本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 手冊 此解決方案包含網際網路[安全中心 (CIS) AWS Foundations Benchmark v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)、[CIS AWS Foundations Benchmark v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)、[CIS AWS Foundations Benchmark v3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)、[AWS Foundational Security Best Practices (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)、[支付卡產業資料安全標準 (PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) 和[國家標準技術研究所 (NIST)](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) 中所定義安全標準的手冊修補。 如果您已啟用合併控制項調查結果,則所有標準都支援這些控制項。如果啟用此功能,則只需要部署 SC 手冊。如果沒有,則先前列出的標準支援手冊。 **重要** 僅部署已啟用標準的手冊,以避免達到服務配額。 如需特定修復的詳細資訊,請參閱 Systems Manager 自動化文件,其中包含您帳戶中解決方案所部署的名稱。前往 [AWS Systems Manager 主控台](https://console.aws.amazon.com/systems-manager/),然後在導覽窗格中選擇**文件**。 | Description | AWS FSBP | CIS v1.2.0 | PCI 3.2.1 版 | CIS 1.4.0 版 | NIST | CIS 3.0.0 版 | 安全控制 ID | | --- | --- | --- | --- | --- | --- | --- | --- | | **總計修補** | 63 | 34 | 29 | 33 | 65 | 19 | 90 | | **ASR-EnableAutoScalingGroupELBHealthCheck** 與負載平衡器相關聯的 Auto Scaling 群組應使用負載平衡器運作狀態檢查 | 自動擴展。1 | | 自動擴展。1 | | 自動擴展。1 | | 自動擴展。1 | | **ASR-ConfigureAutoScalingLaunchConfigToRequireIMDSv2** Auto Scaling 群組啟動組態應該將 EC2 執行個體設定為需要執行個體中繼資料服務第 2 版 (IMDSv2) | | | | | 自動擴展。3 | | 自動擴展。3 | | **ASR-CreateCloudTrailMultiRegionTrail** 應該啟用 CloudTrail,並使用至少一個多區域追蹤進行設定 | CloudTrail.1 | 2.1 | CloudTrail.2 | 3.1 | CloudTrail.1 | 3.1 | CloudTrail.1 | | **ASR-EnableEncryption** CloudTrail 應該啟用靜態加密 | CloudTrail.2 | 2.7 | CloudTrail.1 | 3.7 | CloudTrail.2 | 3.5 | CloudTrail.2 | | **ASR-EnableLogFileValidation** 確保 CloudTrail 日誌檔案驗證已啟用 | CloudTrail.4 | 2.2 | CloudTrail.3 | 3.2 | CloudTrail.4 | | CloudTrail.4 | | **ASR-EnableCloudTrailToCloudWatchLogging** 確保 CloudTrail 追蹤與 Amazon CloudWatch Logs 整合 | CloudTrail.5 | 2.4 | CloudTrail.4 | 3.4 | CloudTrail.5 | | CloudTrail.5 | | **ASR-ConfigureS3BucketLogging** 確保 CloudTrail S3 儲存貯體已啟用 S3 儲存貯體存取日誌記錄 | | 2.6 | | 3.6 | | 3.4 | CloudTrail.7 | | **ASR-ReplaceCodeBuildClearTextCredentials** CodeBuild 專案環境變數不應包含純文字登入資料 | CodeBuild.2 | | CodeBuild.2 | | CodeBuild.2 | | CodeBuild.2 | | **ASR-EnableAWSConfig** 確保 AWS Config 已啟用 | Config.1 | 2.5 | Config.1 | 3.5 | Config.1 | 3.3 | Config.1 | | **ASR-MakeEBSSnapshotsPrivate** Amazon EBS 快照不應可公開還原 | EC2.1 | | EC2.1 | | EC2.1 | | EC2.1 | | **ASR-RemoveVPCDefaultSecurityGroupRules** VPC 預設安全群組應禁止傳入和傳出流量 | EC2.2 | 4.3 | EC2.2 | 5.3 | EC2.2 | 5.4 | EC2.2 | | **ASR EnableVPCFlowLogs** 應在所有 VPC 中啟用 VPCs 流程記錄 | EC2.6 | 2.9 | EC2.6 | 3.9 | EC2.6 | 3.7 | EC2.6 | | **ASR-EnableEbsEncryptionByDefault** 應啟用 EBS 預設加密 | EC2.7 | 2.2.1 | | | EC2.7 | 2.2.1 | EC2.7 | | **ASR-RevokeUnrotatedKeys** 使用者存取金鑰應每 90 天或更短時間輪換一次 | IAM.3 | 1.4 | | 1.14 | IAM.3 | 1.14 | IAM.3 | | **ASR-SetIAMPasswordPolicy** IAM 預設密碼政策 | IAM.7 | 1.5-1.11 | IAM.8 | 1.8 | IAM.7 | 1.8 | IAM.7 | | **ASR-RevokeUnusedIAMUserCredentials** 如果未在 90 天內使用,應關閉使用者登入資料 | IAM.8 | 1.3 | IAM.7 | | IAM.8 | | IAM .8 | | **ASR-RevokeUnusedIAMUserCredentials** 如果未在 45 天內使用,則應關閉使用者登入資料 | | | | 1.12 | | 1.12 | IAM.22 | | **ASR-RemoveLambdaPublicAccess** Lambda 函數應該禁止公開存取 | Lambda.1 | | Lambda.1 | | Lambda.1 | | Lambda.1 | | **ASR-MakeRDSSnapshotPrivate** RDS 快照應禁止公開存取 | RDS.1 | | RDS.1 | | RDS.1 | | RDS.1 | | **ASR-DisablePublicAccessToRDSInstance** RDS 資料庫執行個體應禁止公開存取 | RDS.2 | | RDS.2 | | RDS.2 | 2.3.3 | RDS.2 | | **ASR-EncryptRDSSnapshot** RDS 叢集快照和資料庫快照應靜態加密 | RDS.4 | | | | RDS.4 | | RDS.4 | | **ASR-EnableMultiAZOnRDSInstance** RDS 資料庫執行個體應該設定多個可用區域 | RDS.5 | | | | RDS.5 | | RDS.5 | | **ASR-EnableEnhancedMonitoringOnRDSInstance** 應為 RDS 資料庫執行個體和叢集設定增強型監控 | RDS.6 | | | | RDS.6 | | RDS.6 | | **ASR-EnableRDSClusterDeletionProtection** RDS 叢集應該已啟用刪除保護 | RDS.7 | | | | RDS.7 | | RDS.7 | | **ASR-EnableRDSInstanceDeletionProtection** RDS 資料庫執行個體應該已啟用刪除保護 | RDS.8 | | | | RDS.8 | | RDS.8 | | **ASR-EnableMinorVersionUpgradeOnRDSDBInstance** 應啟用 RDS 自動次要版本升級 | RDS.13 | | | | RDS.13 | 2.3.2 | RDS.13 | | **ASR-EnableCopyTagsToSnapshotOnRDSCluster** RDS 資料庫叢集應設定為將標籤複製到快照 | RDS.16 | | | | RDS.16 | | RDS.16 | | **ASR-DisablePublicAccessToRedshiftCluster** Amazon Redshift 叢集應禁止公開存取 | Redshift.1 | | Redshift.1 | | Redshift.1 | | Redshift.1 | | **ASR-EnableAutomaticSnapshotsOnRedshiftCluster** Amazon Redshift 叢集應該啟用自動快照 | Redshift.3 | | | | Redshift.3 | | Redshift.3 | | **ASR-EnableRedshiftClusterAuditLogging** Amazon Redshift 叢集應該啟用稽核記錄 | Redshift.4 | | | | Redshift.4 | | Redshift.4 | | **ASR-EnableAutomaticVersionUpgradeOnRedshiftCluster** Amazon Redshift 應該已啟用主要版本的自動升級 | Redshift.6 | | | | Redshift.6 | | Redshift.6 | | **ASR-ConfigureS3PublicAccessBlock** 應啟用 S3 封鎖公開存取設定 | S3.1 | 2.3 | S3.6 | 2.1.5.1 | S3.1 | 2.1.4 | S3.1 | | **ASR-ConfigureS3BucketPublicAccessBlock** S3 儲存貯體應禁止公開讀取存取 | S3.2 | | S3.2 | 2.1.5.2 | S3.2 | | S3.2 | | **ASR-ConfigureS3BucketPublicAccessBlock** S3 儲存貯體應禁止公有寫入存取 | | S3.3 | | | | | S3.3 | | **ASR-EnableDefaultEncryptionS3** S3 儲存貯體應啟用伺服器端加密 | S3.4 | | S3.4 | 2.1.1 | S3.4 | | S3.4 | | **ASR-SetSSLBucketPolicy** S3 儲存貯體應要求請求使用 SSL | S3.5 | | S3.5 | 2.1.2 | S3.5 | 2.1.1 | S3.5 | | **ASR-S3BlockDenylist** 應限制授予儲存貯體政策中其他 AWS 帳戶的 Amazon S3 許可 | S3.6 | | | | S3.6 | | S3.6 | | S3 封鎖公開存取設定應在儲存貯體層級啟用 | S3.8 | | | | S3.8 | | S3.8 | | **ASR-ConfigureS3BucketPublicAccessBlock** 確保 的 S3 儲存貯體 CloudTrail 日誌不可公開存取 | | 2.3 | | | | | CloudTrail.6 | | **ASR-CreateAccessLoggingBucket** 確保已在 CloudTrail S3 儲存貯體上啟用 S3 儲存貯體存取記錄 | | 2.6 | | | | | CloudTrail.7 | | **ASR-EnableKeyRotation** 確保已啟用客戶建立CMKs 輪換 | | 2.8 | KMS.1 | 3.8 | KMS.4 | 3.6 | KMS.4 | | **ASR-CreateLogMetricFilterAndAlarm** 確保未經授權的 API 呼叫中存在日誌指標篩選條件和警示 | | 3.1 | | 4.1 | | | Cloudwatch.1 | | **ASR-CreateLogMetricFilterAndAlarm** 確保沒有 MFA 的 AWS 管理主控台登入存在日誌指標篩選條件和警示 | | 3.2 | | 4.2 | | | Cloudwatch.2 | | **ASR-CreateLogMetricFilterAndAlarm** 確保存在用於「根」使用者的日誌指標篩選條件和警示 | | 3.3 | CW.1 | 4.3 | | | Cloudwatch.3 | | **ASR-CreateLogMetricFilterAndAlarm** 確保 IAM 政策變更存在日誌指標篩選條件和警示 | | 3.4 | | 4.4 | | | Cloudwatch.4 | | **ASR-CreateLogMetricFilterAndAlarm** 確保 CloudTrail 組態變更存在日誌指標篩選條件和警示 | | 3.5 | | 4.5 | | | Cloudwatch.5 | | **ASR-CreateLogMetricFilterAndAlarm** 確保 AWS 管理主控台身分驗證失敗存在日誌指標篩選條件和警示 | | 3.6 | | 4.6 | | | Cloudwatch.6 | | **ASR-CreateLogMetricFilterAndAlarm** 確保停用或排定刪除客戶建立的 CMK 存在日誌指標篩選條件和警示 | | 3.7 | | 4.7 | | | Cloudwatch.7 | | **ASR-CreateLogMetricFilterAndAlarm** 確保 S3 儲存貯體政策變更存在日誌指標篩選條件和警示 | | 3.8 | | 4.8 | | | Cloudwatch.8 | | **ASR-CreateLogMetricFilterAndAlarm** 確保 AWS Config 組態變更存在日誌指標篩選條件和警示 | | 3.9 | | 4.9 | | | Cloudwatch.9 | | **ASR-CreateLogMetricFilterAndAlarm** 確保安全群組變更存在日誌指標篩選條件和警示 | | 3.10 | | 4.10 | | | Cloudwatch.10 | | **ASR-CreateLogMetricFilterAndAlarm** 確保網路存取控制清單 (NACL) 變更存在日誌指標篩選條件和警示 | | 3.11 | | 4.11 | | | Cloudwatch.11 | | **ASR-CreateLogMetricFilterAndAlarm** 確保網路閘道變更存在日誌指標篩選條件和警示 | | 3.12 | | 4.12 | | | Cloudwatch.12 | | **ASR-CreateLogMetricFilterAndAlarm** 確保路由表變更存在日誌指標篩選條件和警示 | | 3.13 | | 4.13 | | | Cloudwatch.13 | | **ASR-CreateLogMetricFilterAndAlarm** 確保 VPC 變更存在日誌指標篩選條件和警示 | | 3.14 | | 4.14 | | | Cloudwatch.14 | | **AWS-DisablePublicAccessForSecurityGroup** 確保沒有任何安全群組允許從 0.0.0.0/0 傳入連接埠 22 | | 4.1 | EC2.5 | | EC2.13 | | EC2.13 | | **AWS-DisablePublicAccessForSecurityGroup** 確保沒有任何安全群組允許從 0.0.0.0/0 傳入連接埠 3389 | | 4.2 | | | EC2.14 | | EC2.14 | | **ASR-ConfigureSNSTopicForStack** | CloudFormation.1 | | | | CloudFormation.1 | | CloudFormation.1 | | **ASR-CreateIAMSupportRole** | | 1.20 | | 1.17 | | 1.17 | IAM.18 | | **ASR-DisablePublicIPAutoAssign** Amazon EC2 子網路不應自動指派公有 IP 地址 | EC2.15 | | | | EC2.15 | | EC2.15 | | **ASR-EnableCloudTrailLogFileValidation** | CloudTrail.4 | 2.2 | CloudTrail.3 | 3.2 | | | CloudTrail.4 | | **ASR-EnableEncryptionForSNSTopic** | SNS.1 | | | | SNS.1 | | SNS.1 | | **ASR-EnableDeliveryStatusLoggingForSNSTopic** 應針對傳送至主題的通知訊息啟用傳遞狀態的記錄 | SNS.2 | | | | SNS.2 | | SNS.2 | | **ASR-EnableEncryptionForSQSQueue** | SQS.1 | | | | SQS.1 | | SQS.1 | | **ASR-MakeRDSSnapshotPrivate** RDS 快照應為私有 | RDS.1 | | RDS.1 | | | | RDS.1 | | **ASR-BlockSSMDocumentPublicAccess** SSM 文件不應公開 | SSM.4 | | | | SSM.4 | | SSM.4 | | **ASR-EnableCloudFrontDefaultRootObject** CloudFront 分佈應該設定預設根物件 | CloudFront.1 | | | | CloudFront.1 | | CloudFront.1 | | **ASR-SetCloudFrontOriginDomain** CloudFront 分佈不應指向不存在的 S3 原始伺服器 | CloudFront.12 | | | | CloudFront.12 | | CloudFront.12 | | **ASR-RemoveCodeBuildPrivilegedMode** CodeBuild 專案環境應具有記錄 AWS 組態 | CodeBuild.5 | | | | CodeBuild.5 | | CodeBuild.5 | | **ASR-TerminateEC2Instance** 已停止的 EC2 執行個體應在指定的期間之後移除 | EC2.4 | | | | EC2.4 | | EC2.4 | | **ASR-EnableIMDSV2OnInstance** EC2 執行個體應使用執行個體中繼資料服務第 2 版 (IMDSv2) | EC2.8 | | | | EC2.8 | 5.6 | EC2.8 | | **ASR-RevokeUnauthorizedInboudRules** 安全群組應僅允許授權連接埠不受限制的傳入流量 | EC2.18 | | | | EC2.18 | | EC2.18 | | 在此插入標題 安全群組不應允許無限制存取高風險的連接埠 | EC2.19 | | | | EC2.19 | | EC2.19 | | **ASR-DisableTGWAutoAcceptSharedAttachments** Amazon EC2 Transit Gateways 不應自動接受 VPC 連接請求 | EC2.23 | | | | EC2.23 | | EC2.23 | | **ASR-EnablePrivateRepositoryScanning** ECR 私有儲存庫應設定映像掃描 | ECR.1 | | | | ECR.1 | | ECR.1 | | **ASR-EnableGuardDuty** GuardDuty 應啟用 | GuardDuty.1 | | GuardDuty.1 | | GuardDuty.1 | | GuardDuty.1 | | **ASR-ConfigureS3BucketLogging** 應啟用 S3 儲存貯體伺服器存取記錄 | S3.9 | | | | S3.9 | | S3.9 | | **ASR-EnableBucketEventNotifications** S3 儲存貯體應該啟用事件通知 | S3.11 | | | | S3.11 | | S3.11 | | **ASR-SetS3LifecyclePolicy** S3 儲存貯體應已設定生命週期政策 | S3.13 | | | | S3.13 | | S3.13 | | **ASR-EnableAutoSecretRotation** Secrets Manager 秘密應該啟用自動輪換 | SecretsManager.1 | | | | SecretsManager.1 | | SecretsManager.1 | | **ASR-RemoveUnusedSecret** 移除未使用的 Secrets Manager 秘密 | SecretsManager.3 | | | | SecretsManager.3 | | SecretsManager.3 | | **ASR-UpdateSecretRotationPeriod** Secrets Manager 秘密應在指定的天數內輪換 | SecretsManager.4 | | | | SecretsManager.4 | | SecretsManager.4 | | **ASR-EnableAPIGatewayCacheDataEncryption** API Gateway REST API 快取資料應靜態加密 | | | | | APIGateway.5 | | APIGateway.5 | | **ASR-SetLogGroupRetentionDays** CloudWatch 日誌群組應保留一段指定的時間 | | | | | CloudWatch.16 | | CloudWatch.16 | | **ASR-AttachServiceVPCEndpoint** Amazon EC2 應設定為使用為 Amazon EC2 服務建立的 VPC 端點 | EC2.10 | | | | EC2.10 | | EC2.10 | | **ASR-TagGuardDutyResource** GuardDuty 篩選條件應加上標籤 | | | | | | | GuardDuty.2 | | **ASR-TagGuardDutyResource** GuardDuty 偵測器應加上標籤 | | | | | | | GuardDuty.4 | | **ASR-AttachSSMPermissionsToEC2** Amazon EC2 執行個體應該由 Systems Manager 管理 | SSM.1 | | SSM.3 | | | | SSM.1 | | **ASR-ConfigureLaunchConfigNoPublicIPDocument** 使用 Auto Scaling 群組啟動組態啟動的 Amazon EC2 執行個體不應具有公有 IP 地址 | | | | | Autoscaling.5 | | Autoscaling.5 | | **ASR-EnableAPIGatewayExecutionLogs** | APIGateway.1 | | | | | | APIGateway.1 | | **ASR-EnableMacie** 應啟用 Amazon Macie | Macie.1 | | | | Macie.1 | | Macie.1 | | **ASR-EnableAthenaWorkGroupLogging** Athena 工作群組應該已啟用記錄 | Athena.4 | | | | | | Athena.4 | | **ASR-EnforceHTTPSForALB** Application Load Balancer 應設定為將所有 HTTP 請求重新導向至 HTTPS | ELB.1 | | ELB.1 | | ELB.1 | | ELB.1 | | **ASR-LimitECSRootFilesystemAccess** ECS 容器應僅限於對根檔案系統的唯讀存取 | ECS.5 | | | | ECS.5 | | ECS.5 | | **ASR-EnableElastiCacheBackups** ElastiCache (Redis OSS) 叢集應該啟用自動備份 | ElastiCache.1 | | | | ElastiCache.1 | | ElastiCache.1 | | **ASR-EnableElastiCacheVersionUpgrades** ElastiCache 叢集應該啟用自動次要版本升級 | ElastiCache.2 | | | | ElastiCache.2 | | ElastiCache.2 | | **ASR-EnableElastiCacheReplicationGroupFailover** ElastiCache 複寫群組應該啟用自動容錯移轉 | ElastiCache.3 | | | | ElastiCache.3 | | ElastiCache.3 | | **ASR-ConfigureDynamoDBAutoScaling** DynamoDB 資料表應隨著需求自動擴展容量 | DynamoDB.1 | | | | DynamoDB.1 | | DynamoDB.1 | | **ASR-TagDynamoDBTableResource** DynamoDB 資料表應加上標籤 | | | | | | | DynamoDB.5 | | **ASR-EnableDynamoDBDeletionProtection** DynamoDB 資料表應該已啟用刪除保護 | | | | | DynamoDB.6 | | DynamoDB.6 |