Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejores prácticas operativas para CIS AWS Foundations Benchmark v1.4 Level 2
Los paquetes de conformidad proporcionan un marco de cumplimiento de uso general diseñado para permitirle crear controles de control de seguridad, operativos o de optimización de costos mediante AWS Config reglas administradas o personalizadas y acciones correctivas. AWS Config Los paquetes de conformidad, como plantillas de ejemplo, no están diseñados para garantizar plenamente el cumplimiento de una norma de gobernanza o de conformidad específicas. Usted debe evaluar si su uso de los servicios cumple con los requisitos legales y normativos aplicables.
A continuación, se proporciona un ejemplo de mapeo entre el Centro de Seguridad de Internet (CIS) Amazon Web Services Foundation v1.4 Level 2 y las reglas de AWS Config configuración/comprobaciones de procesos AWS gestionadas. Cada regla de Config se aplica a un AWS recurso específico y se refiere a uno o más controles de nivel 2 de Amazon Web Services Foundation v1.4 de CIS. Un control de Amazon Web Services Foundation v1.4 Level 2 del CIS puede estar relacionado con varias reglas de Config. Consulte la siguiente tabla para obtener más detalles y orientación relacionados con estas asignaciones.
Para obtener más información sobre las verificaciones de procesos, consulte process-checks.
Región de AWS: Regiones de AWS En todos los lugares donde se admiten paquetes de conformidad (soporte regional) excepto AWS GovCloud (EE. UU. Este), AWS GovCloud (EE. UU. Oeste) y Oriente Medio (Bahréin)
| ID de control | Descripción del control | AWS Regla de configuración | Directrices |
|---|---|---|---|
| 1.1 | Mantener los datos de contacto actuales | account-contact-details-configured (verificación del proceso) | Asegúrese de que el correo electrónico y el número de teléfono de contacto de las cuentas de AWS estén actualizados y correspondan a más de una persona de su organización. En la sección Mi cuenta de la consola, asegúrese de que se especifique la información correcta en la sección Información de contacto. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.2 | Garantizar que se registre la información de contacto de seguridad | account-security-contact-configured (Verificación del proceso) | Compruebe que el correo electrónico y el número de teléfono de contacto del equipo de seguridad de la organización estén actualizados. En la sección Mi cuenta de la consola de AWS administración, asegúrese de que se especifique la información correcta en la sección de seguridad. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.4 | Garantizar que no exista ninguna clave de acceso de usuario raíz | El acceso a los sistemas y activos se puede controlar comprobando que el usuario raíz no tenga claves de acceso adjuntas a su función de AWS Identity and Access Management (IAM). Asegúrese de eliminar las claves de acceso raíz. En su lugar, cree y utilice el sistema basado en roles Cuentas de AWS para ayudar a incorporar el principio de funcionalidad mínima. | |
| 1.5 | Garantizar que la MFA esté habilitada para el usuario raíz | Gestione el acceso a los recursos en la AWS nube asegurándose de que la MFA esté habilitada para el usuario raíz. El usuario raíz es el usuario de Cuenta de AWS con más privilegios. La MFA añade una capa adicional de protección además de un nombre de usuario y una contraseña. Al requerir MFA para el usuario root, puede reducir los incidentes de amenazas. Cuentas de AWS | |
| 1.6 | Garantizar que la MFA basada en hardware esté activada para la cuenta de usuario raíz | Gestione el acceso a los recursos en la AWS nube asegurándose de que la MFA de hardware esté habilitada para el usuario raíz. El usuario raíz es el usuario de Cuenta de AWS con más privilegios. La MFA agrega una capa adicional de protección a las credenciales de inicio de sesión. Al requerir MFA para el usuario root, puede reducir los incidentes de amenazas. Cuentas de AWS | |
| 1.7 | Eliminar el uso del usuario raíz para las tareas administrativas y diarias | root-account-regular-use (Verificación del proceso) | Compruebe que se evite usar la cuenta raíz para las tareas diarias. En IAM, ejecute un informe de credenciales para examinar cuándo se utilizó el usuario raíz por última vez. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.8 | Garantizar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más | Las identidades y las credenciales se emiten, administran y verifican en función de la política de contraseñas de IAM de la organización. Cumplen o superan los requisitos establecidos por la norma NIST SP 800-63 y el estándar AWS fundamental de mejores prácticas de seguridad para la seguridad de las contraseñas. Esta regla le permite configurar opcionalmente RequireUppercaseCharacters (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireLowercaseCharacters (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireSymbols (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireNumbers (valor de las mejores prácticas de seguridad AWS AWS fundamentales: verdadero), MinimumPasswordLength (valor de las mejores prácticas de seguridad AWS fundamentales: 14), PasswordReusePrevention (valor de las mejores prácticas de seguridad AWS fundamentales: 24) y MaxPasswordAge (valor de las mejores prácticas de seguridad fundamentales: 90) para su IAM La política de contraseñas. Los valores reales deben reflejar las políticas de su organización. | |
| 1.9 | Garantizar que la política de contraseñas de IAM impida la reutilización de contraseñas | Las identidades y las credenciales se emiten, administran y verifican en función de la política de contraseñas de IAM de la organización. Cumplen o superan los requisitos establecidos por la norma NIST SP 800-63 y el estándar AWS fundamental de mejores prácticas de seguridad para la seguridad de las contraseñas. Esta regla le permite configurar opcionalmente RequireUppercaseCharacters (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireLowercaseCharacters (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireSymbols (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireNumbers (valor de las mejores prácticas de seguridad AWS AWS fundamentales: verdadero), MinimumPasswordLength (valor de las mejores prácticas de seguridad AWS fundamentales: 14), PasswordReusePrevention (valor de las mejores prácticas de seguridad AWS fundamentales: 24) y MaxPasswordAge (valor de las mejores prácticas de seguridad fundamentales: 90) para su IAM La política de contraseñas. Los valores reales deben reflejar las políticas de su organización. | |
| 1.10 | Garantizar que la autenticación multifactor (MFA) esté habilitada para todos los usuarios que tengan una contraseña para la consola | Gestione el acceso a los recursos en la AWS nube asegurándose de que la MFA esté habilitada para todos los usuarios de AWS Identity and Access Management (IAM) que tengan una contraseña de consola. La MFA agrega una capa adicional de protección a las credenciales de inicio de sesión. Al requerir la MFA para los usuarios, puede reducir los incidentes de cuentas comprometidas y evitar que usuarios no autorizados accedan a los datos confidenciales. | |
| 1.11 | No configurar claves de acceso durante la configuración de usuario inicial para todos los usuarios que tienen una contraseña para la consola | iam-user-console-and- api-access-at-creation (Verificación del proceso) | Asegúrese de que no se hayan configurado claves de acceso durante la configuración de usuario inicial para todos los usuarios que tienen una contraseña para la consola. Para todos los usuarios con acceso a la consola, compare la hora de creación del usuario con la fecha de creación de la clave de acceso. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.12 | Garantizar que se deshabiliten las credenciales no usadas durante 45 días o más | AWS Identity and Access Management (IAM) puede ayudarlo con los permisos y autorizaciones de acceso comprobando las contraseñas y claves de acceso de IAM que no se utilicen durante un período de tiempo específico. Si se identifican credenciales no utilizadas, debe deshabilitarlas o eliminarlas, ya que pueden infringir el principio de privilegio mínimo. Esta regla requiere que establezcas un valor para la maxCredentialUsage Edad (valor estándar CIS: 45). El valor real debe reflejar las políticas de su organización. | |
| 1.13 | Garantizar que solo haya una clave de acceso activa disponible para cada usuario | iam-user-single-access-key (verificación del proceso) | Garantice que solo haya una clave de acceso activa disponible para cada usuario. Para todos los usuarios, debe comprobar que solo se utilice una clave activa en la pestaña Credenciales de seguridad para cada usuario en IAM. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.14 | Garantizar que las claves de acceso se roten cada 90 días o menos | Se auditan las credenciales de los dispositivos, usuarios y procesos autorizados, garantizando que las claves de acceso de IAM se roten según lo especificado en la política de la organización. Cambiar las claves de acceso de forma habitual es una práctica recomendada de seguridad. Al hacerlo, se reduce el período de tiempo en el que una clave de acceso está activa y el impacto sobre la empresa si las claves se ven comprometidas. Esta regla requiere un valor de rotación de clave de acceso (valor predeterminado de Config: 90). El valor real debe reflejar las políticas de su organización. | |
| 1.15 | Garantizar que los usuarios reciban permisos solo a través de grupos | Esta regla garantiza que las políticas de AWS Identity and Access Management (IAM) se adjunten únicamente a grupos o funciones para controlar el acceso a los sistemas y activos. La asignación de privilegios en el nivel de grupo o rol ayuda a reducir las oportunidades de que una identidad reciba o conserve demasiados privilegios. | |
| 1.15 | Garantizar que los usuarios reciban permisos solo a través de grupos | Asegúrese de que un usuario de AWS Identity and Access Management (IAM), un rol de IAM o un grupo de IAM no tengan una política integrada para controlar el acceso a los sistemas y activos. AWS recomienda utilizar políticas gestionadas en lugar de políticas integradas. Las políticas administradas permiten la reutilización, el control de versiones, la reversión y la delegación de la administración de permisos. | |
| 1.15 | Garantizar que los usuarios reciban permisos solo a través de grupos | AWS Identity and Access Management (IAM) puede ayudarle a restringir los permisos y autorizaciones de acceso al garantizar que los usuarios sean miembros de al menos un grupo. Permitir que los usuarios tengan más privilegios de los necesarios para completar una tarea puede infringir el principio de privilegio mínimo y la separación de funciones. | |
| 1.16 | Asegurar que no se adjunten políticas de IAM que permitan privilegios administrativos completos “*:*” | AWS Identity and Access Management (IAM) puede ayudarlo a incorporar los principios del mínimo privilegio y la separación de funciones en los permisos y autorizaciones de acceso, impidiendo que las políticas contengan «Efecto»: «Permitir» con «Acción»: «*» en lugar de «Recurso»: «*». Permitir que los usuarios tengan más privilegios de los necesarios para completar una tarea puede infringir el principio de privilegio mínimo y la separación de funciones. | |
| 1,17 | Asegúrese de que se haya creado un rol de soporte para gestionar los incidentes con AWS Support | AWS Identity and Access Management (IAM) puede ayudarle a gestionar los permisos y autorizaciones de acceso al garantizar que las políticas de IAM se asignen a los usuarios, roles o grupos adecuados. La restricción de estas políticas también incorpora los principios de privilegio mínimo y la separación de funciones. Esta regla requiere que defina PolicyArn en arn:aws:iam: :aws:policy/, para la gestión de incidentes con Support. AWSSupportAccess AWS | |
| 1.18 | Asegúrese de que las funciones de instancia de IAM se utilicen para acceder a los AWS recursos desde las instancias | Los perfiles de instancias de EC2 pasan un rol de IAM a una instancia de EC2. Adjuntar un perfil de instancia a las instancias puede ayudar a gestionar los privilegios mínimos y los permisos. | |
| 1.19 | Garantizar que se eliminen todos los certificados SSL/TLS caducados almacenados en AWS IAM | iam-expired-certificates (Verificación del proceso) | Garantice que se eliminen todos los certificados SSL/TLS caducados almacenados en IAM. Desde la línea de comandos con la AWS CLI instalada, ejecute el comando 'AWS iam list-server-certificates' y determine si hay algún certificado de servidor caducado. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.20 | Asegúrese de que AWS IAM Access Analyzer esté activado | iam-access-analyzer-enabled (Verificación del proceso) | Garantizar que IAM Access Analyzer esté activado. En la sección de IAM de la consola, seleccione Access Analyzer y asegúrese de que el STATUS esté establecido en Activo. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 1.21 | Asegúrese de que los usuarios se gestionen de forma centralizada desde la federación de identidades o desde AWS Organizations para entornos con varias cuentas | account-part-of-organizations | La administración centralizada Cuentas de AWS dentro de AWS Organizations ayuda a garantizar que las cuentas cumplan con las normas. La falta de gobernanza centralizada de las cuentas puede provocar incoherencias en las configuraciones de cuentas, lo que puede exponer los recursos y los datos confidenciales. |
| 2.1.1 | Asegúrese de que todos los cubos de S3 utilicen encryption-at-rest | Para ayudar a proteger los datos en reposo, asegúrese de habilitar el cifrado para los buckets de Amazon Simple Storage Service (Amazon S3). Puesto que puede haber datos confidenciales en reposo en los buckets de S3, habilite el cifrado para protegerlos. | |
| 2.1.2 | Garantizar que la política de buckets de S3 esté configurada para denegar las solicitudes HTTP | Para ayudar a proteger los datos en tránsito, asegúrese de que los buckets de Amazon Simple Storage Service (Amazon S3) requieran solicitudes para usar la capa de sockets seguros (SSL). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 2.1.3 | Garantizar que la eliminación de la MFA esté habilitada en los buckets de S3 | El control de versiones de buckets de Amazon Simple Storage Service (Amazon S3) permite usar múltiples variantes de un objeto en el mismo bucket de Amazon S3. Para añadir la eliminación de la autenticación multifactor (MFA) a un bucket de S3 se requiere un factor de autenticación adicional para cambiar el estado de la versión del bucket o para eliminar la versión del objeto. La eliminación de la MFA puede añadir una capa de seguridad adicional en caso de que las credenciales de seguridad se vean comprometidas o se conceda un acceso no autorizado. | |
| 2.1.5 | Garantizar que los buckets de S3 estén configurados con Bloquear acceso público (configuración del bucket) | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a los depósitos de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público. Esta regla le permite configurar opcionalmente los restrictPublicBuckets parámetros ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) y (Config Default: True). Los valores reales deben reflejar las políticas de su organización. | |
| 2.1.5 | Garantizar que los buckets de S3 estén configurados con Bloquear acceso público (configuración del bucket) | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a los depósitos de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público en el nivel del bucket. | |
| 2.2.1 | Garantizar que el cifrado de volumen de EBS esté activado | Puesto que puede haber datos confidenciales, para proteger los datos en reposo, asegúrese de habilitar el cifrado de los volúmenes de Amazon Elastic Block Store (Amazon EBS). | |
| 2.2.1 | Garantizar que el cifrado de volumen de EBS esté activado | Para proteger los datos en reposo, asegúrese de habilitar el cifrado de los volúmenes de Amazon Elastic Block Store (Amazon EBS). Puesto que puede haber datos confidenciales en reposo en estos volúmenes, habilite el cifrado en reposo para ayudar a protegerlos. | |
| 2.3.1 | Garantizar que el cifrado esté habilitado para las instancias de RDS | Asegúrese de que el cifrado esté habilitado para las instantáneas de Amazon Relational Database Service (Amazon RDS). Puesto que puede haber datos confidenciales en reposo, habilite el cifrado en reposo para ayudar a protegerlos. | |
| 2.3.1 | Garantizar que el cifrado esté habilitado para las instancias de RDS | Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté habilitado para sus instancias de Amazon Relational Database Service (Amazon RDS). Puesto que puede haber datos confidenciales en reposo en las instancias de Amazon RDS, habilite el cifrado en reposo para ayudar a protegerlos. | |
| 3.1 | Asegúrese de que CloudTrail esté activado en todas las regiones | AWS CloudTrail registra las acciones AWS de la consola de administración y las llamadas a la API. Puede identificar qué usuarios y cuentas llamaron AWS, la dirección IP de origen desde la que se realizaron las llamadas y cuándo se produjeron. CloudTrail entregará los archivos de registro de todas AWS las regiones a su bucket de S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED está activado. Además, al AWS lanzar una nueva región, CloudTrail creará la misma ruta en la nueva región. En consecuencia, recibirá archivos de registro con la actividad de la API en la nueva región sin necesidad de realizar ninguna acción. | |
| 3.2 | Asegúrese de que la validación del archivo de CloudTrail registro esté habilitada | Utilice la validación de los archivos de AWS CloudTrail registro para comprobar la integridad de los registros. CloudTrail La validación del archivo de registro ayuda a determinar si un archivo de registro se modificó, se eliminó o no se modificó después de CloudTrail entregarlo. Esta característica se compila mediante los algoritmos estándar de la industria: SHA-256 para el hash y SHA-256 con RSA para la firma digital. Esto hace que sea computacionalmente inviable modificar, eliminar o falsificar los archivos de CloudTrail registro sin ser detectados. | |
| 3.3 | Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público | Gestione el acceso a los recursos de la AWS nube permitiendo que solo los usuarios, procesos y dispositivos autorizados accedan a los depósitos de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.3 | Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público | Gestione el acceso a los recursos de la AWS nube permitiendo que solo los usuarios, procesos y dispositivos autorizados accedan a los depósitos de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.3 | Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a los depósitos de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público en el nivel del bucket. | |
| 3.4 | Asegúrese de que CloudTrail las rutas estén integradas con los registros CloudWatch | Usa Amazon CloudWatch para recopilar y gestionar de forma centralizada la actividad de los eventos de registro. La inclusión de AWS CloudTrail datos proporciona detalles de la actividad de llamadas a la API en su interior Cuenta de AWS. | |
| 3.5 | Asegúrese de que AWS Config esté activado en todas las regiones | config-enabled-all-regions (Verificación del proceso) | Asegúrese de que AWS Config esté activado en todas AWS las regiones. En la sección AWS Config de la consola, para cada región habilitada, asegúrese de que la grabadora AWS Config esté configurada correctamente. Asegúrese de que el registro de los recursos globales de AWS esté habilitado al menos en una región. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 3.6 | Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el bucket de CloudTrail S3 | El registro de acceso al servidor de Amazon Simple Storage Service (Amazon S3) proporciona un método para monitorear la red en busca de posibles eventos de ciberseguridad. Los eventos se monitorean mediante la captura detallada de las solicitudes realizadas a un bucket de Amazon S3. Cada registro de acceso proporciona detalles sobre una única solicitud de acceso. Los detalles incluyen el solicitante, el nombre del bucket, la hora de la solicitud, la acción solicitada, el estado de la respuesta y el código de error, si procede. | |
| 3.7 | Asegúrese de que CloudTrail los registros estén cifrados en reposo mediante las CMK de KMS | Como es posible que existan datos confidenciales y, para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté activado en sus registros AWS CloudTrail. | |
| 3.8 | Garantizar que la rotación de las CMK creadas por el cliente esté habilitada | Habilite la rotación de claves para garantizar que las claves se roten una vez que hayan alcanzado el final de su período criptográfico. | |
| 3.9 | Garantizar que el registro de flujo de la VPC esté habilitado en todas las VPC | Los registros del flujo de la VPC proporcionan registros detallados acerca del tráfico IP entrante y saliente de las interfaces de red en su Amazon Virtual Private Cloud (Amazon VPC). De forma predeterminada, el registro de flujo incluye valores para los distintos componentes del flujo de IP, incluido el origen, el destino y el protocolo. | |
| 3.10 | Garantizar que el registro en el nivel de objeto para los eventos de escritura esté habilitado para el bucket de S3 | La recopilación de eventos de datos del Simple Storage Service (Amazon S3) ayuda a detectar cualquier actividad anómala. Los detalles incluyen la información de la cuenta de AWS a la que ha accedido un bucket de Amazon S3, la dirección IP y la hora del evento. | |
| 3.11 | Garantizar que el registro en el nivel de objeto para los eventos de lectura esté habilitado para el bucket de S3 | La recopilación de eventos de datos del Simple Storage Service (Amazon S3) ayuda a detectar cualquier actividad anómala. Los detalles incluyen la información de la cuenta de AWS a la que ha accedido un bucket de Amazon S3, la dirección IP y la hora del evento. | |
| 4.1 | Garantizar que haya un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas | alarm-unauthorized-api-calls (Verificación del proceso) | Garantizar que haya un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.2 | Garantizar que haya un filtro de métricas de registro y una alarma de registro para el inicio de sesión en la sin MFA en la consola de administración | alarm-sign-in-without-mfa (Verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para el inicio de sesión en la Consola de administración de AWS sin autenticación multifactor (MFA). Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.3 | Garantizar que haya un filtro de métricas de registro y una alarma para el uso de la cuenta raíz | alarm-root-account-use (Verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para usar la cuenta raíz. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.4 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de IAM | alarm-iam-policy-change (Verificación del proceso) | Garantice que haya un filtro de métricas de registro y una alarma para los cambios de política de IAM. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.5 | Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración | alarm-cloudtrail-config-change (Verificación del proceso) | Asegúrese de que haya un filtro de registro métrico y una alarma para los cambios AWS CloudTrail de configuración. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.6 | Garantizar que haya un filtro de métricas de registro y una alarma para los errores de autenticación de la Consola de administración de AWS | alarm-console-auth-failures (Verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los errores de autenticación de la Consola de administración de AWS . Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.7 | Garantizar que haya un filtro de métricas de registro y una alarma para la deshabilitación o eliminación programada de las CMK creadas por el cliente | alarm-kms-disable-or-delete-cmk (Comprobación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para la deshabilitación o eliminación programada de las CMK creadas por el cliente. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.8 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de S3 | alarm-s3- bucket-policy-change (Verificación del proceso) | Garantice que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de Amazon S3. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.9 | Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios de configuración de AWS Config | alarm-aws-config-change (Verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios de configuración de AWS Config. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.10 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de grupos de seguridad | alarm-vpc-secrity-group-change (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.11 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL) | alarm-vpc-nacl-change (Verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL). Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.12 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las puertas de enlace de la red | alarm-vpc-network-gateway-change (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en las puertas de enlace de la red. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.13 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento | alarm-vpc-route-table-change (verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.14 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la VPC | alarm-vpc-change (Verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en la Amazon Virtual Private Cloud (VPC). Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 4.15 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en AWS Organizations | alarm-organizations-change (Verificación del proceso) | Asegúrese de que haya un filtro de métricas de registro y una alarma para los cambios en AWS Organizations. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
| 5.1 | Garantizar que ninguna ACL de red permita la entrada desde 0.0.0.0/0 a los puertos de administración de servidores remotos | Asegúrese de que ninguna ACL de red permita la entrada pública a los puertos de administración de servidores remotos. En la sección de la VPC de la consola, asegúrese de que haya ACL de red con un origen de 0.0.0.0/0 con puertos o rangos de puertos permitidos, incluidos los puertos de administración de servidores remotos. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. | |
| 5.2 | Garantizar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 a los puertos de administración de servidores remotos | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a administrar el acceso a la red al proporcionar un filtrado estatal del tráfico de red de entrada y salida a los recursos. AWS Al no permitir el tráfico de entrada (o el tráfico remoto) desde 0.0.0.0/0 al puerto 22 en sus recursos, podrá restringir el acceso remoto. | |
| 5.2 | Garantizar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 a los puertos de administración de servidores remotos | Gestione el acceso a los recursos de la AWS nube asegurándose de que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Esta regla le permite configurar de forma opcional los parámetros blockedPort1 a blockedPort5 (valor estándar del CIS: 3389). Los valores reales deben reflejar las políticas de su organización. | |
| 5.3 | Garantizar que el grupo de seguridad predeterminado de cada VPC limite todo el tráfico | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a gestionar el acceso a la red al proporcionar un filtrado continuo del tráfico de red de entrada y salida a los recursos. AWS Restringir todo el tráfico en el grupo de seguridad predeterminado ayuda a restringir el acceso remoto a los recursos. AWS | |
| 5.4 | Garantizar que las tablas de enrutamiento para el emparejamiento de VPC tengan “acceso mínimo” | vpc-peering-least-access (Verificación del proceso) | Asegúrese de que las tablas de enrutamiento para el emparejamiento de VPC tengan “acceso mínimo”. En la sección de VPC de la consola, examine las entradas de la tabla de enrutamiento para asegurarse de que se pueda enrutar el menor número de subredes o hosts necesarios para cumplir con el propósito del emparejamiento. Para obtener más información sobre la auditoría de este control, consulte el documento Amazon Web Services Foundations Benchmark versión 1.4.0 del CIS, disponible en https://www.cisecurity.org/benchmark/amazon_web_services/. |
Plantilla
La plantilla está disponible en el punto de referencia sobre GitHub las mejores prácticas operativas para las AWS fundaciones de la CEI, versión 1.4, nivel 2
