Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas operativas recomendadas para AWS Foundations Benchmark v1.4 Level 2 del CIS
Los paquetes de conformidad proporcionan un marco de cumplimiento de uso general diseñado para permitirle crear comprobaciones de control de seguridad, operativas o de optimización de costos mediante reglas de AWS Config administradas o personalizadas y acciones correctivas de AWS Config. Los paquetes de conformidad, como plantillas de ejemplo, no están diseñados para garantizar plenamente el cumplimiento de una norma de gobernanza o de conformidad específicas. Usted debe evaluar si su uso de los servicios cumple con los requisitos legales y normativos aplicables.
A continuación, se proporciona un ejemplo de asignación entre Amazon Web Services Foundation v1.4 Level 2 del Center for Internet Security (CIS) y las reglas de AWS Config administradas o las verificaciones de procesos de AWS Config. Cada regla de Config se aplica a un recurso de AWS específico y se refiere a uno o más controles de Amazon Web Services Foundation v1.4 Level 2 del CIS. Un control de Amazon Web Services Foundation v1.4 Level 2 del CIS puede estar relacionado con varias reglas de Config. Consulte la siguiente tabla para obtener más detalles y orientación relacionados con estas asignaciones.
Para obtener más información sobre las verificaciones de procesos, consulte process-checks.
Región de AWS: todos los Regiones de AWS en los que se admiten paquetes de conformidad (compatibilidad regional) excepto AWS GovCloud (Este de EE. UU.), AWS GovCloud (Oeste de EE. UU.) y Medio Oriente (Baréin)
| ID de control | Descripción del control | Regla de AWS Config | Directrices |
|---|---|---|---|
| 1.1 | Mantener los datos de contacto actuales | account-contact-details-configured (verificación del proceso) | Asegúrese de que el correo electrónico y el número de teléfono de contacto de las cuentas de AWS estén actualizados y correspondan a más de una persona de su organización. En la sección Mi cuenta de la consola, asegúrese de que se especifique la información correcta en la sección Información de contacto. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.2 | Garantizar que se registre la información de contacto de seguridad | account-security-contact-configured (verificación del proceso) | Compruebe que el correo electrónico y el número de teléfono de contacto del equipo de seguridad de la organización estén actualizados. En la sección Mi cuenta de la Consola de administración de AWS, asegúrese de que se especifique la información correcta en la sección Seguridad. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.4 | Garantizar que no exista ninguna clave de acceso de usuario raíz | El acceso a los sistemas y activos se puede controlar comprobando que el usuario raíz no tenga claves de acceso adjuntas a su rol de AWS Identity and Access Management (IAM). Asegúrese de eliminar las claves de acceso raíz. En su lugar, cree y utilice cuentas de Cuentas de AWS basadas en roles para ayudar a incorporar el principio de funcionalidad mínima. | |
| 1.5 | Garantizar que la MFA esté habilitada para el usuario raíz | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que la MFA esté habilitada para el usuario raíz. El usuario raíz es el usuario de Cuenta de AWS con más privilegios. La MFA añade una capa adicional de protección además de un nombre de usuario y una contraseña. Al requerir la MFA para el usuario raíz, puede reducir los incidentes de las Cuentas de AWS comprometidas. | |
| 1.6 | Garantizar que la MFA basada en hardware esté activada para la cuenta de usuario raíz | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que la MFA del hardware esté habilitada para el usuario raíz. El usuario raíz es el usuario de Cuenta de AWS con más privilegios. La MFA agrega una capa adicional de protección a las credenciales de inicio de sesión. Al requerir la MFA para el usuario raíz, puede reducir los incidentes de las Cuentas de AWS comprometidas. | |
| 1.7 | Eliminar el uso del usuario raíz para las tareas administrativas y diarias | root-account-regular-use (verificación del proceso) | Compruebe que se evite usar la cuenta raíz para las tareas diarias. En IAM, ejecute un informe de credenciales para examinar cuándo se utilizó el usuario raíz por última vez. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.8 | Garantizar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más | Las identidades y las credenciales se emiten, administran y verifican en función de la política de contraseñas de IAM de la organización. Cumplen o superan los requisitos definidos en NIST SP 800-63 y en el estándar Prácticas recomendadas de seguridad básica de AWS para la seguridad de las contraseñas. Esta regla le permite definir de forma opcional RequireUppercaseCharacters (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireLowercaseCharacters (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireSymbols (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireNumbers (valor de Prácticas recomendadas de seguridad básica de AWS: true), MinimumPasswordLength (valor de Prácticas recomendadas de seguridad básica de AWS: 14), PasswordReusePrevention (valor de Prácticas recomendadas de seguridad básica de AWS: 24) y MaxPasswordAge (valor de Prácticas recomendadas de seguridad básica de AWS: 90) para su política de contraseñas de IAM. Los valores reales deben reflejar las políticas de su organización. | |
| 1.9 | Garantizar que la política de contraseñas de IAM impida la reutilización de contraseñas | Las identidades y las credenciales se emiten, administran y verifican en función de la política de contraseñas de IAM de la organización. Cumplen o superan los requisitos definidos en NIST SP 800-63 y en el estándar Prácticas recomendadas de seguridad básica de AWS para la seguridad de las contraseñas. Esta regla le permite definir de forma opcional RequireUppercaseCharacters (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireLowercaseCharacters (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireSymbols (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireNumbers (valor de Prácticas recomendadas de seguridad básica de AWS: true), MinimumPasswordLength (valor de Prácticas recomendadas de seguridad básica de AWS: 14), PasswordReusePrevention (valor de Prácticas recomendadas de seguridad básica de AWS: 24) y MaxPasswordAge (valor de Prácticas recomendadas de seguridad básica de AWS: 90) para su política de contraseñas de IAM. Los valores reales deben reflejar las políticas de su organización. | |
| 1.10 | Garantizar que la autenticación multifactor (MFA) esté habilitada para todos los usuarios que tengan una contraseña para la consola | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que la MFA esté habilitada para todos los usuarios de AWS Identity and Access Management (IAM) que tengan una contraseña de consola. La MFA agrega una capa adicional de protección a las credenciales de inicio de sesión. Al requerir la MFA para los usuarios, puede reducir los incidentes de cuentas comprometidas y evitar que usuarios no autorizados accedan a los datos confidenciales. | |
| 1.11 | No configurar claves de acceso durante la configuración de usuario inicial para todos los usuarios que tienen una contraseña para la consola | iam-user-console-and-api-access-at-creation (verificación del proceso) | Asegúrese de que no se hayan configurado claves de acceso durante la configuración de usuario inicial para todos los usuarios que tienen una contraseña para la consola. Para todos los usuarios con acceso a la consola, compare la hora de creación del usuario con la fecha de creación de la clave de acceso. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.12 | Garantizar que se deshabiliten las credenciales no usadas durante 45 días o más | AWS Identity and Access Management (IAM) puede ayudar con los permisos y autorizaciones de acceso al comprobar las contraseñas y claves de acceso de IAM que no se utilicen durante un período de tiempo específico. Si se identifican credenciales no utilizadas, debe deshabilitarlas o eliminarlas, ya que pueden infringir el principio de privilegio mínimo. Esta regla requiere que establezca un valor en maxCredentialUsageAge (valor estándar del CIS: 45). El valor real debe reflejar las políticas de su organización. | |
| 1.13 | Garantizar que solo haya una clave de acceso activa disponible para cada usuario | iam-user-single-access-key (verificación del proceso) | Garantice que solo haya una clave de acceso activa disponible para cada usuario. Para todos los usuarios, debe comprobar que solo se utilice una clave activa en la pestaña Credenciales de seguridad para cada usuario en IAM. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.14 | Garantizar que las claves de acceso se roten cada 90 días o menos | Se auditan las credenciales de los dispositivos, usuarios y procesos autorizados para garantizar que las claves de acceso de IAM se roten según la política de la organización. Cambiar las claves de acceso de forma habitual es una práctica recomendada de seguridad. Al hacerlo, se reduce el período de tiempo en el que una clave de acceso está activa y el impacto sobre la empresa si las claves se ven comprometidas. Esta regla requiere un valor de rotación de clave de acceso (valor predeterminado de Config: 90). El valor real debe reflejar las políticas de su organización. | |
| 1.15 | Garantizar que los usuarios reciban permisos solo a través de grupos | Esta regla garantiza que las políticas de AWS Identity and Access Management (IAM) se adjunten solo a grupos o roles para controlar el acceso a los sistemas y activos. La asignación de privilegios en el nivel de grupo o rol ayuda a reducir las oportunidades de que una identidad reciba o conserve demasiados privilegios. | |
| 1.15 | Garantizar que los usuarios reciban permisos solo a través de grupos | Asegúrese de que un usuario de AWS Identity and Access Management (IAM), un rol de IAM o un grupo de IAM no tengan una política insertada para controlar el acceso a los sistemas y activos. AWS recomienda que se utilicen políticas administradas en lugar de políticas insertadas. Las políticas administradas permiten la reutilización, el control de versiones, la reversión y la delegación de la administración de permisos. | |
| 1.15 | Garantizar que los usuarios reciban permisos solo a través de grupos | AWS Identity and Access Management (IAM) puede ayudarle a restringir los permisos y autorizaciones de acceso al garantizar que los usuarios sean miembros de al menos un grupo. Permitir que los usuarios tengan más privilegios de los necesarios para completar una tarea puede infringir el principio de privilegio mínimo y la separación de funciones. | |
| 1.16 | Garantizar que no se adjunten políticas de IAM que permitan privilegios administrativos completos "*:*" | AWS Identity and Access Management (IAM) puede ayudarle a incorporar los principios de privilegio mínimo y la separación de funciones con permisos y autorizaciones de acceso, al restringir las políticas que incluyan Effect: Allow con Action: * sobre Resource: *. Permitir que los usuarios tengan más privilegios de los necesarios para completar una tarea puede infringir el principio de privilegio mínimo y la separación de funciones. | |
| 1,17 | Garantizar que se cree un rol de soporte para administrar incidentes con AWS Support | AWS Identity and Access Management (IAM) puede ayudarle a administrar los permisos y autorizaciones de acceso al garantizar que las políticas de IAM se asignen a los usuarios, roles o grupos adecuados. La restricción de estas políticas también incorpora los principios de privilegio mínimo y la separación de funciones. Esta regla requiere que establezca policyARN en arn:aws:iam::aws:policy/AWSSupportAccess para la administración de incidentes con AWS Support. | |
| 1.18 | Garantizar que se utilicen los roles de instancia de IAM para acceder a los recursos de AWS desde las instancias | Los perfiles de instancias de EC2 pasan un rol de IAM a una instancia de EC2. Adjuntar un perfil de instancia a las instancias puede ayudar a gestionar los privilegios mínimos y los permisos. | |
| 1.19 | Garantizar que se eliminen todos los certificados SSL/TLS caducados almacenados en AWS IAM | iam-expired-certificates (verificación del proceso) | Garantice que se eliminen todos los certificados SSL/TLS caducados almacenados en IAM. Desde la línea de comandos con la CLI de AWS instalada, ejecute el comando AWS iam list-server-certificates y determine si hay algún certificado de servidor caducado. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.20 | Garantizar que AWS IAM Access Analyzer esté activado | iam-access-analyzer-enabled (verificación del proceso) | Garantizar que IAM Access Analyzer esté activado. En la sección de IAM de la consola, seleccione Access Analyzer y asegúrese de que el STATUS esté establecido en Activo. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.21 | Garantizar que los usuarios se administren de forma centralizada a través de la federación de identidades o de AWS Organizations para entornos de múltiples cuentas | account-part-of-organizations | La administración centralizada de Cuentas de AWS dentro de AWS Organizations contribuye a garantizar la conformidad de las cuentas. La falta de gobernanza centralizada de las cuentas puede provocar incoherencias en las configuraciones de cuentas, lo que puede exponer los recursos y los datos confidenciales. |
| 2.1.1 | Garantizar que todos los buckets de S3 utilicen el cifrado en reposo | Para ayudar a proteger los datos en reposo, asegúrese de habilitar el cifrado para los buckets de Amazon Simple Storage Service (Amazon S3). Puesto que puede haber datos confidenciales en reposo en los buckets de S3, habilite el cifrado para protegerlos. | |
| 2.1.2 | Garantizar que la política de buckets de S3 esté configurada para denegar las solicitudes HTTP | Para ayudar a proteger los datos en tránsito, asegúrese de que los buckets de Amazon Simple Storage Service (Amazon S3) requieran solicitudes para usar la capa de sockets seguros (SSL). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 2.1.3 | Garantizar que la eliminación de la MFA esté habilitada en los buckets de S3 | El control de versiones de buckets de Amazon Simple Storage Service (Amazon S3) permite usar múltiples variantes de un objeto en el mismo bucket de Amazon S3. Para añadir la eliminación de la autenticación multifactor (MFA) a un bucket de S3 se requiere un factor de autenticación adicional para cambiar el estado de la versión del bucket o para eliminar la versión del objeto. La eliminación de la MFA puede añadir una capa de seguridad adicional en caso de que las credenciales de seguridad se vean comprometidas o se conceda un acceso no autorizado. | |
| 2.1.5 | Garantizar que los buckets de S3 estén configurados con Bloquear acceso público (configuración del bucket) | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que no se pueda acceder públicamente a buckets de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público. Esta regla le permite configurar de forma opcional los parámetros ignorePublicAcls (valor predeterminado de Config: True), blockPublicPolicy (valor predeterminado de Config: True), blockPublicAcls (valor predeterminado de Config: True) y restrictPublicBuckets (valor predeterminado de Config: True). Los valores reales deben reflejar las políticas de su organización. | |
| 2.1.5 | Garantizar que los buckets de S3 estén configurados con Bloquear acceso público (configuración del bucket) | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que no se pueda acceder públicamente a buckets de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público en el nivel del bucket. | |
| 2.2.1 | Garantizar que el cifrado de volumen de EBS esté activado | Puesto que puede haber datos confidenciales, para proteger los datos en reposo, asegúrese de habilitar el cifrado de los volúmenes de Amazon Elastic Block Store (Amazon EBS). | |
| 2.2.1 | Garantizar que el cifrado de volumen de EBS esté activado | Para proteger los datos en reposo, asegúrese de habilitar el cifrado de los volúmenes de Amazon Elastic Block Store (Amazon EBS). Puesto que puede haber datos confidenciales en reposo en estos volúmenes, habilite el cifrado en reposo para ayudar a protegerlos. | |
| 2.3.1 | Garantizar que el cifrado esté habilitado para las instancias de RDS | Asegúrese de que el cifrado esté habilitado para las instantáneas de Amazon Relational Database Service (Amazon RDS). Puesto que puede haber datos confidenciales en reposo, habilite el cifrado en reposo para ayudar a protegerlos. | |
| 2.3.1 | Garantizar que el cifrado esté habilitado para las instancias de RDS | Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté habilitado para sus instancias de Amazon Relational Database Service (Amazon RDS). Puesto que puede haber datos confidenciales en reposo en las instancias de Amazon RDS, habilite el cifrado en reposo para ayudar a protegerlos. | |
| 3.1 | Garantizar que CloudTrail esté habilitado en todas las regiones | AWS CloudTrail registra las acciones de la Consola de administración de AWS y las llamadas a la API. También pueden identificar qué usuarios y cuentas han llamado a AWS, la dirección IP desde donde han realizado las llamadas y en qué momento se han realizado. CloudTrail entregará los archivos de registro de todas las regiones de AWS a su bucket de S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED está activado. Además, cuando AWS lance una nueva región, CloudTrail creará la misma ruta en la nueva región. En consecuencia, recibirá archivos de registro con la actividad de la API en la nueva región sin necesidad de realizar ninguna acción. | |
| 3.2 | Garantizar que la validación de archivos de registro de CloudTrail esté habilitada | Utilice la validación de los archivos de registro de AWS CloudTrail para comprobar la integridad de los registros de CloudTrail. La validación de archivos de registro ayuda a determinar si un archivo de registro se ha modificado, eliminado o no se ha modificado después de que CloudTrail lo haya entregado. Esta característica se compila mediante los algoritmos estándar de la industria: SHA-256 para el hash y SHA-256 con RSA para la firma digital. De ese modo, resulta imposible desde el punto de vista informático modificar, eliminar o falsificar archivos de registros de CloudTrail sin que se sepa. | |
| 3.3 | Garantizar que el bucket de S3 utilizado para almacenar registros de CloudTrail no sea de acceso público | Gestione el acceso a los recursos en la nube de AWS de manera que solo permita a los usuarios, procesos y dispositivos autorizados acceder a buckets de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.3 | Garantizar que el bucket de S3 utilizado para almacenar registros de CloudTrail no sea de acceso público | Gestione el acceso a los recursos en la nube de AWS de manera que solo permita a los usuarios, procesos y dispositivos autorizados acceder a buckets de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.3 | Garantizar que el bucket de S3 utilizado para almacenar registros de CloudTrail no sea de acceso público | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que no se pueda acceder públicamente a buckets de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público en el nivel del bucket. | |
| 3.4 | Garantizar que las rutas de CloudTrail estén integradas con CloudWatch Logs | Utilice Amazon CloudWatch para recopilar y administrar de forma centralizada la actividad de los eventos de registro. La inclusión de datos de AWS CloudTrail proporciona detalles de la actividad de llamadas a la API en su Cuenta de AWS. | |
| 3.5 | Garantizar que AWS Config esté habilitado en todas las regiones | config-enabled-all-regions (verificación del proceso) | Asegúrese de que AWS Config esté habilitado en todas las regiones de AWS. En la sección AWS Config de la consola, asegúrese de que la grabadora de AWS Config esté configurada correctamente para cada región habilitada. Asegúrese de que el registro de los recursos globales de AWS esté habilitado al menos en una región. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 3.6 | Garantizar que el registro de acceso al bucket de S3 esté habilitado en el bucket de S3 de CloudTrail | El registro de acceso al servidor de Amazon Simple Storage Service (Amazon S3) proporciona un método para monitorear la red en busca de posibles eventos de ciberseguridad. Los eventos se monitorean mediante la captura detallada de las solicitudes realizadas a un bucket de Amazon S3. Cada registro de acceso proporciona detalles sobre una única solicitud de acceso. Los detalles incluyen el solicitante, el nombre del bucket, la hora de la solicitud, la acción solicitada, el estado de la respuesta y el código de error, si procede. | |
| 3.7 | Garantizar que los registros de CloudTrail se cifren en reposo con las CMK de KMS | Dado que pueden existir datos confidenciales, para ayudar a proteger los datos en reposo, debe asegurarse de que el cifrado esté habilitado para sus registros de seguimiento de AWS CloudTrail. | |
| 3.8 | Garantizar que la rotación de las CMK creadas por el cliente esté habilitada | Habilite la rotación de claves para garantizar que las claves se roten una vez que hayan alcanzado el final de su período criptográfico. | |
| 3.9 | Garantizar que el registro de flujo de la VPC esté habilitado en todas las VPC | Los registros del flujo de la VPC proporcionan registros detallados acerca del tráfico IP entrante y saliente de las interfaces de red en su Amazon Virtual Private Cloud (Amazon VPC). De forma predeterminada, el registro de flujo incluye valores para los distintos componentes del flujo de IP, incluido el origen, el destino y el protocolo. | |
| 3.10 | Garantizar que el registro en el nivel de objeto para los eventos de escritura esté habilitado para el bucket de S3 | La recopilación de eventos de datos del Simple Storage Service (Amazon S3) ayuda a detectar cualquier actividad anómala. Los detalles incluyen la información de la cuenta de AWS a la que ha accedido un bucket de Amazon S3, la dirección IP y la hora del evento. | |
| 3.11 | Garantizar que el registro en el nivel de objeto para los eventos de lectura esté habilitado para el bucket de S3 | La recopilación de eventos de datos del Simple Storage Service (Amazon S3) ayuda a detectar cualquier actividad anómala. Los detalles incluyen la información de la cuenta de AWS a la que ha accedido un bucket de Amazon S3, la dirección IP y la hora del evento. | |
| 4.1 | Garantizar que haya un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas | alarm-unauthorized-api-calls (verificación del proceso) | Garantizar que haya un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.2 | Garantizar que haya un filtro de métricas de registro y una alarma de registro para el inicio de sesión en la sin MFA en la consola de administración | alarm-sign-in-without-mfa (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para el inicio de sesión en la Consola de administración de AWS sin autenticación multifactor (MFA). Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.3 | Garantizar que haya un filtro de métricas de registro y una alarma para el uso de la cuenta raíz | alarm-root-account-use (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para usar la cuenta raíz. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.4 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de IAM | alarm-iam-policy-change (verificación del proceso) | Garantice que haya un filtro de métricas de registro y una alarma para los cambios de política de IAM. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.5 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de configuración de CloudTrail | alarm-cloudtrail-config-change (verificación del proceso) | Garantice que haya un filtro de métricas de registro y una alarma para los cambios de configuración de AWS CloudTrail. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.6 | Garantizar que haya un filtro de métricas de registro y una alarma para los errores de autenticación de la Consola de administración de AWS | alarm-console-auth-failures (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los errores de autenticación de la Consola de administración de AWS. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.7 | Garantizar que haya un filtro de métricas de registro y una alarma para la deshabilitación o eliminación programada de las CMK creadas por el cliente | alarm-kms-disable-or-delete-cmk (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para la deshabilitación o eliminación programada de las CMK creadas por el cliente. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.8 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de S3 | alarm-s3-bucket-policy-change (verificación del proceso) | Garantice que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de Amazon S3. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.9 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de configuración de AWS Config | alarm-aws-config-change (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios de configuración de AWS Config. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.10 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de grupos de seguridad | alarm-vpc-secrity-group-change (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.11 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL) | alarm-vpc-nacl-change (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL). Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.12 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las puertas de enlace de la red | alarm-vpc-network-gateway-change (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en las puertas de enlace de la red. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.13 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento | alarm-vpc-route-table-change (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.14 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la VPC | alarm-vpc-change (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en la Amazon Virtual Private Cloud (VPC). Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.15 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en AWS Organizations | alarm-organizations-change (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en AWS Organizations. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 5.1 | Garantizar que ninguna ACL de red permita la entrada desde 0.0.0.0/0 a los puertos de administración de servidores remotos | Asegúrese de que ninguna ACL de red permita la entrada pública a los puertos de administración de servidores remotos. En la sección de la VPC de la consola, asegúrese de que haya ACL de red con un origen de 0.0.0.0/0 con puertos o rangos de puertos permitidos, incluidos los puertos de administración de servidores remotos. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. | |
| 5.2 | Garantizar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 a los puertos de administración de servidores remotos | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a administrar el acceso a la red al proporcionar un filtrado continuo del tráfico de red de entrada y salida a los recursos de AWS. Al no permitir el tráfico de entrada (o el tráfico remoto) desde 0.0.0.0/0 al puerto 22 en sus recursos, podrá restringir el acceso remoto. | |
| 5.2 | Garantizar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 a los puertos de administración de servidores remotos | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Esta regla le permite configurar de forma opcional los parámetros blockedPort1 a blockedPort5 (valor estándar del CIS: 3389). Los valores reales deben reflejar las políticas de su organización. | |
| 5.3 | Garantizar que el grupo de seguridad predeterminado de cada VPC limite todo el tráfico | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a administrar el acceso a la red al proporcionar filtros con estado del tráfico de red de entrada y salida a los recursos de AWS. Restringir todo el tráfico en el grupo de seguridad predeterminado ayuda a restringir el acceso remoto a los recursos de AWS. | |
| 5.4 | Garantizar que las tablas de enrutamiento para el emparejamiento de VPC tengan “acceso mínimo” | vpc-peering-least-access (verificación del proceso) | Asegúrese de que las tablas de enrutamiento para el emparejamiento de VPC tengan “acceso mínimo”. En la sección de VPC de la consola, examine las entradas de la tabla de enrutamiento para asegurarse de que se pueda enrutar el menor número de subredes o hosts necesarios para cumplir con el propósito del emparejamiento. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
Plantilla
La plantilla está disponible en GitHub: Operational Best Practices for CIS AWS Foundations Benchmark v1.4 Level 2
