AWS Estándar básico de mejores prácticas de seguridad v1.0.0 (FSBP) - AWS Security Hub

Controles que se aplican al estándar FSBP

AWS Estándar básico de mejores prácticas de seguridad v1.0.0 (FSBP)

El estándar AWS fundamental de mejores prácticas de seguridad es un conjunto de controles que detectan cuándo usted Cuentas de AWS y sus recursos se desvían de las mejores prácticas de seguridad.

El estándar le permite evaluar continuamente todas sus cargas de trabajo Cuentas de AWS y las de trabajo para identificar rápidamente las áreas en las que se desvían de las mejores prácticas. Proporciona orientación práctica y normativa sobre cómo mejorar y mantener la política de seguridad de su organización.

Los controles incluyen las mejores prácticas de seguridad para los recursos de varios Servicios de AWS. A cada control también se le asigna una categoría que refleja la característica de seguridad a la que se aplica. Para obtener más información, consulte Lista de categorías de control en Security Hub.

Controles que se aplican al estándar FSBP

[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

[ACM.2] RSA los certificados gestionados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[APIGateway.1] La API puerta de enlace REST y el registro de WebSocket API ejecuciones deben estar habilitados

[APIGateway.2] REST API Las etapas de la API puerta de enlace deben configurarse para usar SSL certificados para la autenticación de fondo

[APIGateway.3] REST API Las etapas de API Gateway deben tener habilitado el AWS X-Ray rastreo

[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL

[APIGateway.5] Los datos de la REST API caché de API Gateway deben cifrarse en reposo

[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2

[AppSync.1] las AWS AppSync API cachés deben cifrarse en reposo

[AppSync.2] AWS AppSync debe tener activado el registro a nivel de campo

[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves API

[AppSync.6] AWS AppSync API Las cachés deben cifrarse en tránsito

[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado

[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar controles de ELB estado

[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)

[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad

[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config

[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo

[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo

[DataSync.1] Las tareas de DataSync deben tener el registro habilitado

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.6] las instancias de DMS replicación deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] las tareas de DMS replicación de la base de datos de destino deben tener habilitado el registro

[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener el registro activado

[DMS.9] Los DMS puntos finales deben utilizar SSL

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación

[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante o saliente

[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo

[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas VPCs

[EC2.7] El cifrado predeterminado de EBS debe estar activado

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4

[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio de Amazon EC2

[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs

[EC2.18] Los grupos de seguridad solo deberían permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.19] Los grupos de seguridad no deberían permitir el acceso sin restricciones a los puertos de alto riesgo

[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos

[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.51] Los puntos finales de EC2 Client VPN deben tener habilitado el registro de conexiones de clientes

[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR

[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry

[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager

[EC2.58] VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager

[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager

[EC2.170] Las plantillas de EC2 lanzamiento deben utilizar la versión 2 () del Servicio de Metadatos de Instancia IMDSv2

[EC2.171] Las conexiones EC2 VPN deben tener el registro activado

[EC2.172] La configuración del acceso público al bloqueo de EC2 VPC debería bloquear el tráfico de las puertas de enlace de Internet

[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes

[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas

[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida

[ECS.1] Las definiciones de ECS tareas de Amazon deben tener modos de red seguros y definiciones de usuario.

[ECS.2] ECS los servicios no deberían tener direcciones IP públicas asignadas automáticamente

[ECS.3] las definiciones de ECS tareas no deben compartir el espacio de nombres del proceso del host

[ECS.4] los ECS contenedores deberían ejecutarse sin privilegios

[ECS.5] ECS Los contenedores deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor

[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro

[ECS.10] Los servicios de ECS Fargate deberían ejecutarse en la última versión de la plataforma Fargate

[ECS.12] ECS los clústeres deben usar Container Insights

[ECS.16] Los conjuntos de ECS tareas no deben asignar automáticamente direcciones IP públicas

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz

[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario

[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública

[EFS.7] los sistemas de EFS archivos deben tener habilitadas las copias de seguridad automáticas

[EFS.8] los sistemas de EFS archivos deben cifrarse en reposo

[EKS.1] Los puntos finales de los EKS clústeres no deben ser de acceso público

[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes

[EKS.3] los EKS clústeres deben usar secretos de Kubernetes cifrados

[EKS.8] EKS los clústeres deben tener habilitado el registro de auditoría

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.2] ElastiCache Los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias

[ElastiCache.3] los grupos de ElastiCache replicación deberían tener habilitada la conmutación por error automática

[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación ElastiCache (RedisOSS) de versiones anteriores deberían tener Redis activado OSS AUTH

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos

[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado

[ELB.6] Los balanceadores de carga de aplicaciones, puertas de enlace y redes deben tener habilitada la protección contra eliminaciones

[ELB.7] Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones

[ELB.8] Los balanceadores de carga clásicos que utilizan dispositivos de SSL escucha deben usar una política de seguridad predefinida que tenga una larga duración AWS Config

[ELB.9] Los balanceadores de carga clásicos deberían tener activado el balanceo de cargas entre zonas

[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad

[ELB.12] Application Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada

[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo

[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría

[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos

[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados

[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

[FSx.1] FSx para sistemas de ZFS archivos abiertos, debe configurarse para copiar etiquetas a copias de seguridad y volúmenes

[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad

[Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo

[GuardDuty.1] GuardDuty debe estar activado

[GuardDuty.5] La supervisión del registro de GuardDuty EKS auditoría debe estar habilitada

[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada

[GuardDuty.7] La monitorización del GuardDuty EKS tiempo de ejecución debe estar habilitada

[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada

[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada

[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado

[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[KMS.3] no AWS KMS keys debe eliminarse involuntariamente

[KMS.5] Las claves KMS no deben ser de acceso público

[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público

[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos

[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias

[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios

[MSK.3] Los conectores MSK Connect deben estar cifrados en tránsito

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de bases de datos de Neptune deben tener habilitada la autenticación de bases de datos IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío

Los firewalls de Network Firewall [NetworkFirewall.9] deben tener habilitada la protección de eliminación

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los OpenSearch dominios deben cifrarse según la política de seguridad TLS más reciente

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[RDS.1] La instantánea de RDS debe ser privada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas

Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad

Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]

Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación

Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación

[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch

La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS

Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas

La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS

Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad

Los clústeres de bases de datos de RDS [RDS.16] deben configurarse para copiar etiquetas en las instantáneas

Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas

Las instancias de RDS [RDS.18] deben implementarse en una VPC

Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos

Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos

Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos

Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos

Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos

Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado

Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado

Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo

[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar registros en Logs CloudWatch

[RDS.37] Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría

Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC

Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado

Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos

[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público

[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura

[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes de uso SSL

[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS

[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público

[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor

[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3

[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida

[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[SageMaker.1] Las instancias de Amazon SageMaker AI notebook no deberían tener acceso directo a Internet

[SageMaker.2] Las instancias de SageMaker AI notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker AI Notebook

[SageMaker.4] Las variantes de producción de terminales de SageMaker IA deben tener un recuento inicial de instancias superior a 1

[SageMaker.5] SageMaker los modelos deberían bloquear el tráfico entrante

[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática

[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una organización de AWS

[SNS.4] las políticas de acceso a los SNS temas no deberían permitir el acceso público

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager

[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche

[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[SSM.4] SSM los documentos no deben ser públicos

[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado

[Transfer.2] Los servidores Transfer Family no deben usar el FTP protocolo para la conexión de puntos finales

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición

[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla

[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.10] la AWS WAF web ACLs debe tener al menos una regla o grupo de reglas

[WAF.12] AWS WAF las reglas deben tener las CloudWatch métricas habilitadas

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Referencia de estándares de Security Hub

Indicador de referencia de CIS AWS Foundations