Registro de cambios en los controles de Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro de cambios en los controles de Security Hub

El siguiente registro de cambios registra los cambios importantes en los controles de AWS Security Hub seguridad existentes, que pueden provocar cambios en el estado general de un control y en el estado de cumplimiento de sus conclusiones. Para obtener información sobre cómo evalúa Security Hub el estado de los controles, consulte Evaluación del estado de cumplimiento y el estado de control en Security Hub. Los cambios pueden tardar unos días después de su entrada en este registro y afectar a todos los elementos Regiones de AWS en los que esté disponible el control.

Este registro realiza el seguimiento de los cambios que se han producido desde abril de 2023.

Seleccione un control para ver más detalles sobre él. Los cambios de título se indican en la descripción detallada de cada control durante 90 días.

Fecha del cambio ID y título de control Descripción del cambio
11 de octubre de 2024 ElastiCache controles Se han cambiado los títulos de los controles para las versiones ElastiCache 3.3, ElastiCache .4, ElastiCache .5 y ElastiCache .7. Los títulos ya no mencionan a Redis OSS porque los controles también se aplican a Valkey. ElastiCache
27 de septiembre de 2024 [ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos El título de control modificado de Application Load Balancer debe configurarse para eliminar los encabezados http a Application Load Balancer debe configurarse para eliminar los encabezados http no válidos.
19 de agosto de 2024 El título cambia a .12 y controla DMS ElastiCache Se han cambiado los títulos de los controles de la DMS .12 y de la ElastiCache .1 a ElastiCache la .7. Hemos cambiado estos títulos para reflejar un cambio de nombre en el servicio Amazon ElastiCache (RedisOSS).
15 de agosto de 2024 [Configuración 1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos Este control comprueba si AWS Config está activado, utiliza la función vinculada al servicio y registra los recursos de los controles habilitados. Security Hub agregó un parámetro de control personalizado denominadoincludeConfigServiceLinkedRoleCheck. Si establece este parámetro enfalse, puede optar por no comprobar si AWS Config utiliza el rol vinculado al servicio.
31 de julio de 2024 [IoT 1] AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados El título de control modificado, de los perfiles de AWS IoT Core seguridad debe estar etiquetado a los perfiles AWS IoT Device Defender de seguridad, debe estar etiquetado.
29 de julio de 2024 [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. Security Hub ha dejado de admitir nodejs16.x como parámetro.
29 de julio de 2024 [EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (EKSAmazon) se ejecuta en una versión de Kubernetes compatible. La versión compatible más antigua es. 1.28
25 de junio de 2024 [Configuración 1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos Este control comprueba si AWS Config está habilitado, utiliza la función vinculada al servicio y registra los recursos de los controles habilitados. Security Hub actualizó el título del control para reflejar lo que evalúa el control.
14 de junio de 2024 [RDS.34] Los clústeres de Aurora My SQL DB deberían publicar los registros de auditoría en Logs CloudWatch Este control comprueba si un clúster de Amazon Aurora My SQL DB está configurado para publicar registros de auditoría en Amazon CloudWatch Logs. Security Hub actualizó el control para que no genere hallazgos para los clústeres de bases de datos Aurora Serverless v1.
11 de junio de 2024 [EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (EKSAmazon) se ejecuta en una versión de Kubernetes compatible. La versión compatible más antigua es. 1.27
10 de junio de 2024 [Configuración 1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos Este control comprueba si AWS Config está activado y el registro de AWS Config recursos está activado. Anteriormente, el control solo producía una PASSED comprobación si se configuraba el registro para todos los recursos. Security Hub actualizó el control para PASSED detectar cuando se activa la grabación para los recursos necesarios para los controles habilitados. El control también se ha actualizado para comprobar si se utiliza la función AWS Config vinculada al servicio, que proporciona permisos para registrar los recursos necesarios.
8 de mayo de 2024 [S3.20] Los cubos de uso general de S3 deberían tener habilitada la función de eliminación MFA Este control comprueba si un bucket versionado de uso general de Amazon S3 tiene habilitada la autenticación multifactorial (MFA) delete. Anteriormente, el control detectaba los buckets que tenían una FAILED configuración de ciclo de vida. Sin embargo, la MFA eliminación con control de versiones no se puede habilitar en un bucket que tenga una configuración de ciclo de vida. Security Hub actualizó el control para que no se detectaran depósitos con una configuración de ciclo de vida. La descripción del control se actualizó para reflejar el comportamiento actual.
2 de mayo de 2024 [EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes Security Hub actualizó la versión compatible más antigua de Kubernetes en la que se puede ejecutar el EKS clúster de Amazon para producir una conclusión válida. La versión compatible más antigua actual es Kubernetes 1.26.
30 de abril de 2024 [CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta Se ha cambiado el título del control de «CloudTrail Debe estar habilitado» a «Al menos una CloudTrail ruta debe estar habilitada». Actualmente, este control produce un PASSED resultado si un sendero Cuenta de AWS tiene activado al menos un CloudTrail sendero. El título y la descripción se han modificado para reflejar con precisión el comportamiento actual.
29 de abril de 2024 [AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar controles de ELB estado Se ha cambiado el título del control: los grupos de Auto Scaling asociados a un balanceador de cargas clásico deberían usar verificaciones de estado del balanceador de cargas a los grupos de Auto Scaling asociados a un balanceador de cargas deberían usar verificaciones de estado. ELB Actualmente, este control evalúa los balanceadores de carga clásicos, de red y de aplicaciones. El título y la descripción se han modificado para reflejar con precisión el comportamiento actual.
19 de abril de 2024 [CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura El control comprueba si AWS CloudTrail está habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura. Anteriormente, el control generaba PASSED resultados de forma incorrecta cuando una cuenta tenía CloudTrail habilitada y configurada al menos un registro multirregional, incluso si ningún registro capturaba los eventos de administración de lectura y escritura. El control ahora genera un PASSED resultado solo cuando CloudTrail está habilitado y configurado con al menos un registro multirregional que captura los eventos de administración de lectura y escritura.
10 de abril de 2024 [Athena.1] Los grupos de trabajo de Athena deben estar cifrados en reposo Security Hub ha retirado este control y lo ha eliminado de todos los estándares. Los grupos de trabajo de Athena envían registros a los buckets de Amazon Simple Storage Service (Amazon S3). Amazon S3 ahora ofrece cifrado predeterminado con claves administradas de S3 (SS3-S3) en buckets S3 nuevos y existentes.
10 de abril de 2024 [AutoScaling.4] La configuración de inicio de grupos de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1 Security Hub ha retirado este control y lo ha eliminado de todos los estándares. Los límites de saltos de respuesta de metadatos para las instancias de Amazon Elastic Compute Cloud (AmazonEC2) dependen de la carga de trabajo.
10 de abril de 2024 [CloudFormation.1] las CloudFormation pilas deben integrarse con Simple Notification Service () SNS Security Hub ha retirado este control y lo ha eliminado de todos los estándares. Integrar AWS CloudFormation pilas con SNS los temas de Amazon ya no es una práctica recomendada de seguridad. Si bien integrar CloudFormation pilas importantes con SNS temas puede resultar útil, no es obligatorio para todas las pilas.
10 de abril de 2024 [CodeBuild.5] Los entornos de CodeBuild proyectos no deberían tener activado el modo privilegiado Security Hub ha retirado este control y lo ha eliminado de todos los estándares. Habilitar el modo privilegiado en un CodeBuild proyecto no supone un riesgo adicional para el entorno del cliente.
10 de abril de 2024 [IAM.20] Evite el uso del usuario root Security Hub ha retirado este control y lo ha eliminado de todos los estándares. El propósito de este control está cubierto por otro control,[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root».
10 de abril de 2024 [SNS.2] Debe habilitarse el registro del estado de entrega de los mensajes de notificación enviados a un tema Security Hub ha retirado este control y lo ha eliminado de todos los estándares. Registrar el estado de entrega de SNS los temas ya no es una práctica recomendada de seguridad. Aunque registrar el estado de entrega de SNS los temas importantes puede resultar útil, no es obligatorio para todos los temas.
10 de abril de 2024 [S3.10] Los depósitos de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida Security Hub eliminó este control de AWS Foundational Security Best Practices v1.0.0 y Service-Managed Standard:. AWS Control Tower El propósito de este control está cubierto por otros dos controles: y. [S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida [S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones Este control sigue formando parte del NIST SP 800-53 Rev. 5.
10 de abril de 2024 [S3.11] Los buckets de uso general de S3 deberían tener habilitadas las notificaciones de eventos Security Hub eliminó este control de AWS Foundational Security Best Practices v1.0.0 y Service-Managed Standard:. AWS Control Tower Si bien hay algunos casos en los que las notificaciones de eventos para los buckets de S3 son útiles, no se trata de una práctica recomendada de seguridad universal. Este control sigue formando parte de la norma NIST SP 800-53 Rev. 5.
10 de abril de 2024 [SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS Security Hub eliminó este control de AWS Foundational Security Best Practices v1.0.0 y Service-Managed Standard:. AWS Control Tower De forma predeterminada, SNS cifra los temas en reposo con cifrado de disco. Para más información, consulte Cifrado de datos. Ya no se recomienda su uso AWS KMS para cifrar temas como práctica recomendada de seguridad. Este control sigue formando parte de la norma NIST SP 800-53 Rev. 5.
8 de abril de 2024 [ELB.6] Los balanceadores de carga de aplicaciones, puertas de enlace y redes deben tener habilitada la protección contra eliminaciones El título de control modificado de Application Load Balancer debe estar habilitada la protección contra eliminaciones a Application, Gateway y Network Load Balancers debe tener habilitada la protección contra eliminaciones. Actualmente, este control evalúa los balanceadores de carga de aplicaciones, puertas de enlace y redes. El título y la descripción se han modificado para reflejar con precisión el comportamiento actual.
22 de marzo de 2024 [Opensearch.8] Las conexiones a los dominios deben cifrarse OpenSearch según la política de seguridad más reciente TLS Se cambió el título de control de Las conexiones a OpenSearch los dominios deben cifrarse mediante la versión TLS 1.2 a Las conexiones a OpenSearch los dominios deben cifrarse con la política de TLS seguridad más reciente. Anteriormente, el control solo comprobaba si las conexiones a los OpenSearch dominios utilizaban la TLS versión 1.2. El control ahora determina si los OpenSearch dominios están cifrados con la política de TLS seguridad más reciente. PASSED El título y la descripción del control se han actualizado para reflejar el comportamiento actual.
22 de marzo de 2024 [ES.8] Las conexiones a los dominios de Elasticsearch deben cifrarse con la política de seguridad más reciente TLS Cambiado el título del control, de Connections a Elasticsearch, los dominios deben cifrarse con la versión TLS 1.2 y, a continuación, las conexiones con los dominios de Elasticsearch deben cifrarse con la política de seguridad más reciente. TLS Anteriormente, el control solo comprobaba si las conexiones a los dominios de Elasticsearch utilizaban la versión 1.2. TLS El control ahora determina si los dominios de PASSED Elasticsearch están cifrados con la política de seguridad más reciente. TLS El título y la descripción del control se han actualizado para reflejar el comportamiento actual.
12 de marzo de 2024 [S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público Se cambió el título: la configuración de acceso público por bloques de S3 debe estar habilitada a los buckets de uso general de S3 si la configuración de acceso público por bloques debe estar habilitada. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.2] Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura El cambio de título de los buckets S3 debería prohibir el acceso de lectura público a los buckets de uso general de S3 y bloquear el acceso de lectura público. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.3] Los cubos de uso general de S3 deberían bloquear el acceso público de escritura El cambio de nombre de los buckets de S3 debería prohibir el acceso de escritura público a los buckets de S3 de uso general y debería bloquear el acceso de escritura público. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes de uso SSL El nombre de los buckets S3 debería requerir solicitudes de uso de Secure Socket Layer a los buckets de uso general de S3 si requieren solicitudes de uso. SSL Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS Si se ha cambiado el título de S3, los permisos concedidos a otras Cuentas de AWS políticas de bucket deberían restringirse a las políticas de bucket de uso general de S3 y deberían restringir el acceso a otras políticas Cuentas de AWS. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.7] Los buckets de uso general de S3 deberían utilizar la replicación entre regiones Se ha cambiado el título de los buckets de S3 que deben tener habilitada la replicación entre regiones a S3. Los buckets de uso general de S3 deberían usar la replicación entre regiones. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.7] Los buckets de uso general de S3 deberían utilizar la replicación entre regiones Se ha cambiado el título de los buckets de S3 que deben tener habilitada la replicación entre regiones a S3. Los buckets de uso general de S3 deberían usar la replicación entre regiones. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público Se ha cambiado el título: la configuración de acceso público por bloques de S3 debe estar habilitada en el nivel de los cubos a los buckets de uso general de S3, que deben bloquear el acceso público. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.9] Los depósitos de uso general de S3 deberían tener habilitado el registro de acceso al servidor Se cambió el título: El registro de acceso al servidor de bucket de S3 debe estar habilitado a El registro de acceso al servidor debe estar habilitado para los buckets de uso general de S3. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.10] Los depósitos de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida El nombre de los buckets de S3 con el control de versiones activado debe tener las políticas de ciclo de vida configuradas a los buckets de uso general de S3 con el control de versiones activado y debe tener configuraciones de ciclo de vida. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.11] Los buckets de uso general de S3 deberían tener habilitadas las notificaciones de eventos Se cambió el título de los buckets de S3 que deberían tener habilitadas las notificaciones de eventos a los buckets de uso general de S3 que deberían tener habilitadas las notificaciones de eventos. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3 El título cambió de listas de control de acceso de S3 (ACLs) no debe usarse para administrar el acceso de los usuarios a los buckets a no ACLs debe usarse para administrar el acceso de los usuarios a los buckets de uso general de S3. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida Se ha cambiado el título de los buckets de S3 que deben tener políticas de ciclo de vida configuradas a los buckets de uso general de S3 que deben tener configuraciones de ciclo de vida. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones Se cambió el título de los buckets de S3 que deberían usar el control de versiones a los buckets de uso general de S3 que deberían tener el control de versiones habilitado. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock Se ha cambiado el nombre de los buckets S3 que deben configurarse para usar Object Lock a los buckets de uso general de S3 que deben tener Object Lock activado. Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
12 de marzo de 2024 [S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys Se ha cambiado el título, de los depósitos de S3 deben cifrarse en reposo AWS KMS keys a los depósitos de uso general de S3. AWS KMS keys Security Hub cambió el título para dar cuenta de un nuevo tipo de bucket de S3.
7 de marzo de 2024 [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. Security Hub ahora admite nodejs20.x y ruby3.3 como parámetro.
22 de febrero de 2024 [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. Ahora Security Hub admite dotnet8 como parámetro.
5 de febrero de 2024 [EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes Security Hub actualizó la versión compatible más antigua de Kubernetes en la que se puede ejecutar el EKS clúster de Amazon para producir una conclusión válida. La versión compatible más antigua actual es Kubernetes 1.25.
10 de enero de 2024 [CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales El título modificado del repositorio fuente de Bitbucket CodeBuild GitHub o el que se URLs debe usar OAuth en el repositorio fuente de CodeBuild Bitbucket no URLs debe contener credenciales confidenciales. Security Hub eliminó la mención OAuth porque otros métodos de conexión también pueden ser seguros. Security Hub eliminó la mención GitHub porque ya no es posible tener un token de acceso personal o un nombre de usuario y una contraseña en el repositorio de GitHub origenURLs.
8 de enero de 2024 [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. Security Hub ya no admite go1.x ni java8 como parámetros porque se trata de tiempos de ejecución retirados.
29 de diciembre de 2023 [RDS.8] Las RDS instancias de base de datos deben tener habilitada la protección contra la eliminación RDS.8 comprueba si una RDS instancia de base de datos de Amazon que utiliza uno de los motores de bases de datos compatibles tiene habilitada la protección contra la eliminación. Security Hub admite ahora custom-oracle-ee, oracle-ee-cdb y oracle-se2-cdb como motores de bases de datos.
22 de diciembre de 2023 [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. Security Hub admite ahora java21 y python3.12 como parámetros. Security Hub ha dejado de admitir ruby2.7 como parámetro.
15 de diciembre de 2023 [CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado CloudFront.1 comprueba si una CloudFront distribución de Amazon tiene configurado un objeto raíz predeterminado. Security Hub redujo la severidad de este control de CRITICAL a HIGH porque agregar el objeto raíz predeterminado es una recomendación que depende de la aplicación del usuario y de los requisitos específicos.
5 de diciembre de 2023 [EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22 Se ha cambiado el título del control de Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 al puerto 22 a Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22.
5 de diciembre de 2023 [EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389 Se ha cambiado el título del control de Asegúrese de que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389 a Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389.
5 de diciembre de 2023 [RDS.9] Las RDS instancias de base de datos deben publicar los registros en Logs CloudWatch Se ha cambiado el título del control: El registro de bases de datos debe estar habilitado para que las RDS instancias de base de datos publiquen los registros en CloudWatch los registros. Security Hub identificó que este control solo comprueba si los registros se publican en Amazon CloudWatch Logs y no comprueba si RDS los registros están habilitados. El control determina si las RDS instancias de base de datos están configuradas para publicar registros en CloudWatch Logs. PASSED El título del control se ha actualizado para reflejar el comportamiento actual.
5 de diciembre de 2023 [EKS.8] EKS los clústeres deben tener habilitado el registro de auditoría Este control comprueba si los EKS clústeres de Amazon tienen activado el registro de auditoría. La AWS Config regla que utiliza Security Hub para evaluar este control cambió de eks-cluster-logging-enabled aeks-cluster-log-enabled.
17 de noviembre de 2023 [EC2.19] Los grupos de seguridad no deberían permitir el acceso sin restricciones a los puertos de alto riesgo EC2.19 comprueba si el tráfico entrante sin restricciones de un grupo de seguridad es accesible desde los puertos especificados que se consideran de alto riesgo. Security Hub ha actualizado este control para tener en cuenta las listas de prefijos administrados cuando se proporcionan como origen de una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.
16 de noviembre de 2023 [CloudWatch.15] CloudWatch las alarmas deben tener configuradas las acciones especificadas Se cambió el título del control: CloudWatch las alarmas deberían tener una acción configurada para el ALARM estado a las CloudWatch alarmas deberían tener configuradas las acciones especificadas.
16 de noviembre de 2023 [CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico El título de control modificado de los grupos de CloudWatch registros debe conservarse durante al menos 1 año a los grupos de CloudWatch registros durante un período de tiempo específico.
16 de noviembre de 2023 [Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad Se cambió el título del control: las funciones de VPC Lambda deberían funcionar en más de una zona de disponibilidad a las funciones de VPC Lambda deberían funcionar en varias zonas de disponibilidad.
16 de noviembre de 2023 [AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo Se ha cambiado el título de control de AWS AppSync debe tener activado el registro a nivel de solicitud y a nivel de campo a AWS AppSync debe tener habilitado el registro a nivel de campo.
16 de noviembre de 2023 [EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas Se cambió el título de control de los nodos maestros del MapReduce clúster de Amazon Elastic no deberían tener direcciones IP públicas a los nodos principales del EMR clúster de Amazon que no deberían tener direcciones IP públicas.
16 de noviembre de 2023 Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público El título de control modificado de OpenSearch los dominios debe estar en VPC a OpenSearch Los dominios no deben ser de acceso público.
16 de noviembre de 2023 [ES.2] Los dominios de Elasticsearch no deben ser de acceso público El título de control modificado de los dominios de Elasticsearch debe estar en VPC a Los dominios de Elasticsearch no deben ser de acceso público.
31 de octubre de 2023 [ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros ES.4 comprueba si los dominios de Elasticsearch están configurados para enviar registros de errores a Amazon Logs. CloudWatch Anteriormente, el control PASSED encontró un dominio de Elasticsearch que tenía todos los registros configurados para enviarlos a Logs. CloudWatch Security Hub actualizó el control para producir una PASSED búsqueda solo para un dominio de Elasticsearch que esté configurado para enviar registros de errores a Logs. CloudWatch El control también se actualizó para excluir de la evaluación versiones de Elasticsearch que no admiten registros de errores.
16 de octubre de 2023 [EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22 EC2La versión .13 comprueba si los grupos de seguridad permiten el acceso sin restricciones al puerto 22. Security Hub ha actualizado este control para tener en cuenta las listas de prefijos administrados cuando se proporcionan como origen de una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.
16 de octubre de 2023 [EC2.14] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389 EC2.14 comprueba si los grupos de seguridad permiten el acceso de entrada sin restricciones al puerto 3389. Security Hub ha actualizado este control para tener en cuenta las listas de prefijos administrados cuando se proporcionan como origen de una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.
16 de octubre de 2023 [EC2.18] Los grupos de seguridad solo deberían permitir el tráfico entrante sin restricciones en los puertos autorizados EC2.18 comprueba si los grupos de seguridad que se utilizan permiten el tráfico entrante sin restricciones. Security Hub ha actualizado este control para tener en cuenta las listas de prefijos administrados cuando se proporcionan como origen de una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”.
16 de octubre de 2023 [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. Ahora Security Hub admite python3.11 como parámetro.
4 de octubre de 2023 [S3.7] Los buckets de uso general de S3 deberían utilizar la replicación entre regiones Security Hub agregó el parámetro ReplicationType con un valor CROSS-REGION para garantizar que los buckets de S3 tengan habilitada la replicación entre regiones en lugar de la replicación en la misma región.
27 de septiembre de 2023 [EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes Security Hub actualizó la versión compatible más antigua de Kubernetes en la que se puede ejecutar el EKS clúster de Amazon para producir una conclusión válida. La versión compatible más antigua actual es Kubernetes 1.24.
20 de septiembre de 2023 CloudFront.2 — CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen Security Hub ha retirado este control y lo ha eliminado de todos los estándares. En su lugar, consulte [CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen. El control de acceso de Origin es la mejor práctica de seguridad actual. Este control se eliminará de la documentación en 90 días.
20 de septiembre de 2023 [EC2.22] Los grupos de EC2 seguridad de Amazon no utilizados deberían eliminarse Security Hub eliminó este control de AWS Foundational Security Best Practices (FSBP) y del National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Sigue formando parte del estándar de gestión de servicios:. AWS Control Tower Este control produce una comprobación válida si los grupos de seguridad están conectados a EC2 instancias o a una interface de red elástica. Sin embargo, en algunos casos de uso, los grupos de seguridad independientes no representan un riesgo para la seguridad. Puede usar otros EC2 controles, como EC2 .2, EC2 .13, EC2 .14, EC2 .18 y EC2 .19, para monitorear sus grupos de seguridad.
20 de septiembre de 2023 EC2.29: las instancias deben lanzarse en un EC2 VPC Security Hub ha retirado este control y lo ha eliminado de todos los estándares. Amazon EC2 ha EC2 migrado las instancias clásicas a unVPC. Este control se eliminará de la documentación en 90 días.
20 de septiembre de 2023 S3.4: los buckets de S3 deben tener habilitado el cifrado del lado del servidor Security Hub ha retirado este control y lo ha eliminado de todos los estándares. Amazon S3 ahora ofrece cifrado predeterminado con claves administradas de S3 (SS3-S3) en buckets S3 nuevos y existentes. La configuración de cifrado no ha cambiado para los buckets existentes que se cifran con cifrado SS3 -S3 o SS3 - del lado del servidor. KMS Este control se eliminará de la documentación en 90 días.
14 de septiembre de 2023 [EC2.2] Los grupos de seguridad VPC predeterminados no deberían permitir el tráfico entrante o saliente Se ha cambiado el título del control: El grupo de seguridad VPC predeterminado no debe permitir el tráfico entrante y saliente a Los grupos de seguridad VPC predeterminados no deben permitir el tráfico entrante o saliente.
14 de septiembre de 2023 [IAM.9] MFA debe estar activado para el usuario root El título del control cambiado de Virtual MFA debe estar habilitado para el usuario root y MFAdebe estar habilitado para el usuario root.

14 de septiembre de 2023

[RDS.19] Las suscripciones de notificación de RDS eventos existentes deben configurarse para los eventos críticos del clúster Se ha cambiado el título del control: Una suscripción a las notificaciones de RDS eventos debe configurarse para los eventos críticos del clúster a las suscripciones de notificaciones de RDS eventos existentes, que deben configurarse para los eventos críticos del clúster.
14 de septiembre de 2023 [RDS.20] Las suscripciones de notificaciones de RDS eventos existentes deben configurarse para eventos críticos de instancias de bases de datos El título del control pasó de Una suscripción a notificaciones de RDS eventos debe configurarse para eventos críticos de instancias de bases de datos a suscripciones de notificaciones de RDS eventos existentes que deben configurarse para eventos críticos de instancias de bases de datos.
14 de septiembre de 2023 [WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición El cambio del título de control de una regla WAF regional debe tener al menos una condición a que las reglas regionales AWS WAF clásicas deben tener al menos una condición.
14 de septiembre de 2023 [WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla Cambiado el título de control de un grupo de reglas WAF regionales debe tener al menos una regla a los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla.
14 de septiembre de 2023 [WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas El título del control cambiado de una web WAF regional ACL debe tener al menos una regla o grupo de reglas a una web regional AWS WAF clásica que ACLs debe tener al menos una regla o grupo de reglas.
14 de septiembre de 2023 [WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición Se ha cambiado el título del control de una regla WAF global que debe tener al menos una condición a que las reglas globales AWS WAF clásicas deben tener al menos una condición.
14 de septiembre de 2023 [WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla Se cambió el título del control de Un grupo de reglas WAF globales debe tener al menos una regla a Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla.
14 de septiembre de 2023 [WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas Se ha cambiado el título del control de Una web WAF global que ACL debe tener al menos una regla o grupo de reglas a una web global AWS WAF clásica que ACLs debe tener al menos una regla o grupo de reglas.
14 de septiembre de 2023 [WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas El título del control cambiado de A WAFv2 web ACL debe tener al menos una regla o grupo de reglas a AWS WAF web ACLs debe tener al menos una regla o grupo de reglas.
14 de septiembre de 2023 [WAF.11] AWS WAF el ACL registro web debe estar habilitado El título de control modificado, de AWS WAF la versión 2 del ACL registro web debe estar activado a la versión 2, debe estar activado el ACL registro AWS WAF web.

20 de julio de 2023

S3.4: los buckets de S3 deben tener habilitado el cifrado del lado del servidor S3.4 comprueba si el bucket de Amazon S3 tiene habilitado el cifrado del lado del servidor o que la política de bucket de S3 deniega explícitamente las solicitudes PutObject sin cifrado del lado del servidor. Security Hub actualizó este control para incluir el cifrado de doble capa del lado del servidor con KMS claves (DSSE-KMS). El control produce un resultado válido cuando un bucket de S3 se cifra con SSE -S3KMS, SSE - o DSSE -. KMS
17 de julio de 2023 [S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys S3.17 comprueba si un bucket de Amazon S3 está cifrado con un AWS KMS key. Security Hub actualizó este control para incluir el cifrado de doble capa del lado del servidor con KMS claves (DSSE-KMS). El control produce un resultado válido cuando un bucket de S3 se cifra con SSE - KMS o DSSE -KMS.
9 de junio de 2023 [EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes EKS.2 comprueba si un EKS clúster de Amazon se está ejecutando en una versión compatible de Kubernetes. La versión compatible más antigua es ahora. 1.23
9 de junio de 2023 [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. Ahora Security Hub admite ruby3.2 como parámetro.
5 de junio de 2023 [APIGateway.5] Los datos de la REST API caché de API Gateway deben cifrarse en reposo APIGateway.5. Comprueba si todos los métodos de las REST API etapas de Amazon API Gateway están cifrados en reposo. Security Hub actualizó el control para evaluar el cifrado de un método en particular solo cuando el almacenamiento en caché está habilitado para ese método.
18 de mayo de 2023 [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. Ahora Security Hub admite java17 como parámetro.
18 de mayo de 2023 [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. Security Hub ha dejado de admitir nodejs12.x como parámetro.
23 de abril de 2023 [ECS.10] Los servicios de ECS Fargate deberían ejecutarse en la última versión de la plataforma Fargate ECS.10 comprueba si los servicios de Amazon ECS Fargate utilizan la versión más reciente de la plataforma Fargate. Los clientes pueden implementar Amazon ECS ECS directamente o mediante CodeDeploy. Security Hub actualizó este control para generar resultados aprobados cuando se utilizan CodeDeploy para implementar los servicios de ECS Fargate.
20 de abril de 2023 [S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS El S3.6 comprueba si una política de bucket de Amazon Simple Storage Service (Amazon S3) impide que los directores de Cuentas de AWS otras entidades realicen acciones denegadas en los recursos del bucket de S3. Security Hub actualizó el control para tener en cuenta los condicionales de una política de bucket.
18 de abril de 2023 [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. Ahora Security Hub admite python3.10 como parámetro.
18 de abril de 2023 [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos Lambda.2 comprueba si la configuración de la AWS Lambda función para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada idioma. Security Hub ha dejado de admitir dotnetcore3.1 como parámetro.
17 de abril de 2023 [RDS.11] las RDS instancias deben tener habilitadas las copias de seguridad automáticas RDS.11 comprueba si RDS las instancias de Amazon tienen habilitadas las copias de seguridad automáticas, con un período de retención de las copias de seguridad superior o igual a siete días. Security Hub actualizó este control para excluir las réplicas de lectura de la evaluación, ya que no todos los motores admiten copias de seguridad automatizadas en las réplicas de lectura. Además, RDS no ofrece la opción de especificar un período de retención de las copias de seguridad al crear réplicas de lectura. Las réplicas de lectura se crean con un periodo de retención predeterminado de la copia de seguridad de 0.