最后更新于2023年8月10日星期四22:27:54 GMT
互联网安全中心(CIS)最近发布了第二版AWS基准. CIS AWS基准2.0.0 带来了两个新的建议,并从以前的版本中删除了一个. 该更新还包括对某些推荐描述的一些小格式更改.
在这篇文章中,我们将讨论一下这些变化背后的“原因”. 我们还将看看如何使用InsightCloudSec的新, 开箱即用的遵从性包来实现和执行基准的建议.
请求AWS云风险评估 ▶︎
什么是新的,什么是改变的,为什么
版本2.0.新版的CIS AWS基准包括两项新建议:
- 确保限制对AWSCloudShellFullAccess的访问
这是CIS的一个重要补充, 本建议侧重于限制对AWSCloudShellFullAccess策略的访问, 这为被赋予服务完全权限的恶意云管理员泄露数据提供了一个潜在的途径. AWS的文档 介绍如何创建更严格的IAM策略,拒绝文件传输权限. - 请确保EC2元数据服务只支持IMDSv2
用户应该使用IMDSv2来避免让EC2实例容易受到服务器端请求伪造(SSRF)攻击, IMDSv1严重故障.
更新还包括删除以前的建议:
- 确保所有S3桶都使用静态加密
这项建议已被删除,因为 从2023年1月起,AWS默认加密所有新对象. 需要注意的是,这只适用于新创建的S3桶. So, 如果你有一些桶已经被踢了一段时间, 确保他们使用的是静态加密,并且它不会在某个时候被无意地关闭.
随着这些变化, CIS还对一些基准标题和描述中的措辞做了一些小改动.
ICS如何帮助我在我的环境中实现这一点?
作为InsightCloudSec内部的合规性包,开箱即用, Rapid7使团队可以轻松地扫描他们的AWS环境,以符合CIS AWS基准中概述的建议和控制. 如果您今天还没有使用InsightCloudSec,请务必查看 文档页面在这里,它将指导您开始使用该平台.
一旦你开始运行, 将您的合规性评估范围限定到一个特定的包就像4次点击一样简单. 首先,从合规 Summary页面中选择您想要的基准. 在本例中,当然是CIS AWS基准2.0.0.
从那里,我们可以选择我们想要扫描的特定云或云.
因为我们已经有了我们的徽章和标签策略(对.......RIGHT?!)我们可以进一步研究. 对于本例,让我们关注生产环境.
您将获得一些趋势见解,以显示您的组织作为一个整体如何, 以及具体的团队和客户是如何做的,以及随着时间的推移你是否看到了改善.
Finally, 如果您的环境中运行了许多云帐户和/或集群, 你甚至可以把范围缩小到那个层次. 在本例中,我们将选择all.
一旦你设置好了过滤器, 您可以申请并实时了解您的组织遵守CIS AWS基准的情况. 和其他族群一样, 您可以看到您当前的总体遵从性得分,以及与每个不遵从实例相关联的风险级别的细分.
如你所见, 使用InsightCloudSec等云安全工具评估云环境是否符合CIS AWS基准相当简单. 如果你刚刚开始你的云安全之旅,或者不确定从哪里开始, 利用开箱即用的遵从性包是为构建奠定基础的好方法.
事实上,Rapid7最近与AWS合作,以帮助处于这种情况下的组织. 结合市场领先的技术和实践经验, 我们的AWS云风险评估可让您及时了解整个AWS云足迹及其安全状况.
评估期间, 我们的专家将检查您的云环境,找出100多种不同的风险和错误配置, 包括公开的资源, 缺乏加密, 以及未使用多因素身份验证的用户帐户. 在这次评估的最后, 您的团队将收到一份与AWS基础安全最佳实践相一致的高管级报告, 参与一个读出呼叫, 并与Rapid7的专家和我们的服务合作伙伴一起讨论执行云风险缓解计划的下一步步骤.
如果你感兴趣, 请务必通过此快速请求表单了解AWS云风险评估!
