本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 剧本 [该解决方案包括针对[互联网安全中心 (CIS) AWS 基金会基准 v1.2.0、CIS AWS 基金会基准 v1.2.0、CIS AWS 基金会基准 v1.4.0、CIS AWS 基金会基准测试 v3.0.0、AWS 基础安全最佳实践 (](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)[FSBP) v.1.](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)[[0.0、支付卡行业数据安全标准 (PCI-DSS) v3.2.](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard) 1 和美国国家标准与技术研究院 (NSBP) v.1.0.0、支付卡行业数据安全标准 (PCI-DSS)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[v3.2.1 和美国国家标准](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)与技术研究院 (NSBP) IST)。](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) 如果您启用了合并控制结果,则所有标准都支持这些控件。如果启用此功能,则只需要部署 SC 剧本。如果不是,则前面列出的标准支持这些剧本。 **重要** 仅部署已启用标准的行动手册,以避免达到服务配额。 有关特定补救措施的详细信息,请参阅 Systems Manager 自动化文档,其中包含解决方案在您的账户中部署的名称。前往 [AWS Systems Manager 控制台](https://console.aws.amazon.com/systems-manager/),然后在导航窗格中选择 “**文档**”。 | 说明 | AWS FSBP | CIS v1.2.0 | PCI v3.2.1 | CIS v1.4.0 | NIST | CIS v3.0.0 | 安全控件 ID | | --- | --- | --- | --- | --- | --- | --- | --- | | **补救总数** | 63 | 34 | 29 | 33 | 65 | 19 | 90 | | **ASR-Check EnableAutoScalingGroup ELBHealth** 与负载均衡器关联的 Auto Scaling 组应使用负载均衡器运行状况检查 | 自动扩展。1 | | 自动扩展。1 | | 自动扩展。1 | | 自动扩展。1 | | **ASR-ConfigureAutoScalingLaunchConfigToRequire IMDSv2** Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2) | | | | | 自动扩展。3 | | 自动扩展。3 | | **ASR-CreateCloudTrailMultiRegionTrail** CloudTrail 应激活并配置至少一条多区域跟踪 | CloudTrail1. | 2.1 | CloudTrail2. | 3.1 | CloudTrail1. | 3.1 | CloudTrail1. | | **ASR-EnableEncryption** CloudTrail 应该激活静态加密 | CloudTrail2. | 2.7 | CloudTrail1. | 3.7 | CloudTrail2. | 3.5 | CloudTrail2. | | **ASR-EnableLogFileValidation** 确保已激活 CloudTrail 日志文件验证 | CloudTrail4. | 2.2 | CloudTrail3. | 3.2 | CloudTrail4. | | CloudTrail4. | | **ASR-EnableCloudTrailToCloudWatchLogging** 确保 CloudTrail 跟踪与 Amazon CloudWatch 日志集成 | CloudTrail5. | 2.4 | CloudTrail4. | 3.4 | CloudTrail5. | | CloudTrail5. | | **ASR 配置 3 BucketLogging** 确保在 S3 存储桶上启用 CloudTrail S3 存储桶访问日志记录 | | 2.6 | | 3.6 | | 3.4 | CloudTrail.7 | | **ASR-ReplaceCodeBuildClearTextCredentials** CodeBuild 项目环境变量不应包含明文凭证 | CodeBuild2. | | CodeBuild2. | | CodeBuild2. | | CodeBuild2. | | **启用 ASR AWSConfig** 确保 AWS Config 已激活 | Config.1 | 2.5 | Config.1 | 3.5 | Config.1 | 3.3 | Config.1 | | **ASR 设为私有 EBSSnapshots** Amazon EBS 快照不应公开恢复 | EC21. | | EC21. | | EC21. | | EC21. | | **ASR 移除 VPCDefault SecurityGroupRules** VPC 默认安全组应禁止入站和出站流量 | EC22. | 4.3 | EC22. | 5.3 | EC22. | 5.4 | EC22. | | **启用 ASR 的日志 VPCFlow** 应全部启用 VPC 流量记录 VPCs | EC2.6 | 2.9 | EC2.6 | 3.9 | EC2.6 | 3.7 | EC2.6 | | **ASR-EnableEbsEncryptionByDefault** 应激活 EBS 默认加密 | EC2.7 | 2.2.1 | | | EC2.7 | 2.2.1 | EC2.7 | | **ASR-RevokeUnrotatedKeys** 用户的访问密钥应每 90 天或更短时间轮换一次 | IAM.3 | 1.4 | | 1.14 | IAM.3 | 1.14 | IAM.3 | | **ASR 设置政策 IAMPassword** IAM 默认密码策略 | IAM.7 | 1.5-1.11 | IAM.8 | 1.8 | IAM.7 | 1.8 | IAM.7 | | **ASR-证书 RevokeUnused IAMUser** 如果在 90 天内未使用用户凭证,则应将其关闭 | IAM.8 | 1.3 | IAM.7 | | IAM.8 | | IAM.8 | | **ASR-证书 RevokeUnused IAMUser** 如果在 45 天内未使用用户凭证,则应将其关闭 | | | | 1.12 | | 1.12 | IAM.22 | | **ASR-RemoveLambdaPublicAccess** Lambda 函数应禁止公众访问 | Lambda.1 | | Lambda.1 | | Lambda.1 | | Lambda.1 | | **ASR 设为私有 RDSSnapshot** RDS 快照应禁止公共访问 | RDS.1 | | RDS.1 | | RDS.1 | | RDS.1 | | **ASR-DisablePublicAccessTo RDSInstance** RDS 数据库实例应禁止公共访问 | RDS.2 | | RDS.2 | | RDS.2 | 2.3.3 | RDS.2 | | **ASR 加密 RDSSnapshot** RDS 集群快照和数据库快照应进行静态加密 | RDS.4 | | | | RDS.4 | | RDS.4 | | **ASR-EnableMulti AZOn RDSInstance** RDS 数据库实例应配置多个可用区 | RDS.5 | | | | RDS.5 | | RDS.5 | | **ASR-EnableEnhancedMonitoringOn RDSInstance** 应为 RDS 数据库实例和集群配置增强监控 | RDS.6 | | | | RDS.6 | | RDS.6 | | **启用 ASR RDSCluster DeletionProtection** RDS 集群应激活删除保护 | RDS.7 | | | | RDS.7 | | RDS.7 | | **启用 ASR RDSInstance DeletionProtection** RDS 数据库实例应激活删除保护 | RDS.8 | | | | RDS.8 | | RDS.8 | | **ASR-EnableMinorVersionUpgradeOn RDSDBInstance** 应激活 RDS 自动次要版本升级 | RDS.13 | | | | RDS.13 | 2.3.2 | RDS.13 | | **ASR-EnableCopyTagsToSnapshotOn RDSCluster** 应将 RDS 数据库集群配置为将标签复制到快照 | RDS.16 | | | | RDS.16 | | RDS.16 | | **ASR-DisablePublicAccessToRedshiftCluster** Amazon Redshift 集群应禁止公共访问 | Redshift.1 | | Redshift.1 | | Redshift.1 | | Redshift.1 | | **ASR-EnableAutomaticSnapshotsOnRedshiftCluster** 亚马逊 Redshift 集群应激活自动快照 | Redshift.3 | | | | Redshift.3 | | Redshift.3 | | **ASR-EnableRedshiftClusterAuditLogging** 亚马逊 Redshift 集群应激活审核日志 | Redshift.4 | | | | Redshift.4 | | Redshift.4 | | **ASR-EnableAutomaticVersionUpgradeOnRedshiftCluster** 亚马逊 Redshift 应该激活主要版本的自动升级 | Redshift.6 | | | | Redshift.6 | | Redshift.6 | | **ASR 配置 3 PublicAccessBlock** 应激活 S3 阻止公共访问设置 | S3.1 | 2.3 | S3.6 | 2.1.5.1 | S3.1 | 2.1.4 | S3.1 | | **ASR 配置 3 BucketPublicAccessBlock** S3 存储桶应禁止公开读取访问 | S3.2 | | S3.2 | 2.1.5.2 | S3.2 | | S3.2 | | **ASR 配置 3 BucketPublicAccessBlock** S3 存储桶应禁止公开写入访问 | | S3.3 | | | | | S3.3 | | **ASR-S3 EnableDefaultEncryption** S3 存储桶应激活服务器端加密 | S3.4 | | S3.4 | 2.1.1 | S3.4 | | S3.4 | | **ASR 设置政策 SSLBucket** S3 存储桶应要求请求使用 SSL | S3.5 | | S3.5 | 2.1.2 | S3.5 | 2.1.1 | S3.5 | | **ASR-S3 BlockDenylist** 应限制存储桶策略中授予其他 AWS 账户的 Amazon S3 权限 | S3.6 | | | | S3.6 | | S3.6 | | 应在存储桶级别激活 S3 阻止公共访问设置 | S3.8 | | | | S3.8 | | S3.8 | | **ASR 配置 3 BucketPublicAccessBlock** 确保不可公开访问的 S3 存储桶 CloudTrail 日志 | | 2.3 | | | | | CloudTrail.6 | | **ASR-CreateAccessLoggingBucket** 确保在 S3 存储桶上激活 CloudTrail S3 存储桶访问日志记录 | | 2.6 | | | | | CloudTrail.7 | | **ASR-EnableKeyRotation** 确保已激活客户创建 CMKs 的轮换 | | 2.8 | KMS.1 | 3.8 | KMS.4 | 3.6 | KMS.4 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在关于未经授权的 API 调用的日志指标筛选条件和警报 | | 3.1 | | 4.1 | | | 云监视.1 | | **ASR-CreateLogMetricFilterAndAlarm** 确保在没有 MFA 的情况下登录 AWS 管理控制台时存在日志指标筛选器和警报 | | 3.2 | | 4.2 | | | 云监视2 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在 “root” 用户使用的日志指标筛选器和警报 | | 3.3 | CW.1 | 4.3 | | | 云监视3 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在关于 IAM 策略更改的日志指标筛选条件和警报 | | 3.4 | | 4.4 | | | Cloudwatch.4 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在 CloudTrail 配置更改的日志指标筛选器和警报 | | 3.5 | | 4.5 | | | Cloudwatch.5 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在针对 AWS 管理控制台身份验证失败的日志指标筛选器和警报 | | 3.6 | | 4.6 | | | Cloudwatch.6 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在日志指标筛选器和警报,用于禁用或计划删除已创建的客户 CMKs | | 3.7 | | 4.7 | | | Cloudwatch.7 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在关于 S3 存储桶策略更改的日志指标筛选条件和警报 | | 3.8 | | 4.8 | | | Cloudwatch.8 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在针对 AWS Config 配置更改的日志指标筛选器和警报 | | 3.9 | | 4.9 | | | Cloudwatch.9 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在关于安全组更改的日志指标筛选条件和警报 | | 3.10 | | 4.10 | | | Cloudwatch.10 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在关于网络访问控制列表(NACL)更改的日志指标筛选条件和警报 | | 3.11 | | 4.11 | | | Cloudwatch.11 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在关于网络网关更改的日志指标筛选条件和警报 | | 3.12 | | 4.12 | | | Cloudwatch.12 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在关于路由表更改的日志指标筛选条件和警报 | | 3.13 | | 4.13 | | | Cloudwatch.13 | | **ASR-CreateLogMetricFilterAndAlarm** 确保存在关于 VPC 更改的日志指标筛选条件和警报 | | 3.14 | | 4.14 | | | Cloudwatch.14 | | **AWS-DisablePublicAccessForSecurityGroup** 确保没有安全组允许从 0.0.0.0/0 到端口 22 的入站流量 | | 4.1 | EC25. | | EC2.13 | | EC2.13 | | **AWS-DisablePublicAccessForSecurityGroup** 确保没有安全组允许从 0.0.0.0/0 到端口 3389 的入站流量 | | 4.2 | | | EC2.14 | | EC2.14 | | **ASR 配置 SNSTopic ForStack** | CloudFormation1. | | | | CloudFormation1. | | CloudFormation1. | | **ASR 创建角色 IAMSupport** | | 1.20 | | 1.17 | | 1.17 | IAM.18 | | **ASR-DisablePublic IPAuto 分配** Amazon EC2 子网不应自动分配公有 IP 地址 | EC2.15 | | | | EC2.15 | | EC2.15 | | **ASR-EnableCloudTrailLogFileValidation** | CloudTrail4. | 2.2 | CloudTrail3. | 3.2 | | | CloudTrail4. | | **ASR-EnableEncryptionFor SNSTopic** | SNS.1 | | | | SNS.1 | | SNS.1 | | **ASR-EnableDeliveryStatusLoggingFor SNSTopic** 应为发送到主题的通知消息启用传输状态记录 | SNS.2 | | | | SNS.2 | | SNS.2 | | **ASR-EnableEncryptionFor SQSQueue** | SQS.1 | | | | SQS.1 | | SQS.1 | | **ASR-make RDSSnapshot 私有** RDS 快照应该是私有的 | RDS.1 | | RDS.1 | | | | RDS.1 | | **ASR 屏蔽 SSMDocument PublicAccess** SSM 文档不应公开 | SSM.4 | | | | SSM.4 | | SSM.4 | | **ASR-EnableCloudFrontDefaultRootObject** CloudFront 发行版应该配置一个默认的根对象 | CloudFront1. | | | | CloudFront1. | | CloudFront1. | | **ASR-SetCloudFrontOriginDomain** CloudFront 发行版不应指向不存在的 S3 来源 | CloudFront.12 | | | | CloudFront.12 | | CloudFront.12 | | **ASR-RemoveCodeBuildPrivilegedMode** CodeBuild 项目环境应该有日志 AWS 配置 | CodeBuild5. | | | | CodeBuild5. | | CodeBuild5. | | **ASR 终止实例 EC2** 应在指定的时间段后移除已停止的 EC2 实例 | EC24. | | | | EC24. | | EC24. | | **启用 ASR IMDSV2 OnInstance** EC2 实例应使用实例元数据服务版本 2 (IMDSv2) | EC2.8 | | | | EC2.8 | 5.6 | EC2.8 | | **ASR-RevokeUnauthorizedInboudRules** 安全组应仅允许授权端口不受限制的传入流量 | EC2.18 | | | | EC2.18 | | EC2.18 | | 在此处插入标题 安全组不应允许无限制地访问高风险端口 | EC2.19 | | | | EC2.19 | | EC2.19 | | **禁用 ASR TGWAuto AcceptSharedAttachments** Amazon EC2 Transit Gateway 不应自动接受 VPC 连接请求 | EC2.23 | | | | EC2.23 | | EC2.23 | | **ASR-EnablePrivateRepositoryScanning** ECR 私有存储库应配置图像扫描 | ECR.1 | | | | ECR.1 | | ECR.1 | | **ASR-EnableGuardDuty** GuardDuty 应该启用 | GuardDuty1. | | GuardDuty1. | | GuardDuty1. | | GuardDuty1. | | **ASR 配置 3 BucketLogging** 应启用 S3 存储桶服务器访问日志记录 | S3.9 | | | | S3.9 | | S3.9 | | **ASR-EnableBucketEventNotifications** S3 存储桶应启用事件通知 | S3.11 | | | | S3.11 | | S3.11 | | **ASR-sets3 LifecyclePolicy** S3 存储桶应配置生命周期策略 | S3.13 | | | | S3.13 | | S3.13 | | **ASR-EnableAutoSecretRotation** Secrets Manager 密钥应启用自动轮换 | SecretsManager1. | | | | SecretsManager1. | | SecretsManager1. | | **ASR-RemoveUnusedSecret** 移除未使用 Secrets Manager 密钥 | SecretsManager3. | | | | SecretsManager3. | | SecretsManager3. | | **ASR-UpdateSecretRotationPeriod** Secrets Manager 密钥应在指定的天数内轮换 | SecretsManager4. | | | | SecretsManager4. | | SecretsManager4. | | **启用 ASR APIGateway CacheDataEncryption** API Gateway REST API 缓存数据应静态加密 | | | | | APIGateway5. | | APIGateway5. | | **ASR-SetLogGroupRetentionDays** CloudWatch 日志组应在指定的时间段内保留 | | | | | CloudWatch.16 | | CloudWatch.16 | | **ASR-AttachService VPCEndpoint** EC2 应将亚马逊配置为使用为亚马逊 EC2 服务创建的 VPC 终端节点 | EC2.10 | | | | EC2.10 | | EC2.10 | | **ASR-TagGuardDutyResource** GuardDuty 应该给过滤器加标签 | | | | | | | GuardDuty2. | | **ASR-TagGuardDutyResource** GuardDuty 应给探测器加标签 | | | | | | | GuardDuty4. | | **ASR 连接到 SSMPermissions EC2** 亚马逊 EC2 实例应由 Systems Manager 管理 | SSM.1 | | SSM.3 | | | | SSM.1 | | **ASR-ConfigureLaunchConfigNoPublic IPDocument** 使用 Auto Scaling 群组启动配置启动的亚马逊 EC2 实例不应具有公有 IP 地址 | | | | | Autoscaling.5 | | Autoscaling.5 | | **启用 ASR APIGateway ExecutionLogs** | APIGateway1. | | | | | | APIGateway1. | | **ASR-EnableMacie** 应启用 Amazon Macie | Macie.1 | | | | Macie.1 | | Macie.1 | | **ASR-EnableAthenaWorkGroupLogging** Athena 工作组应启用日志记录 | Athena.4 | | | | | | Athena.4 | | **ASR 强制执行 ALB HTTPSFor** 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS | ELB.1 | | ELB.1 | | ELB.1 | | ELB.1 | | **ASR 限制 ECSRoot FilesystemAccess** ECS 容器应限制为仅对根文件系统具有只读访问权限。 | ECS.5 | | | | ECS.5 | | ECS.5 | | **ASR-EnableElastiCacheBackups** ElastiCache (Redis OSS) 集群应启用自动备份 | ElastiCache1. | | | | ElastiCache1. | | ElastiCache1. | | **ASR-EnableElastiCacheVersionUpgrades** ElastiCache 集群应启用自动次要版本升级 | ElastiCache2. | | | | ElastiCache2. | | ElastiCache2. | | **ASR-EnableElastiCacheReplicationGroupFailover** ElastiCache 复制组应启用自动故障切换 | ElastiCache3. | | | | ElastiCache3. | | ElastiCache3. | | **ASR-缩放 ConfigureDynamo DBAuto** DynamoDB 表应根据需求自动扩展容量 | DynamoDB.1 | | | | DynamoDB.1 | | DynamoDB.1 | | **ASR-资源 TagDynamo DBTable** 应标记 DynamoDB 表 | | | | | | | DynamoDB.5 | | **ASR-保护 EnableDynamo DBDeletion** DynamoDB 表应启用删除保护 | | | | | DynamodB.6 | | DynamodB.6 |