View a markdown version of this page

AWSEstándar fundamental de mejores prácticas de seguridad en Security Hub (CSPM) - AWSSecurity Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSEstándar fundamental de mejores prácticas de seguridad en Security Hub (CSPM)

Desarrollado por profesionales de la industria AWS y desarrollado por profesionales del sector, el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) es una recopilación de las mejores prácticas de seguridad para organizaciones, independientemente del sector o tamaño de la organización. Proporciona un conjunto de controles que detectan cuándo Cuentas de AWS y los recursos se desvían de las mejores prácticas de seguridad. También ofrece directrices prescriptivas sobre cómo mejorar y mantener la posición de seguridad de la organización.

En AWS Security Hub CSPM, el estándar de mejores prácticas de seguridad AWS fundamentales incluye controles que evalúan continuamente sus cargas de trabajo y las de usted, Cuentas de AWS y lo ayudan a identificar las áreas que se desvían de las mejores prácticas de seguridad. Los controles incluyen las mejores prácticas de seguridad para los recursos de varios Servicios de AWS. A cada control se le asigna una categoría que refleja la función de seguridad a la que se aplica el control. Para ver la lista de categorías y obtener más detalles, consulte Categorías de controles.

Controles que se aplican al estándar

La siguiente lista especifica qué controles CSPM de AWS Security Hub se aplican al estándar AWS Foundational Security Best Practices (v1.0.0). Para revisar los detalles de un control, seleccione el control.

[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS

[ACM.1] ACM-issued Los certificados importados y renovados deben renovarse después de un período de tiempo específico

[ACM.2] Los certificados RSA gestionados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado

[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end

[APIGateway.3] Las etapas de la API REST de API Gateway deberían tenerAWS X-Rayrastreo activado

[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF

[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo

[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

[APIGateway.10] Las integraciones de API Gateway V2 deben usar HTTPS para las conexiones privadas

[APIGateway.11] Los nombres de dominio de API Gateway deben usar las políticas de seguridad recomendadas

[AppSync.1]AWS AppSyncLas cachés de las API deben estar cifradas en reposo

[AppSync.2]AWS AppSyncdebe tener habilitado el registro a nivel de campo

[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API

[AppSync.6]AWS AppSyncLas cachés de las API deben cifrarse en tránsito

[Athena.4] Los grupos de trabajo de Athena deberían tener habilitado el registro

[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar comprobaciones de estado del ELB

[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las instancias EC2 para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)

[Autoscaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad

[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deben utilizar las plantillas de lanzamiento de Amazon EC2

[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo

[BedrockAgentCore.1] Los AgentCore tiempos de ejecución de Bedrock deben configurarse con el modo de red VPC

[BedrockAgentCore.2] Bedrock AgentCore Gateways debería requerir autorización para las solicitudes entrantes

[BedrockAgentCore.5] Los navegadores AgentCore personalizados de Bedrock no deberían usar el modo de red pública

[BedrockAgentCore.6] Los navegadores AgentCore personalizados de Bedrock deberían tener habilitada la grabación de sesiones

[CloudFormation.3] las CloudFormation pilas deben tener habilitada la protección de terminación

[CloudFormation.4] las CloudFormation pilas deben tener funciones de servicio asociadas

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deben tener WAF activado

[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS

[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada

[CloudFront.16] CloudFront las distribuciones deben usar el control de acceso de origen para los orígenes de URL de la función Lambda

[CloudFront.17] CloudFront las distribuciones deben utilizar grupos de claves de confianza para las URL y cookies firmadas

[CloudTrail.1] CloudTrail debe estar habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] los CloudTrail senderos deben estar integrados con Amazon CloudWatch Logs

[CodeBuild.1] Las URL del repositorio fuente de CodeBuild Bitbucket no deben contener credenciales confidenciales

[CodeBuild.2] las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[Cognito.2] Los grupos de identidades de Cognito no deberían permitir identidades no autenticadas

[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas

[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada

[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito

[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección de eliminación

[Config.1]AWS Configdebe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[Connect.2] Las instancias de Connect Customer deben tener el CloudWatch registro habilitado

[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo

[DataSync.1] DataSync las tareas deberían tener el registro activado

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] Las tareas de replicación del DMS para la base de datos de destino deben tener el registro habilitado

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener el registro activado

[DMS.9] Los puntos finales del DMS deben usar SSL

[DMS.10] Los puntos finales de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado

[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado

[DMS.13] Las instancias de replicación de DMS deben configurarse para usar varias zonas de disponibilidad

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDB.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDB.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDB.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DocumentDB.6] Los clústeres de Amazon DocumentDB deben cifrarse en tránsito

[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación puntual

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.6] Las tablas de DynamoDB deben tener habilitada la protección de eliminación

[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito

[EC2.1] Las instantáneas de Amazon EBS no deben configurarse para que se puedan restaurar públicamente

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante o saliente

[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo

[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar habilitado

[EC2.8] Las instancias EC2 deben utilizar la versión 2 del servicio de metadatos de instancia (IMDSv2)

[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección IPv4 pública

[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2

[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

[EC2.17] Las instancias de Amazon EC2 no deben usar varios ENI

[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.19] Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo

[EC2.20] Ambos túneles VPN para unAWSSite-to-Site La conexión VPN debería estar activa

[EC2.21] Las ACL de red no deberían permitir la entrada desde la versión 0.0.0. 0/0 al puerto 22 o al puerto 3389

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar direcciones IP públicas a las interfaces de red

[EC2.51] Los puntos finales EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.55] Las VPC deben configurarse con un punto final de interfaz para la API de ECR

[EC2.56] Las VPC deben configurarse con un punto final de interfaz para Docker Registry

[EC2.57] Las VPC deben configurarse con un punto final de interfaz para Systems Manager

[EC2.58] Las VPC deben configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] Las VPC deben configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar la versión 2 del servicio de metadatos de instancias (IMDSv2)

[EC2.171] Las conexiones VPN de EC2 deberían tener el registro habilitado

[EC2.172] La configuración de acceso público del bloque de VPC de EC2 debería bloquear el tráfico de la puerta de enlace de Internet

[EC2.173] Las solicitudes de EC2 Spot Fleet con parámetros de lanzamiento deberían permitir el cifrado de los volúmenes de EBS adjuntos

[EC2.180] Las interfaces de red EC2 deberían tener habilitada source/destination la verificación

[EC2.181] Las plantillas de lanzamiento de EC2 deberían permitir el cifrado de los volúmenes de EBS adjuntos

[EC2.182] La configuración de bloqueo de acceso público debe estar habilitada para las instantáneas de Amazon EBS

[EC2.183] Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2

[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes

[ECR.2] Los repositorios privados de ECR deberían tener configurada la inmutabilidad de las etiquetas

[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host

[ECS.4] Los contenedores ECS deben ejecutarse sin privilegios

[ECS.5] Las definiciones de tareas de ECS deben configurar los contenedores para que se limiten al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores

[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro

[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben usar Container Insights

[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas

[ECS.18] Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS

[ECS.19] Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada

[ECS.20] Las definiciones de tareas de ECS deben configurar a los usuarios no root en las definiciones de contenedores de Linux

[ECS.21] Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo medianteAWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EFS.6] Los destinos de montaje de EFS no deben asociarse a subredes que asignen direcciones IP públicas en el momento del lanzamiento

[EFS.7] Los sistemas de archivos EFS deben tener habilitadas las copias de seguridad automáticas

[EFS.8] Los sistemas de archivos EFS deben estar cifrados en reposo

[EKS.1] Los puntos finales del clúster EKS no deben ser de acceso público

[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes

[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados

[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría

[EKS.9] Los grupos de nodos de EKS deberían ejecutarse en una versión compatible de Kubernetes

[ElastiCache.1] ElastiCache (Redis OSS) los clústeres deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.2] ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias

[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática

[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] ElastiCache (Redis OSS) Los grupos de replicación de versiones anteriores deberían tener habilitada la autenticación de Redis OSS

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

[ELB.2] Los balanceadores de carga clásicos con SSL/HTTPS oyentes deben usar un certificado proporcionado porAWS Certificate Manager

[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos

[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado

[ELB.6] Los balanceadores de carga de aplicaciones, puertas de enlace y redes deben tener habilitada la protección contra eliminaciones

[ELB.7] Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones

[ELB.8] Los balanceadores de carga clásicos con detectores de SSL deben usar una política de seguridad predefinida que sea sólidaAWS ConfigDuración

[ELB.9] Los balanceadores de carga clásicos deberían tener activado el balanceo de cargas entre zonas

[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad

[ELB.12] Application Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.13] Los balanceadores de carga de aplicaciones, redes y pasarelas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] El Load Balancer clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.17] Los balanceadores de carga de redes y aplicaciones que utilizan dispositivos de escucha deben usar las políticas de seguridad recomendadas

[ELB.18] Los oyentes de Application y Network Load Balancer deben utilizar protocolos seguros para cifrar los datos en tránsito

[ELB.21] Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados

[ELB.22] Los grupos objetivo del ELB deben usar protocolos de transporte cifrados

[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas

[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada

[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo

[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito

[ES.1] Los dominios de Elasticsearch deben tener activado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch

[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría

[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos

[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados

[ES.8] Las conexiones a los dominios de Elasticsearch deben cifrarse con la política de seguridad TLS más reciente

[EventBridge.3] los autobuses de eventos EventBridge personalizados deben tener adjunta una política basada en los recursos

[FSx.1] FSx para sistemas de archivos OpenZFS debe configurarse para copiar etiquetas en copias de seguridad y volúmenes

[FSx.2] Los sistemas de archivos FSx for Lustre deben configurarse para copiar etiquetas a las copias de seguridad

[FSx.3] FSx para sistemas de archivos OpenZFS debe configurarse para su implementación Multi-AZ

[FSx.4] FSx para sistemas de archivos NetApp ONTAP debe configurarse para su implementación Multi-AZ

[FSx.5] Los sistemas de archivos FSx for Windows File Server deben configurarse para Multi-AZ su implementación

[Glue.3]AWS GlueLas transformaciones de aprendizaje automático deben cifrarse en reposo

[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue

[GuardDuty.1] GuardDuty debería estar activado

[GuardDuty.5] La monitorización del registro de auditoría de GuardDuty EKS debe estar habilitada

[GuardDuty.6] GuardDuty La protección Lambda debe estar habilitada

[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada

[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada

[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada

[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada

[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada

[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada

[GuardDuty.13] La monitorización del tiempo de ejecución de GuardDuty EC2 debe estar habilitada

[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»

[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] La MFA debe estar habilitada para todos los usuarios de IAM que tengan una contraseña de consola

[IAM.6] La MFA de hardware debe estar habilitada para el usuario root

[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas

[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas

[IAM.21] Las políticas de IAM gestionadas por el cliente que cree no deberían permitir acciones comodín en los servicios

[Inspector.1] El escaneo EC2 de Amazon Inspector debe estar activado

[Inspector.2] El escaneo ECR de Amazon Inspector debe estar activado

[Inspector.3] El escaneo de código Lambda de Amazon Inspector Lambda debe estar activado

[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado

[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

[Kinesis.3] Las transmisiones de Kinesis deben tener un período de retención de datos adecuado

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[KMS.3]AWS KMS keysno se debe eliminar involuntariamente

[KMS.5] Las claves KMS no deben ser de acceso público

[Lambda.1] Las políticas de funciones Lambda deberían prohibir el acceso público

[Lambda.2] Las funciones Lambda deben utilizar tiempos de ejecución compatibles

[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad

[Macie.1] Amazon Macie debería estar activado

[Macie.2] La detección automática de datos confidenciales por parte de Macie debería estar habilitada

[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch

[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[MSK.4] Los clústeres de MSK deben tener el acceso público deshabilitado

[MSK.5] Los conectores MSK deben tener el registro activado

[MSK.6] Los clústeres de MSK deberían deshabilitar el acceso no autenticado

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección contra eliminación

[Neptune.5] Los clústeres de Neptune DB deberían tener habilitadas las copias de seguridad automatizadas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

[Neptune.8] Los clústeres de bases de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío

[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación

[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred

[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo

[Opensearch.2] OpenSearch los dominios no deben ser de acceso público

[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos

[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch

[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría

[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos

[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse con la última política de seguridad de TLS

[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software

[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada

[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS

[RDS.1] La instantánea de RDS debe ser privada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

[RDS.4] Las instantáneas de clústeres y bases de datos de RDS deben cifrarse cuando están inactivas

[RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad

[RDS.6] Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS

[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra la eliminación

[RDS.8] Las instancias de base de datos de RDS deben tener habilitada la protección contra la eliminación

[RDS.9] Las instancias de base de datos de RDS deben publicar registros en Logs CloudWatch

[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

[RDS.11] Las instancias RDS deben tener habilitadas las copias de seguridad automáticas

[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

[RDS.13] Las actualizaciones automáticas de las versiones secundarias de RDS deben estar habilitadas

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso

[RDS.15] Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad

[RDS.16] Los clústeres de bases de datos Aurora deben configurarse para copiar etiquetas a las instantáneas de bases de datos

[RDS.17] Las instancias de base de datos de RDS deben configurarse para copiar etiquetas a las instantáneas

[RDS.19] Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos del clúster

[RDS.20] Las suscripciones de notificación de eventos de RDS existentes deben configurarse para eventos críticos de instancias de bases de datos

[RDS.21] Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de parámetros de bases de datos

[RDS.22] Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de seguridad de bases de datos

[RDS.23] Las instancias de RDS no deben usar el puerto predeterminado de un motor de base de datos

[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado

[RDS.25] Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado

[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo

[RDS.34] Los clústeres de bases de datos Aurora MySQL deben publicar los registros de auditoría en CloudWatch Logs

[RDS.35] Los clústeres de bases de datos de RDS deben tener habilitada la actualización automática de las versiones secundarias

[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deberían publicar registros en Logs CloudWatch

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

[RDS.40] Las instancias de base de datos de RDS para SQL Server deberían publicar los registros en Logs CloudWatch

[RDS.41] Las instancias de base de datos de RDS para SQL Server deben cifrarse durante el tránsito

[RDS.42] Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch

[RDS.43] Los proxies de base de datos de RDS deberían requerir el cifrado TLS para las conexiones

[RDS.44] El RDS para las instancias de base de datos MariaDB debe cifrarse en tránsito

[RDS.45] Los clústeres de bases de datos Aurora MySQL deben tener habilitado el registro de auditoría

[RDS.46] Las instancias de base de datos RDS no deben implementarse en subredes públicas con rutas a puertas de enlace de Internet

[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben configurarse para copiar etiquetas en instantáneas de bases de datos

[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben configurarse para copiar etiquetas en instantáneas de bases de datos

[RDS.50] Los clústeres de bases de datos de RDS deberían tener establecido un período de retención de copias de seguridad suficiente

[RDS.51] Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito

[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

[Redshift.4] Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría

[Redshift.6] Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado

[Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos

[Redshift.18] Los clústeres de Redshift deberían tener Multi-AZ las implementaciones habilitadas

[RedshiftServerless.1] Los grupos de trabajo sin servidor de Amazon Redshift deberían utilizar un enrutamiento de VPC mejorado

[RedshiftServerless.2] Las conexiones a los grupos de trabajo sin servidor de Redshift deberían ser obligatorias para usar SSL

[RedshiftServerless.3] Los grupos de trabajo sin servidor de Redshift deberían prohibir el acceso público

[RedshiftServerless.5] Los espacios de nombres Redshift Serverless no deben usar el nombre de usuario de administrador predeterminado

[RedshiftServerless.6] Los espacios de nombres Redshift Serverless deberían exportar los registros a los registros CloudWatch

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

[S3.2] Los buckets de uso general de S3 deberían bloquear el acceso público de lectura

[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso de escritura público

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL

[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otrosCuentas de AWS

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

[S3.9] Los depósitos de uso general de S3 deben tener habilitado el registro de acceso al servidor

[S3.12] Las ACL no deben usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3

[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida

[S3.19] Los puntos de acceso S3 deben tener habilitada la configuración de bloqueo de acceso público

[S3.24] Los puntos de Multi-Region acceso S3 deben tener habilitada la configuración de bloqueo de acceso público

[S3.25] Los depósitos de directorio S3 deben tener configuraciones de ciclo de vida

[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet

[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook

[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1

[SageMaker.5] SageMaker los modelos deben tener habilitado el aislamiento de red

[SageMaker.8] las instancias de SageMaker notebook deberían ejecutarse en plataformas compatibles

[SageMaker.9] Las definiciones de puestos relacionados con la calidad de los SageMaker datos deberían tener habilitado el cifrado del tráfico entre contenedores

[SageMaker.10] Las definiciones de tareas de explicabilidad del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores

[SageMaker.11] las definiciones de tareas relacionadas con la calidad de SageMaker los datos deben tener habilitado el aislamiento de la red

[SageMaker.12] las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el aislamiento de la red

[SageMaker.13] las definiciones de trabajos con calidad de SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores

[SageMaker.14] los cronogramas de SageMaker monitoreo deben tener habilitado el aislamiento de la red

[SageMaker.15] Las definiciones de tareas basadas en el sesgo del SageMaker modelo deberían tener habilitado el cifrado del tráfico entre contenedores

[SageMaker.16] SageMaker los modelos deben usar un registro privado en la VPC para los contenedores principales

[SageMaker.17] las tiendas fuera de línea del grupo SageMaker de características deben cifrarse conAWS KMSclaves

[SageMaker.19] SageMaker los modelos deberían usar un registro privado en la VPC para las canalizaciones de inferencia de varios contenedores

[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática

[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían girar correctamente

[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

[ServiceCatalog.1] Las carteras de Service Catalog deben compartirse dentro de unAWSsolo una organización

[SES.3] Los conjuntos de configuración de SES deben tener el TLS habilitado para enviar correos electrónicos

[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público

[SQS.1] Las colas de Amazon SQS deben cifrarse en reposo

[SQS.3] Las políticas de acceso a las colas de SQS no deberían permitir el acceso público

[SSM.1] Las instancias de Amazon EC2 deben administrarse medianteAWS Systems Manager

[SSM.2] Las instancias de Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad con los parches de CONFORMIDAD CON LOS PARCHES tras la instalación de un parche

[SSM.3] Las instancias de Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT

[SSM.4] Los documentos SSM no deben ser públicos

[SSM.6] SSM Automation debería tener el registro habilitado CloudWatch

[SSM.7] Los documentos SSM deben tener habilitada la configuración de bloqueo para compartir en público

[StepFunctions.1] Step Functions indica que las máquinas deben tener el registro activado

[Transfer.2] Los servidores Transfer Family no deben usar el protocolo FTP para la conexión de puntos finales

[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro

[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado

[WAF.2]AWS WAFLas reglas regionales clásicas deben tener al menos una condición

[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla

[WAF.4]AWS WAFLas ACL web regionales clásicas deben tener al menos una regla o grupo de reglas

[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición

[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla

[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas

[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas

[WAF.12]AWS WAFlas reglas deben tener CloudWatch las métricas habilitadas

[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo

[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo