View a markdown version of this page

CISAWSFundamentos: punto de referencia en Security Hub (CSPM) - AWSSecurity Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CISAWSFundamentos: punto de referencia en Security Hub (CSPM)

El punto de referencia fundamental del Center for Internet Security (CIS) AWS sirve como un conjunto de mejores prácticas de configuración de seguridad paraAWS. Estas mejores prácticas aceptadas por la industria le proporcionan procedimientos de implementación y evaluación claros y paso a paso. Desde sistemas operativos hasta servicios en la nube y dispositivos de red, los controles de este punto de referencia le ayudan a proteger los sistemas específicos que utiliza su organización.

AWSSecurity Hub CSPM es compatible con las versiones 5.0.0, 3.0.0, 1.4.0 y 1.2.0 de CIS AWS Foundations Benchmark. Esta página enumera los controles de seguridad que admite cada versión. También ofrece una comparación entre las versiones.

CISAWSFoundations Benchmark, versión 5.0.0

Security Hub CSPM es compatible con la versión 5.0.0 (v5.0.0) del CIS Foundations Benchmark. AWS El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS:

  • Punto de referencia de la CEI para AWS las fundaciones de la CEI, v5.0.0, nivel 1

  • Punto de referencia de la CEI para AWS las fundaciones de la CEI, v5.0.0, nivel 2

Controles que se aplican al CISAWSFoundations Benchmark, versión 5.0.0

[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS

[CloudTrail.1] CloudTrail debe estar habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[Config.1]AWS Configdebe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante o saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar habilitado

[EC2.8] Las instancias EC2 deben utilizar la versión 2 del servicio de metadatos de instancia (IMDSv2)

[EC2.21] Las ACL de red no deberían permitir la entrada desde la versión 0.0.0. 0/0 al puerto 22 o al puerto 3389

[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada desde la versión 0.0.0. 0/0 a los puertos de administración remota del servidor

[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada desde: :/0 a los puertos de administración remota del servidor

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo medianteAWS KMS

[EFS.8] Los sistemas de archivos EFS deben estar cifrados en reposo

[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] La MFA debe estar habilitada para todos los usuarios de IAM que tengan una contraseña de consola

[IAM.6] La MFA de hardware debe estar habilitada para el usuario root

[IAM.9] La MFA debe estar habilitada para el usuario root

[IAM.15] Asegúrese de que la política de contraseñas de IAM exija una longitud de contraseña mínima de 14 o más

[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta

[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado

[KMS.4]AWS KMSla rotación de claves debe estar habilitada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

[RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad

[RDS.13] Las actualizaciones automáticas de las versiones secundarias de RDS deben estar habilitadas

[RDS.15] Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

[S3.22] Los cubos de uso general de S3 deberían registrar eventos de escritura a nivel de objeto

[S3.23] Los buckets de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto

CISAWSFoundations Benchmark versión 3.0.0

Security Hub CSPM es compatible con la versión 3.0.0 (v3.0.0) del CIS Foundations Benchmark. AWS El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS:

  • Punto de referencia de la CEI para AWS las fundaciones de la CEI, v3.0.0, nivel 1

  • Punto de referencia de la CEI para AWS las fundaciones de la CEI, v3.0.0, nivel 2

Controles que se aplican al CISAWSFoundations Benchmark versión 3.0.0

[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS

[CloudTrail.1] CloudTrail debe estar habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[Config.1]AWS Configdebe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante o saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar habilitado

[EC2.8] Las instancias EC2 deben utilizar la versión 2 del servicio de metadatos de instancia (IMDSv2)

[EC2.21] Las ACL de red no deberían permitir la entrada desde la versión 0.0.0. 0/0 al puerto 22 o al puerto 3389

[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada desde la versión 0.0.0. 0/0 a los puertos de administración remota del servidor

[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada desde: :/0 a los puertos de administración remota del servidor

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo medianteAWS KMS

[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] La MFA debe estar habilitada para todos los usuarios de IAM que tengan una contraseña de consola

[IAM.6] La MFA de hardware debe estar habilitada para el usuario root

[IAM.9] La MFA debe estar habilitada para el usuario root

[IAM.15] Asegúrese de que la política de contraseñas de IAM exija una longitud de contraseña mínima de 14 o más

[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta

[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado

[KMS.4]AWS KMSla rotación de claves debe estar habilitada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

[RDS.13] Las actualizaciones automáticas de las versiones secundarias de RDS deben estar habilitadas

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

[S3.22] Los cubos de uso general de S3 deberían registrar eventos de escritura a nivel de objeto

[S3.23] Los buckets de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto

CISAWSFoundations Benchmark versión 1.4.0

Security Hub CSPM es compatible con la versión 1.4.0 (v1.4.0) del CIS Foundations Benchmark. AWS

Controles que se aplican al CISAWSFoundations Benchmark versión 1.4.0

[CloudTrail.1] CloudTrail debe estar habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] los CloudTrail senderos deben estar integrados con Amazon CloudWatch Logs

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM

[CloudWatch.5] Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración

[CloudWatch.6] Asegúrese de que existan un filtro de métrica de registro y una alarma paraConsola de administración de AWSerrores de autenticación

[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente

[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3

[CloudWatch.9] Asegúrese de que existan un filtro de métrica de registro y una alarma paraAWS Configcambios de configuración

[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad

[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)

[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en las pasarelas de red

[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas

[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC

[Config.1]AWS Configdebe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante o saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar habilitado

[EC2.21] Las ACL de red no deberían permitir la entrada desde la versión 0.0.0. 0/0 al puerto 22 o al puerto 3389

[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] La MFA debe estar habilitada para todos los usuarios de IAM que tengan una contraseña de consola

[IAM.6] La MFA de hardware debe estar habilitada para el usuario root

[IAM.9] La MFA debe estar habilitada para el usuario root

[IAM.15] Asegúrese de que la política de contraseñas de IAM exija una longitud de contraseña mínima de 14 o más

[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[KMS.4]AWS KMSla rotación de claves debe estar habilitada

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

CISAWSFoundations Benchmark versión 1.2.0

Security Hub CSPM es compatible con la versión 1.2.0 (v1.2.0) del CIS Foundations Benchmark. AWS El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS:

  • Punto de referencia de la CEI para AWS las fundaciones de la CEI, v1.2.0, nivel 1

  • Punto de referencia de la CEI para AWS las fundaciones de la CEI, v1.2.0, nivel 2

Controles que se aplican al CISAWSFoundations Benchmark versión 1.2.0

[CloudTrail.1] CloudTrail debe estar habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] los CloudTrail senderos deben estar integrados con Amazon CloudWatch Logs

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas

[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA

[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM

[CloudWatch.5] Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración

[CloudWatch.6] Asegúrese de que existan un filtro de métrica de registro y una alarma paraConsola de administración de AWSerrores de autenticación

[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente

[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3

[CloudWatch.9] Asegúrese de que existan un filtro de métrica de registro y una alarma paraAWS Configcambios de configuración

[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad

[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)

[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en las pasarelas de red

[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas

[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC

[Config.1]AWS Configdebe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante o saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde la versión 0.0.0. 0/0 o: :/0 al puerto 22

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde la versión 0.0.0. 0/0 o: :/0 al puerto 3389

[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»

[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] La MFA debe estar habilitada para todos los usuarios de IAM que tengan una contraseña de consola

[IAM.6] La MFA de hardware debe estar habilitada para el usuario root

[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario root

[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.13] Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo

[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número

[IAM.15] Asegúrese de que la política de contraseñas de IAM exija una longitud de contraseña mínima de 14 o más

[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegúrese de que la política de contraseñas de IAM haga caducar las contraseñas en un plazo de 90 días o menos

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

[KMS.4]AWS KMSla rotación de claves debe estar habilitada

Comparación de versiones para CISAWSPunto de referencia de fundamentos

En esta sección se resumen las diferencias entre las versiones específicas del Center for Internet Security (CIS) AWS Foundations Benchmark: v5.0.0, v3.0.0, v1.4.0 y v1.2.0. AWSSecurity Hub CSPM es compatible con cada una de estas versiones del CIS AWS Foundations Benchmark. Sin embargo, recomendamos usar la versión 5.0.0 para mantener actualizadas las prácticas recomendadas de seguridad. Puede tener habilitadas varias versiones de los estándares de referencia de CIS AWS Foundations al mismo tiempo. Para obtener información sobre cómo habilitar estándares, consulte Habilitación de un estándar de seguridad. Si desea actualizar a la versión 5.0.0, habilítela antes de desactivar una versión anterior. Esto evita deficiencias en las comprobaciones de seguridad. Si utiliza la integración CSPM de Security Hub con varias cuentas AWS Organizations y desea habilitarla por lotes en varias cuentas, le recomendamos que utilice la configuración central.

Asignación de los controles a los requisitos del CIS en cada versión

Comprenda qué controles admite cada versión del CIS AWS Foundations Benchmark.

ID y título de control Requisito de CIS v5.0.0 Requisito del CIS v3.0.0 Requisito del CIS v1.4.0 Requisito del CIS v1.2.0

[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS

1.2

1.2

1.2

1.18

[CloudTrail.1] CloudTrail debe estar habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

3.1

3.1

3.1

2.1

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

3.5

3.5

3.7

2.7

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

3.2

3.2

3.2

2.2

[CloudTrail.5] los CloudTrail senderos deben estar integrados con Amazon CloudWatch Logs

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

3.4

2.4

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

3.3

2.3

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

3.4

3.4

3.6

2.6

[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

No compatible: comprobación manual

No compatible: comprobación manual

4.3

3.3

[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas

No compatible: comprobación manual

No compatible: comprobación manual

No compatible: comprobación manual

3.1

[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA

No compatible: comprobación manual

No compatible: comprobación manual

No compatible: comprobación manual

3.2

[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM

No compatible: comprobación manual

No compatible: comprobación manual

4.4

3.4

[CloudWatch.5] Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración

No compatible: comprobación manual

No compatible: comprobación manual

4.5

3.5

[CloudWatch.6] Asegúrese de que existan un filtro de métrica de registro y una alarma paraConsola de administración de AWSerrores de autenticación

No compatible: comprobación manual

No compatible: comprobación manual

4.6

3.6

[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente

No compatible: comprobación manual

No compatible: comprobación manual

4.7

3.7

[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3

No compatible: comprobación manual

No compatible: comprobación manual

4.8

3.8

[CloudWatch.9] Asegúrese de que existan un filtro de métrica de registro y una alarma paraAWS Configcambios de configuración

No compatible: comprobación manual

No compatible: comprobación manual

4.9

3.9

[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad

No compatible: comprobación manual

No compatible: comprobación manual

4.10

3.10

[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)

No compatible: comprobación manual

No compatible: comprobación manual

4.11

3.11

[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en las pasarelas de red

No compatible: comprobación manual

No compatible: comprobación manual

4.12

3.12

[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas

No compatible: comprobación manual

No compatible: comprobación manual

4.13

3.13

[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC

No compatible: comprobación manual

No compatible: comprobación manual

4.14

3.14

[Config.1]AWS Configdebe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

3.3

3.3

3.5

2,5

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante o saliente

5.5

5.4

5.3

4.3

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

3.7

3.7

3.9

2.9

[EC2.7] El cifrado predeterminado de EBS debe estar habilitado

5.1.1

2.2.1

2.2.1

No compatible

[EC2.8] Las instancias EC2 deben utilizar la versión 2 del servicio de metadatos de instancia (IMDSv2)

5.7

5.6

No admitido

No admitido

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde la versión 0.0.0. 0/0 o: :/0 al puerto 22

No compatible: se sustituyó por los requisitos 5.3 y 5.4

No compatible: se sustituyó por los requisitos 5.2 y 5.3

No compatible: se sustituyó por los requisitos 5.2 y 5.3

4.1

[EC2.14] Los grupos de seguridad no deberían permitir la entrada desde la versión 0.0.0. 0/0 o: :/0 al puerto 3389

No compatible: se sustituyó por los requisitos 5.3 y 5.4

No compatible: se sustituyó por los requisitos 5.2 y 5.3

No compatible: se sustituyó por los requisitos 5.2 y 5.3

4.2

[EC2.21] Las ACL de red no deberían permitir la entrada desde la versión 0.0.0. 0/0 al puerto 22 o al puerto 3389

5.2

5.1

5.1

No compatible

[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada desde la versión 0.0.0. 0/0 a los puertos de administración remota del servidor

5.3

5.2

No admitido

No admitido

[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada desde: :/0 a los puertos de administración remota del servidor

5.4

5.3

No admitido

No admitido

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo medianteAWS KMS

2.3.1

2.4.1

No admitido

No admitido

[EFS.8] Los sistemas de archivos EFS deben estar cifrados en reposo

2.3.1

No admitido

No admitido

No admitido

[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»

No admitido

No admitido

1.16

1.22

[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas

1.14

1.15

No compatible

1.16

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

1.13

1.14

1.14

1.4

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

1.3

1.4

1.4

1.12

[IAM.5] La MFA debe estar habilitada para todos los usuarios de IAM que tengan una contraseña de consola

1.9

1.10

1.10

1.2

[IAM.6] La MFA de hardware debe estar habilitada para el usuario root

1.5

1.6

1.6

1.14

[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas

No se admite: consulte [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días en su lugar

No se admite: consulte [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días en su lugar

No se admite: consulte [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días en su lugar

1.3

[IAM.9] La MFA debe estar habilitada para el usuario root

1.4

1.5

1.5

1.13

[IAM.11] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

1.5

[IAM.12] Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

1.6

[IAM.13] Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

1.7

[IAM.14] Asegúrese de que la política de contraseñas de IAM requiera al menos un número

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

1.8

[IAM.15] Asegúrese de que la política de contraseñas de IAM exija una longitud de contraseña mínima de 14 o más

1.7

1.8

1.8

1.9

[IAM.16] Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas

1.8

1.9

1.9

1.10

[IAM.17] Asegúrese de que la política de contraseñas de IAM haga caducar las contraseñas en un plazo de 90 días o menos

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

1.11

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes conAWS Support

1.16

1,17

1,17

1.2

[IAM.20] Evite el uso del usuario root

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

No compatible: el CIS eliminó este requisito

1.1

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

1.11

1.12

1.12

No compatible: el CIS agregó este requisito en versiones posteriores

[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse

1.18

1.19

No compatible: el CIS agregó este requisito en versiones posteriores

No compatible: el CIS agregó este requisito en versiones posteriores

[IAM.27] Las identidades de IAM no deberían tener la AWSCloudShellFullAccess política adjunta

1.21

1.22

No compatible: el CIS agregó este requisito en versiones posteriores

No compatible: el CIS agregó este requisito en versiones posteriores

[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar habilitado

1.19

1,20

No compatible: el CIS agregó este requisito en versiones posteriores

No compatible: el CIS agregó este requisito en versiones posteriores

[KMS.4]AWS KMSla rotación de claves debe estar habilitada

3.6

3.6

3.8

2.8

[Macie.1] Amazon Macie debería estar activado

No compatible: comprobación manual

No compatible: comprobación manual

No compatible: comprobación manual

No compatible: comprobación manual

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible

2.2.3

2.3.3

No compatible: el CIS agregó este requisito en versiones posteriores

No compatible: el CIS agregó este requisito en versiones posteriores

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

2.2.1

2.3.1

2.3.1

No compatible: el CIS agregó este requisito en versiones posteriores

[RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad

2.2.4

No compatible: el CIS agregó este requisito en versiones posteriores

No compatible: el CIS agregó este requisito en versiones posteriores

No compatible: el CIS agregó este requisito en versiones posteriores

[RDS.13] Las actualizaciones automáticas de las versiones secundarias de RDS deben estar habilitadas

2.2.2

2.3.2

No compatible: el CIS agregó este requisito en versiones posteriores

No compatible: el CIS agregó este requisito en versiones posteriores

[RDS.15] Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad

2.2.4

No compatible: el CIS agregó este requisito en versiones posteriores

No compatible: el CIS agregó este requisito en versiones posteriores

No compatible: el CIS agregó este requisito en versiones posteriores

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

2.1.4

2.1.4

2.1.5

No compatible: el CIS agregó este requisito en versiones posteriores

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL

2.1.1

2.1.1

2.1.2

No compatible: el CIS agregó este requisito en versiones posteriores

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

2.1.4

2.1.4

2.1.5

No compatible: el CIS agregó este requisito en versiones posteriores

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

2.1.2

2.1.2

2.1.3

No compatible: el CIS agregó este requisito en versiones posteriores

ARN para CISAWSPrincipios y puntos de referencia

Cuando habilita una o más versiones del CIS AWS Foundations Benchmark, comienza a recibir los resultados en el formato de búsqueda de AWS seguridad (ASFF). En el ASFF, cada versión utiliza el siguiente nombre de recurso de Amazon (ARN):

Punto de referencia sobre AWS los fundamentos de la CEI v5.0.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0

Punto de referencia sobre AWS los fundamentos de la CEI v3.0.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0

Punto de referencia sobre AWS los fundamentos de la CEI v1.4.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0

Punto de referencia sobre AWS los fundamentos de la CEI v1.2.0

arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

Puede utilizar la operación GetEnabledStandards de la API del CSPM de Security Hub para averiguar el ARN de un estándar habilitado.

Los valores anteriores son para StandardsArn. Sin embargo, StandardsSubscriptionArn hace referencia al recurso de suscripción estándar que el CSPM de Security Hub crea cuando se suscribe a un estándar mediante una llamada a BatchEnableStandards en una región.

nota

Al habilitar una versión del CIS AWS Foundations Benchmark, Security Hub CSPM puede tardar hasta 18 horas en generar resultados para los controles que utilizan la misma regla AWS Config vinculada a servicios que los controles habilitados en otros estándares habilitados. Para obtener más información sobre el programa para generar resultados de control, consulte Programación para ejecutar comprobaciones de seguridad.

Los campos de resultados serán diferentes si activa los resultados de los controles consolidados. Para obtener más información sobre estas diferencias, consulte Impacto de la consolidación en los campos y valores ASFF. Para ver ejemplos de los resultados de los controles, consulte Ejemplos de resultados de controles.

Requisitos del CIS que no se admiten en el CSPM de Security Hub

Como se indica en la tabla anterior, el Security Hub CSPM no admite todos los requisitos del CIS en todas las versiones del CIS AWS Foundations Benchmark. Muchos de los requisitos no compatibles solo se pueden evaluar de forma manual al revisar el estado de los recursos de AWS.