こんばんは、小寺です。
AWS Control Tower が22種類の新しいプロアクティブコントロールと10種類のAWS Security Hub 検出コントロールをサポートしました。
https://aws.amazon.com/about-aws/whats-new/2023/10/aws-control-tower-proactive-controls-aws-security-hub-detective-controls/

AWS Control Towerのプロアクティブコントロールとは

AWS Control Towerでプロアクティブなガードレールについて簡単に概要をお伝えします。
「プロアクティブなガードレール」とはどういうものでしょうか。Control Towerのガードレールは、予防的ガードレールおよび発見的ガードレールの2種類でしたが、昨年のアップデートで「プロアクティブ」なガードレールなるものが発表されました。

・予防的ガードレール
予防的コントロールはポリシー違反につながるアクションを禁止するため、アカウントはコンプライアンスを維持できます。予防コントロールのステータスは、適用または無効です。

・発見的ガードレール
検出コントロールは、ポリシー違反など、アカウント内のリソースの非準拠を検出し、ダッシュボードを通じてアラートを提供します。実装としてはAWS Configと合わせて非準拠を検出します。

・プロアクティブなガードレール
AWS CloudFormation Hooks を活用し、AWS CloudFormation によってプロビジョニングされる前にコンプライアンスに違反しているリソースを未然に特定してブロックします。AWS Control Tower のプロアクティブコントロールにより、AWS Control Tower の既存の予防コントロール機能と検出コントロール機能が強化されます。

AWS Control Tower コンソールで、次のような、割り当てられたカテゴリに従ってグループ内のコントロールを表示できます。
Control objectives: 環境でコントロールを実装する具体的な目的。
Frameworks: 業界標準のコンプライアンスフレームワーク。
Services: コントロールによって管理される可能性のある AWS サービス。

https://pages.awscloud.com/rs/112-TZM-766/images/20230224_27th_ISV_DiveDeepSeminar_ControlTower-Solutions.pdfより引用

アップデート内容

AWS Control Tower によって管理され、転送中のデータの暗号化、保存中のデータの暗号化、強力な認証の使用などの制御を達成することができます。
プロアクティブな制御は、Amazon Athena、Amazon EMR、AWS Glue、Amazon DynamoDB Accelerator (DAX)、Amazon Neptune などのサービスにプロビジョニングされる前に、非準拠のリソースをブロックします。
本アップデートでAmazon Athena、Amazon EMR、Amazon Neptune などのサービスのコントロールが追加され、AWS Control Tower コントロール ライブラリのコントロールの範囲が拡大しました。

新しいコントロール

・接頭辞「AWS-GR.」「ガードレール」として長年提供されていたもの
・接頭辞「CT.」追加された新しいコントロール(含むプロアクティブコントロール)
・接頭辞「SH.」Security Hub「基礎セキュリティのベストプラクティス」のコントロール

今回の新しいプロアクティブコントロールです。
[CT.ATHENA.PR.1] Require an Amazon Athena workgroup to encrypt Athena query results at rest
[CT.ATHENA.PR.2] Require an Amazon Athena workgroup to encrypt Athena query results at rest with an AWS Key Management Service (KMS) key
[CT.CLOUDTRAIL.PR.4] Require an AWS CloudTrail Lake event data store to enable encryption at rest with an AWS KMS key
[CT.DAX.PR.2] Require an Amazon DAX cluster to deploy nodes to at least three Availability Zones
[CT.EC2.PR.14] Require an Amazon EBS volume configured through an Amazon EC2 launch template to encrypt data at rest
[CT.EKS.PR.2] Require an Amazon EKS cluster to be configured with secret encryption using AWS Key Management Service (KMS) keys
[CT.ELASTICLOADBALANCING.PR.14] Require a Network Load Balancer to have cross-zone load balancing activated
[CT.ELASTICLOADBALANCING.PR.15] Require that an Elastic Load Balancing v2 target group does not explicitly disable cross-zone load balancing
[CT.EMR.PR.1] Require that an Amazon EMR (EMR) security configuration is configured to encrypt data at rest in Amazon S3
[CT.EMR.PR.2] Require that an Amazon EMR (EMR) security configuration is configured to encrypt data at rest in Amazon S3 with an AWS KMS key
[CT.EMR.PR.3] Require that an Amazon EMR (EMR) security configuration is configured with EBS volume local disk encryption using an AWS KMS key
[CT.EMR.PR.4] Require that an Amazon EMR (EMR) security configuration is configured to encrypt data in transit
[CT.GLUE.PR.1] Require an AWS Glue job to have an associated security configuration
[CT.GLUE.PR.2] Require an AWS Glue security configuration to encrypt data in Amazon S3 targets using AWS KMS keys
[CT.KMS.PR.2] Require that an AWS KMS asymmetric key with RSA key material used for encryption has a key length greater than 2048 bits
[CT.KMS.PR.3] Require an AWS KMS key policy to have a statement that limits creation of AWS KMS grants to AWS services
[CT.LAMBDA.PR.4] Require an AWS Lambda layer permission to grant access to an AWS organization or specific AWS account
[CT.LAMBDA.PR.5] Require an AWS Lambda function URL to use AWS IAM-based authentication
[CT.LAMBDA.PR.6] Require an AWS Lambda function URL CORS policy to restrict access to specific origins
[CT.NEPTUNE.PR.4] Require an Amazon Neptune DB cluster to enable Amazon CloudWatch log export for audit logs
[CT.NEPTUNE.PR.5] Require an Amazon Neptune DB cluster to set a backup retention period greater than or equal to seven days
[CT.REDSHIFT.PR.9] Require that an Amazon Redshift cluster parameter group is configured to use Secure Sockets Layer (SSL) for encryption of data in transit

以下が今回アップデートの新しいセキュリティのコントロールです。
[SH.Athena.1] Athena workgroups should be encrypted at rest
[SH.Neptune.1] Neptune DB clusters should be encrypted at rest
[SH.Neptune.2] Neptune DB clusters should publish audit logs to CloudWatch Logs
[SH.Neptune.3] Neptune DB cluster snapshots should not be public
[SH.Neptune.4] Neptune DB clusters should have deletion protection enabled
[SH.Neptune.5] Neptune DB clusters should have automated backups enabled
[SH.Neptune.6] Neptune DB cluster snapshots should be encrypted at rest
[SH.Neptune.7] Neptune DB clusters should have IAM database authentication enabled
[SH.Neptune.8] Neptune DB clusters should be configured to copy tags to snapshots
[SH.RDS.27] RDS DB clusters should be encrypted at rest