Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWSEstándar fundamental de mejores prácticas de seguridad en Security Hub (CSPM)
Desarrollado por profesionales de la industria AWS y desarrollado por profesionales del sector, el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) es una recopilación de las mejores prácticas de seguridad para organizaciones, independientemente del sector o tamaño de la organización. Proporciona un conjunto de controles que detectan cuándo Cuentas de AWS y los recursos se desvían de las mejores prácticas de seguridad. También ofrece directrices prescriptivas sobre cómo mejorar y mantener la posición de seguridad de la organización.
En AWS Security Hub CSPM, el estándar de mejores prácticas de seguridad AWS fundamentales incluye controles que evalúan continuamente sus cargas de trabajo y las de usted, Cuentas de AWS y lo ayudan a identificar las áreas que se desvían de las mejores prácticas de seguridad. Los controles incluyen las mejores prácticas de seguridad para los recursos de varios Servicios de AWS. A cada control se le asigna una categoría que refleja la función de seguridad a la que se aplica el control. Para ver la lista de categorías y obtener más detalles, consulte Categorías de controles.
Controles que se aplican al estándar
La siguiente lista especifica qué controles CSPM de AWS Security Hub se aplican al estándar AWS Foundational Security Best Practices (v1.0.0). Para revisar los detalles de un control, seleccione el control.
[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS
[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado
[APIGateway.3] Las etapas de la API REST de API Gateway deberían tenerAWS X-Rayrastreo activado
[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF
[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
[APIGateway.10] Las integraciones de API Gateway V2 deben usar HTTPS para las conexiones privadas
[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo
[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito
[Athena.4] Los grupos de trabajo de Athena deberían tener habilitado el registro
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación
[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo
[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada
[CloudTrail.5] los CloudTrail senderos deben estar integrados con Amazon CloudWatch Logs
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección de eliminación
[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
[DataSync.1] DataSync las tareas deberían tener el registro activado
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
[DMS.9] Los puntos finales del DMS deben usar SSL
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito
[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación puntual
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
[DynamoDB.6] Las tablas de DynamoDB deben tener habilitada la protección de eliminación
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC
[EC2.7] El cifrado predeterminado de EBS debe estar habilitado
[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección IPv4 pública
[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas
[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas
[EC2.17] Las instancias de Amazon EC2 no deben usar varios ENI
[EC2.20] Ambos túneles VPN para unAWSSite-to-Site La conexión VPN debería estar activa
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
[EC2.55] Las VPC deben configurarse con un punto final de interfaz para la API de ECR
[EC2.56] Las VPC deben configurarse con un punto final de interfaz para Docker Registry
[EC2.57] Las VPC deben configurarse con un punto final de interfaz para Systems Manager
[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado
[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación
[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
[ECS.4] Los contenedores ECS deben ejecutarse sin privilegios
[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
[ECS.12] Los clústeres de ECS deben usar Container Insights
[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
[EFS.7] Los sistemas de archivos EFS deben tener habilitadas las copias de seguridad automáticas
[EFS.8] Los sistemas de archivos EFS deben estar cifrados en reposo
[EKS.1] Los puntos finales del clúster EKS no deben ser de acceso público
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
[EKS.9] Los grupos de nodos de EKS deberían ejecutarse en una versión compatible de Kubernetes
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS
[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos
[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado
[ELB.7] Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
[ES.1] Los dominios de Elasticsearch deben tener activado el cifrado en reposo
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
[FSx.3] FSx para sistemas de archivos OpenZFS debe configurarse para su implementación Multi-AZ
[FSx.4] FSx para sistemas de archivos NetApp ONTAP debe configurarse para su implementación Multi-AZ
[Glue.3]AWS GlueLas transformaciones de aprendizaje automático deben cifrarse en reposo
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
[GuardDuty.1] GuardDuty debería estar activado
[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada
[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado
[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado
[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado
[KMS.3]AWS KMS keysno se debe eliminar involuntariamente
[KMS.5] Las claves KMS no deben ser de acceso público
[Lambda.1] Las políticas de funciones Lambda deberían prohibir el acceso público
[Lambda.2] Las funciones Lambda deben utilizar tiempos de ejecución compatibles
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
[Macie.1] Amazon Macie debería estar activado
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito
[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado
[MSK.5] Los conectores MSK deben tener el registro activado
[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
[RDS.1] La instantánea de RDS debe ser privada
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
[RDS.4] Las instantáneas de clústeres y bases de datos de RDS deben cifrarse cuando están inactivas
[RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad
[RDS.6] Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS
[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra la eliminación
[RDS.9] Las instancias de base de datos de RDS deben publicar registros en Logs CloudWatch
[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS
[RDS.11] Las instancias RDS deben tener habilitadas las copias de seguridad automáticas
[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS
[RDS.13] Las actualizaciones automáticas de las versiones secundarias de RDS deben estar habilitadas
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
[RDS.23] Las instancias de RDS no deben usar el puerto predeterminado de un motor de base de datos
[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo
[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse durante el tránsito
[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones
[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito
[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito
[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas
[Redshift.4] Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas
[S3.2] Los buckets de uso general de S3 deberían bloquear el acceso público de lectura
[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso de escritura público
[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
[S3.9] Los depósitos de uso general de S3 deben tener habilitado el registro de acceso al servidor
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
[S3.19] Los puntos de acceso S3 deben tener habilitada la configuración de bloqueo de acceso público
[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red
[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles
[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público
[SQS.1] Las colas de Amazon SQS deben cifrarse en reposo
[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público
[SSM.1] Las instancias de Amazon EC2 deben administrarse medianteAWS Systems Manager
[SSM.4] Los documentos SSM no deben ser públicos
[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch
[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
[WAF.2]AWS WAFLas reglas regionales clásicas deben tener al menos una condición
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
[WAF.4]AWS WAFLas ACL web regionales clásicas deben tener al menos una regla o grupo de reglas
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
[WAF.12]AWS WAFlas reglas deben tener CloudWatch las métricas habilitadas
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo