统。
AWS Security Hub CSPM 支持 CIS AWS 基金会基准测试版本 5.0.0、3.0.0、1.4.0 和 1.2.0。本页列出了每个版本支持的安全控件。它还提供了版本的比较。
## CIS AWS 基金会基准测试版本 5.0.0
Security Hub CSPM 支持 CIS 基金会基准测试的 5.0.0 版 (v5.0.0)。 AWS Security Hub CSPM 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:
+ CIS AWS 基金会基准测试基准,v5.0.0,第 1 级
+ CIS AWS 基金会基准测试基准,v5.0.0,第 2 级
### 适用于 CIS AWS 基金会基准版本 5.0.0 的控件
[[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
[AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1)
[[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2)
[[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6)
[[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7)
[[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-8)
[[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
[[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)
[[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)
[[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
[[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8)
[[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
[[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
[[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
[[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
[[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
[[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
[[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
[[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
[[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
[[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
[[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
[[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
[[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
[[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4)
[[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2)
[[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3)
[[RDS.5] RDS 数据库实例应配置多个可用区](rds-controls.md#rds-5)
[[RDS.13] 应启用 RDS 自动次要版本升级](rds-controls.md#rds-13)
[[RDS.15] 应为多个可用区配置 RDS 数据库集群](rds-controls.md#rds-15)
[[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1)
[[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5)
[[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8)
[[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)
[[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)
[[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)
## CIS AWS 基金会基准测试版本 3.0.0
Security Hub CSPM 支持 CIS 基金会基准测试的 3.0.0 版 (v3.0.0)。 AWS Security Hub CSPM 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:
+ CIS AWS 基金会基准测试基准,v3.0.0,第 1 级
+ CIS AWS 基金会基准测试基准,v3.0.0,第 2 级
### 适用于 CIS AWS 基金会基准版本 3.0.0 的控件
[[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
[AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1)
[[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2)
[[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6)
[[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7)
[[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-8)
[[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
[[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53)
[[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54)
[[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1)
[[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
[[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
[[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
[[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
[[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
[[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
[[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
[[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
[[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
[[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
[[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26)
[[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27)
[[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28)
[[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4)
[[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2)
[[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3)
[[RDS.13] 应启用 RDS 自动次要版本升级](rds-controls.md#rds-13)
[[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1)
[[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5)
[[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8)
[[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)
[[S3.22] S3 通用存储桶应记录对象级写入事件](s3-controls.md#s3-22)
[[S3.23] S3 通用存储桶应记录对象级读取事件](s3-controls.md#s3-23)
## CIS AWS 基金会基准测试版本 1.4.0
Security Hub CSPM 支持 CIS 基金会基准测试的 1.4.0 版 (v1.4.0)。 AWS
### 适用于 CIS AWS 基金会基准版本 1.4.0 的控件
[[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] 确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] 确保存在 AWS Config 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-14)
[AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1)
[[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2)
[[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6)
[[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7)
[[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
[[IAM.1] IAM policy 不应允许完整的“\*”管理权限](iam-controls.md#iam-1)
[[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
[[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
[[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
[[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
[[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
[[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
[[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
[[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
[[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
[[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4)
[[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3)
[[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1)
[[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5)
[[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8)
[[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20)
## CIS AWS 基金会基准测试版本 1.2.0
Security Hub CSPM 支持 CIS 基金会基准测试的 1.2.0 版 (v1.2.0)。 AWS Security Hub CSPM 已满足 CIS 安全软件认证的要求,并已根据以下 CIS 基准获得 CIS 安全软件认证:
+ CIS AWS 基金会基准测试基准,v1.2.0,第 1 级
+ CIS AWS 基金会基准测试基准,v1.2.0,第 2 级
### 适用于 CIS AWS 基金会基准版本 1.2.0 的控件
[[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-2)
[[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-3)
[[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] 确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] 确保存在 AWS Config 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-14)
[AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1)
[[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2)
[[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6)
[[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13)
[[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14)
[[IAM.1] IAM policy 不应允许完整的“\*”管理权限](iam-controls.md#iam-1)
[[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
[[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3)
[[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4)
[[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5)
[[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6)
[[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
[[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9)
[[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
[[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
[[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
[[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
[[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
[[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
[[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17)
[[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18)
[[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4)
## CIS AWS 基金会基准测试的版本比较
本节总结了互联网安全中心 (CIS) AWS 基金会基准测试的特定版本之间的区别 — v5.0.0、v3.0.0、v1.4.0 和 v1.2.0。 AWS Security Hub CSPM 支持 CIS AWS 基金会基准测试的每个版本。但是,建议使用 v5.0.0 以了解最新的安全最佳实践。您可以同时启用多个版本的 CIS AWS 基金会基准标准。有关启用标准的信息,请参阅[启用安全标准](enable-standards.md)。如果要升级到 v5.0.0,请先启用新版本,然后再禁用旧版本。这可以防止您的安全检查出现漏洞。[如果您使用与 Security Hub CSPM 集成, AWS Organizations 并希望在多个账户中批量启用 v5.0.0,我们建议使用集中配置。](central-configuration-intro.md)
### 将控件映射到每个版本中的 CIS 要求
了解每个版本的 CIS AWS 基金会基准测试支持的控件。
| 控件 ID 和标题 | CIS v5.0.0 要求 | CIS v3.0.0 要求 | CIS v1.4.0 要求 | CIS v1.2.0 要求 |
| --- | --- | --- | --- | --- |
| [[Account.1] 应为以下人员提供安全联系信息 AWS 账户](account-controls.md#account-1) | 1.2 | 1.2 | 1.2 | 1.18 |
| [[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪](cloudtrail-controls.md#cloudtrail-1) | 3.1 | 3.1 | 3.1 | 2.1 |
| [[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2) | 3.5 | 3.5 | 3.7 | 2.7 |
| [[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4) | 3.2 | 3.2 | 3.2 | 2.2 |
| [[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成](cloudtrail-controls.md#cloudtrail-5) | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 3.4 | 2.4 |
| [[CloudTrail.6] 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问](cloudtrail-controls.md#cloudtrail-6) | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 3.3 | 2.3 |
| [[CloudTrail.7] 确保在 S3 存储桶上启用 S CloudTrail 3 存储桶访问日志记录](cloudtrail-controls.md#cloudtrail-7) | 3.4 | 3.4 | 3.6 | 2.6 |
| [[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.3 | 3.3 |
| [[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-2) | 不支持 – 手动检查 | 不支持 – 手动检查 | 不支持 – 手动检查 | 3.1 |
| [[CloudWatch.3] 确保在没有 MFA 的情况下登录管理控制台时存在日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-3) | 不支持 – 手动检查 | 不支持 – 手动检查 | 不支持 – 手动检查 | 3.2 |
| [[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-4) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.4 | 3.4 |
| [[CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-5) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.5 | 3.5 |
| [[CloudWatch.6] 确保存在针对 AWS 管理控制台 身份验证失败的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-6) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.6 | 3.6 |
| [[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-7) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.7 | 3.7 |
| [[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-8) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.8 | 3.8 |
| [[CloudWatch.9] 确保存在 AWS Config 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-9) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.9 | 3.9 |
| [[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-10) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.10 | 3.10 |
| [[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-11) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.11 | 3.11 |
| [[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-12) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.12 | 3.12 |
| [[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-13) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.13 | 3.13 |
| [[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-14) | 不支持 – 手动检查 | 不支持 – 手动检查 | 4.14 | 3.14 |
| [AWS Config 应启用 [Config.1] 并使用服务相关角色进行资源记录](config-controls.md#config-1) | 3.3 | 3.3 | 3.5 | 2.5 |
| [[EC2.2] VPC 默认安全组不应允许入站或出站流量](ec2-controls.md#ec2-2) | 5.5 | 5.4 | 5.3 | 4.3 |
| [[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6) | 3.7 | 3.7 | 3.9 | 2.9 |
| [[EC2.7] 应启用 EBS 默认加密](ec2-controls.md#ec2-7) | 5.1.1 | 2.2.1 | 2.2.1 | 不支持 |
| [[EC2.8] EC2 实例应使用实例元数据服务版本 2 () IMDSv2](ec2-controls.md#ec2-8) | 5.7 | 5.6 | 不支持 | 不支持 |
| [[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13) | 不支持 – 替换为要求 5.3 和 5.4 | 不支持 – 替换为要求 5.2 和 5.3 | 不支持 – 替换为要求 5.2 和 5.3 | 4.1 |
| [[EC2.14] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 3389 的入口流量](ec2-controls.md#ec2-14) | 不支持 – 替换为要求 5.3 和 5.4 | 不支持 – 替换为要求 5.2 和 5.3 | 不支持 – 替换为要求 5.2 和 5.3 | 4.2 |
| [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21) | 5.2 | 5.1 | 5.1 | 不支持 |
| [[EC2.53] EC2 安全组不应允许从 0.0.0.0/0 进入远程服务器管理端口](ec2-controls.md#ec2-53) | 5.3 | 5.2 | 不支持 | 不支持 |
| [[EC2.54] EC2 安全组不应允许从 ::/0 进入远程服务器管理端口](ec2-controls.md#ec2-54) | 5.4 | 5.3 | 不支持 | 不支持 |
| [[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 AWS KMS](efs-controls.md#efs-1) | 2.3.1 | 2.4.1 | 不支持 | 不支持 |
| [[EFS.8] 应对 EFS 文件系统进行静态加密](efs-controls.md#efs-8) | 2.3.1 | 不支持 | 不支持 | 不支持 |
| [[IAM.1] IAM policy 不应允许完整的“\*”管理权限](iam-controls.md#iam-1) | 不支持 | 不支持 | 1.16 | 1.22 |
| [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2) | 1.14 | 1.15 | 不支持 | 1.16 |
| [[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次](iam-controls.md#iam-3) | 1.13 | 1.14 | 1.14 | 1.4 |
| [[IAM.4] 不应存在 IAM 根用户访问密钥](iam-controls.md#iam-4) | 1.3 | 1.4 | 1.4 | 1.12 |
| [[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA](iam-controls.md#iam-5) | 1.9 | 1.10 | 1.10 | 1.2 |
| [[IAM.6] 应该为根用户启用硬件 MFA](iam-controls.md#iam-6) | 1.5 | 1.6 | 1.6 | 1.14 |
| [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8) | 不支持 – 改为参阅 [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22) | 不支持 – 改为参阅 [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22) | 不支持 – 改为参阅 [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22) | 1.3 |
| [[IAM.9] 应为根用户启用 MFA](iam-controls.md#iam-9) | 1.4 | 1.5 | 1.5 | 1.13 |
| [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11) | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 1.5 |
| [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12) | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 1.6 |
| [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13) | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 1.7 |
| [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14) | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 1.8 |
| [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15) | 1.7 | 1.8 | 1.8 | 1.9 |
| [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16) | 1.8 | 1.9 | 1.9 | 1.10 |
| [[IAM.17] 确保 IAM 密码策略使密码在 90 天或更短时间内失效](iam-controls.md#iam-17) | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 1.11 |
| [[IAM.18] 确保已创建支持角色来管理事件 AWS 支持](iam-controls.md#iam-18) | 1.16 | 1.17 | 1.17 | 1.2 |
| [[IAM.20] 避免使用根用户](iam-controls.md#iam-20) | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 不支持 – CIS 删除了此要求 | 1.1 |
| [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22) | 1.11 | 1.12 | 1.12 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[IAM.26] 应移除 IAM 中管理的过期 SSL/TLS 证书](iam-controls.md#iam-26) | 1.18 | 1.19 | 不支持 – CIS 在更高版本中添加了此要求 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[IAM.27] IAM 身份不应附加策略 AWSCloud ShellFullAccess](iam-controls.md#iam-27) | 1.21 | 1.22 | 不支持 – CIS 在更高版本中添加了此要求 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[IAM.28] 应启用 IAM Access Analyzer 外部访问分析器](iam-controls.md#iam-28) | 1.19 | 1.20 | 不支持 – CIS 在更高版本中添加了此要求 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[KMS.4] 应启用 AWS KMS 密钥轮换](kms-controls.md#kms-4) | 3.6 | 3.6 | 3.8 | 2.8 |
| [[Macie.1] 应启用 Amazon Macie](macie-controls.md#macie-1) | 不支持 – 手动检查 | 不支持 – 手动检查 | 不支持 – 手动检查 | 不支持 – 手动检查 |
| [[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于配置 PubliclyAccessible](rds-controls.md#rds-2) | 2.2.3 | 2.3.3 | 不支持 – CIS 在更高版本中添加了此要求 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[RDS.3] RDS 数据库实例应启用静态加密](rds-controls.md#rds-3) | 2.2.1 | 2.3.1 | 2.3.1 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[RDS.5] RDS 数据库实例应配置多个可用区](rds-controls.md#rds-5) | 2.2.4 | 不支持 – CIS 在更高版本中添加了此要求 | 不支持 – CIS 在更高版本中添加了此要求 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[RDS.13] 应启用 RDS 自动次要版本升级](rds-controls.md#rds-13) | 2.2.2 | 2.3.2 | 不支持 – CIS 在更高版本中添加了此要求 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[RDS.15] 应为多个可用区配置 RDS 数据库集群](rds-controls.md#rds-15) | 2.2.4 | 不支持 – CIS 在更高版本中添加了此要求 | 不支持 – CIS 在更高版本中添加了此要求 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[S3.1] S3 通用存储桶应启用屏蔽公共访问权限设置](s3-controls.md#s3-1) | 2.1.4 | 2.1.4 | 2.1.5 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5) | 2.1.1 | 2.1.1 | 2.1.2 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[S3.8] S3 通用存储桶应屏蔽公共访问权限](s3-controls.md#s3-8) | 2.1.4 | 2.1.4 | 2.1.5 | 不支持 – CIS 在更高版本中添加了此要求 |
| [[S3.20] S3 通用存储桶应启用 MFA 删除](s3-controls.md#s3-20) | 2.1.2 | 2.1.2 | 2.1.3 | 不支持 – CIS 在更高版本中添加了此要求 |
### ARNs 适用于 CIS AWS 基金会基准
启用一个或多个版本的 CIS AWS 基金会基准测试后,您将开始收到 AWS 安全调查结果格式 (ASFF) 中的调查结果。在 ASFF 中,每个版本都使用以下 Amazon 资源名称(ARN):
**CIS AWS 基金会基准测试 v5.0.0**
`arn:aws:securityhub:{{region}}::standards/cis-aws-foundations-benchmark/v/5.0.0`
**CIS AWS 基金会基准测试 v3.0.0**
`arn:aws:securityhub:{{region}}::standards/cis-aws-foundations-benchmark/v/3.0.0`
**CIS AWS 基金会基准测试 v1.4.0**
`arn:aws:securityhub:{{region}}::standards/cis-aws-foundations-benchmark/v/1.4.0`
**CIS AWS 基金会基准测试 v1.2.0**
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`
您可以使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) 操作找出已启用标准的 ARN。
前面的值与 `StandardsArn` 对应。但是,`StandardsSubscriptionArn` 是指在您通过在某个区域中调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html) 订阅标准时 Security Hub CSPM 创建的标准订阅资源。
**注意**
启用 CIS AWS 基金会基准测试版本时,Security Hub CSPM 最多可能需要 18 小时才能为使用与其他已启用标准中的已启用控件相同的 AWS Config 服务关联规则的控件生成调查结果。有关生成控件调查发现的时间表的更多信息,请参阅[有关运行安全检查的计划](securityhub-standards-schedule.md)。
如果您启用了整合的控件调查发现,则调查发现字段会有所不同。有关这些区别的信息,请参阅 [合并对 ASFF 字段和值的影响](asff-changes-consolidation.md)。有关控件调查发现样本,请参阅[控件调查发现示例](sample-control-findings.md)。
### Security Hub CSPM 不支持的 CIS 要求
如上表所述,Security Hub CSPM并不支持每个版本的CIS AWS 基金会基准测试中的所有CIS要求。许多不受支持的要求只能通过查看 AWS 资源的状态手动评估。