NISTSP 800-53 Rev. 5 en Security Hub - AWS Security Hub

Controles aplicables al NIST SP 800-53 Rev. 5

NISTSP 800-53 Rev. 5 en Security Hub

NISTEl SP 800-53 Rev. 5 es un marco de ciberseguridad y cumplimiento desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento lo ayuda a proteger la disponibilidad, confidencialidad e integridad de sus sistemas de información y recursos críticos. Los organismos del gobierno federal de EE. UU. y los contratistas deben cumplir con la norma NIST SP 800-53 para proteger sus sistemas, pero las empresas privadas pueden utilizarla voluntariamente como marco orientativo para reducir los riesgos de ciberseguridad.

Security Hub proporciona controles que admiten determinados requisitos del NIST SP 800-53. Estos controles se evalúan mediante controles de seguridad automatizados. Los controles de Security Hub no son compatibles con los requisitos del NIST SP 800-53 que requieren comprobaciones manuales. Además, los controles de Security Hub solo admiten los requisitos automatizados del NIST SP 800-53 que aparecen como requisitos relacionados en los detalles de cada control. Seleccione un control de la siguiente lista para ver la información detallada de control. Los requisitos relacionados que no se mencionan en los detalles de control no son compatibles actualmente con Security Hub.

A diferencia de otros marcos, el NIST SP 800-53 no establece prescripciones sobre cómo deben evaluarse sus requisitos. En cambio, el marco proporciona pautas y los controles del Security Hub NIST SP 800-53 representan la comprensión que el servicio tiene de ellas.

Si utiliza la integración de Security Hub AWS Organizations para gestionar de forma centralizada varias cuentas y quiere habilitar por lotes el NIST SP 800-53 en todas ellas, puede ejecutar un script multicuenta de Security Hub desde la cuenta de administrador.

Para obtener más información sobre el NIST SP 800-53 Rev. 5, consulte el Centro de recursos de seguridad NISTinformática.

Controles aplicables al NIST SP 800-53 Rev. 5

[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS

[Cuenta. 2] Cuentas de AWS debe ser parte de un AWS Organizations organización

[ACM.1] Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico

[APIGateway.1] La API puerta de enlace REST y el registro de WebSocket API ejecuciones deben estar habilitados

[APIGateway.2] REST API Las etapas de la API puerta de enlace deben configurarse para usar SSL certificados para la autenticación de fondo

[APIGateway.3] REST API Las etapas de API Gateway deberían tener AWS X-Ray rastreo activado

[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL

[APIGateway.5] Los datos de la REST API caché de API Gateway deben cifrarse en reposo

[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2

[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API

[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar controles de ELB estado

[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las EC2 instancias para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)

[AutoScaling.5] EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad

[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deberían usar las plantillas de EC2 lanzamiento de Amazon

[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF

[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS

[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deberían cifrar el tráfico hacia orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] CloudTrail Los senderos deben integrarse con Amazon Logs CloudWatch

[CloudWatch.15] CloudWatch las alarmas deben tener configuradas las acciones especificadas

[CloudWatch.16] Los grupos de CloudWatch registros deben conservarse durante un período de tiempo específico

[CloudWatch.17] Las acciones CloudWatch de alarma deben estar activadas

[CodeBuild.1] CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración

[Configuración 1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.6] las instancias de DMS replicación deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] las tareas de DMS replicación de la base de datos de destino deben tener habilitado el registro

[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener habilitado el registro

[DMS.9] Los DMS puntos finales deben usar SSL

[DMS.10] DMS Los puntos finales de las bases de datos de Neptune deben tener habilitada la autorización IAM

[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación

[DMS.12] DMS Los puntos finales de Redis OSS deberían estar habilitados TLS

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time

[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX

[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad

[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada

[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito

[EC2.1] EBS Las instantáneas de Amazon no deberían poder restaurarse públicamente

[EC2.2] Los grupos de seguridad VPC predeterminados no deberían permitir el tráfico entrante o saliente

[EC2.3] EBS Los volúmenes adjuntos de Amazon deben cifrarse en reposo

[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico

[EC2.6] El registro VPC de flujos debe estar habilitado en todas VPCs

[EC2.7] EBS El cifrado predeterminado debe estar activado

[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2

[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4

[EC2.10] Amazon EC2 debe configurarse para usar VPC puntos de conexión creados para el servicio de Amazon EC2

[EC2.12] Amazon no utilizado EC2 EIPs debería retirarse

[EC2.13] Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22

[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs

[EC2.18] Los grupos de seguridad solo deberían permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.19] Los grupos de seguridad no deberían permitir el acceso sin restricciones a los puertos de alto riesgo

[EC2.20] Ambos VPN túneles forman un AWS La VPN conexión de sitio a sitio debe estar activa

[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389

[EC2.23] Amazon EC2 Transit Gateways no debería aceptar VPC automáticamente las solicitudes de archivos adjuntos

[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon

[EC2.25] Las plantillas de EC2 lanzamiento de Amazon no deben asignar interfaces públicas IPs a las de red

[EC2.28] EBS los volúmenes deben estar cubiertos por un plan de respaldo

[EC2.51] Los VPN puntos finales de los EC2 clientes deben tener habilitado el registro de las conexiones de los clientes

[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes

[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas

[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida

[ECS.1] Las definiciones de ECS tareas de Amazon deben tener modos de red seguros y definiciones de usuario.

[ECS.2] ECS los servicios no deberían tener direcciones IP públicas asignadas automáticamente

[ECS.3] las definiciones de ECS tareas no deben compartir el espacio de nombres de procesos del host

[ECS.4] los ECS contenedores deberían ejecutarse sin privilegios

[ECS.5] ECS Los contenedores deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor

[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro

[ECS.10] Los servicios de ECS Fargate deberían ejecutarse en la última versión de la plataforma Fargate

[ECS.12] ECS los clústeres deben usar Container Insights

[EFS.1] El Elastic File System debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo

[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz

[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario

[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública

[EKS.1] Los puntos finales de los EKS clústeres no deben ser de acceso público

[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes

[EKS.3] los EKS clústeres deben usar secretos de Kubernetes cifrados

[EKS.8] EKS los clústeres deben tener habilitado el registro de auditoría

[ElastiCache.1] Los clústeres ElastiCache (RedisOSS) deben tener habilitadas las copias de seguridad automáticas

[ElastiCache.2] Los clústeres ElastiCache (RedisOSS) deberían tener habilitadas las actualizaciones automáticas de versiones secundarias

[ElastiCache.3] Los grupos de ElastiCache replicación deben tener habilitada la conmutación por error automática

[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo

[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación ElastiCache (RedisOSS) de versiones anteriores deberían tener Redis activado OSS AUTH

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS

[ELB.2] Los balanceadores de carga clásicos con HTTPS listenersSSL/deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos

[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado

[ELB.6] Los balanceadores de carga de aplicaciones, puertas de enlace y redes deben tener habilitada la protección contra eliminaciones

[ELB.7] Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones

[ELB.8] Los balanceadores de carga clásicos con SSL oyentes deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config

[ELB.9] Los balanceadores de carga clásicos deberían tener activado el balanceo de cargas entre zonas

[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad

[ELB.12] Application Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto.

[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto.

[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL

[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas

[EMR.2] La configuración de EMR bloqueo de acceso público de Amazon debe estar habilitada

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría

[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos

[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados

[ES.8] Las conexiones a los dominios de Elasticsearch deben cifrarse con la política de seguridad más reciente TLS

[EventBridge.3] Los autobuses de eventos EventBridge personalizados deben incluir una política basada en los recursos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[FSx.1] FSx para sistemas de ZFS archivos abiertos, debe configurarse para copiar etiquetas a copias de seguridad y volúmenes

[FSx.2] FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad

[GuardDuty.1] GuardDuty debe estar activado

[IAM.1] IAM las políticas no deberían permitir todos los privilegios administrativos «*»

[IAM.2] IAM los usuarios no deberían tener IAM políticas adjuntas

[IAM.3] las claves IAM de acceso de los usuarios deben rotarse cada 90 días o menos

[IAM.4] la clave de acceso del usuario IAM root no debería existir

[IAM.5] MFA debería estar activado para todos los IAM usuarios que tengan una contraseña de consola

[IAM.6] El hardware MFA debe estar habilitado para el usuario root

[IAM.7] Las políticas de contraseñas para IAM los usuarios deben tener una configuración sólida

[IAM.8] Se deben eliminar las credenciales IAM de usuario no utilizadas

[IAM.9] MFA debe estar activado para el usuario root

[IAM.19] MFA debe estar habilitado para todos los usuarios IAM

[IAM.21] Las políticas gestionadas por el IAM cliente que cree no deberían permitir acciones comodín para los servicios

[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

[KMS.1] Las políticas gestionadas por el IAM cliente no deberían permitir acciones de descifrado en todas KMS las claves

[KMS.2] IAM los directores no deberían tener políticas integradas que permitan IAM realizar acciones de descifrado en todas las claves KMS

[KMS.3] AWS KMS keys no debe suprimirse involuntariamente

[KMS.4] AWS KMS la rotación de teclas debe estar habilitada

[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público

[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos

[Lambda.3] Las funciones lambda deben estar en un VPC

[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad

[Macie.1] Amazon Macie debería estar activado

[Macie.2] La detección automática de datos confidenciales por parte de Macie debería estar habilitada

[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios

[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada

[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los corredores de Amazon MQ deberían tener habilitada la actualización automática de las versiones secundarias

[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de bases de datos de Neptune deben tener habilitada la autenticación de bases de datos IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[Neptune.9] Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad

[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad

[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío

[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección contra eliminaciones

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los dominios deben cifrarse OpenSearch según la política de seguridad más reciente TLS

Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software

Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados

[PCA.1] AWS Private CA la autoridad emisora de certificados raíz debe estar deshabilitada

[RDS.1] La RDS instantánea debe ser privada

[RDS.2] Las RDS instancias de base de datos deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible

[RDS.3] Las RDS instancias de base de datos deben tener activado el cifrado en reposo

[RDS.4] Las instantáneas de RDS clústeres y las instantáneas de bases de datos deben cifrarse cuando están inactivas

[RDS.5] Las RDS instancias de base de datos deben configurarse con varias zonas de disponibilidad

[RDS.6] Se debe configurar una supervisión mejorada para RDS las instancias de base de datos

[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación

[RDS.8] Las RDS instancias de base de datos deben tener habilitada la protección contra la eliminación

[RDS.9] Las RDS instancias de base de datos deben publicar los registros en Logs CloudWatch

La IAM autenticación [RDS.10] debe configurarse para las instancias RDS

[RDS.11] las RDS instancias deben tener habilitadas las copias de seguridad automáticas

La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres

[RDS.13] Las actualizaciones RDS automáticas de las versiones secundarias deben estar habilitadas

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso

[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad

[RDS.16] Los clústeres RDS de bases de datos deben configurarse para copiar etiquetas en las instantáneas

[RDS.17] Las RDS instancias de base de datos deben configurarse para copiar etiquetas en las instantáneas

[RDS.18] RDS las instancias se deben implementar en un VPC

[RDS.19] Las suscripciones de notificación de RDS eventos existentes deben configurarse para los eventos críticos del clúster

[RDS.20] Las suscripciones de notificaciones de RDS eventos existentes deben configurarse para eventos críticos de instancias de bases de datos

[RDS.21] Se debe configurar una suscripción a las notificaciones de RDS eventos para los eventos críticos de los grupos de parámetros de bases de datos

[RDS.22] Debe configurarse una suscripción a las notificaciones de RDS eventos para los eventos críticos de los grupos de seguridad de bases de datos

[RDS.23] RDS las instancias no deberían usar el puerto predeterminado de un motor de base de datos

[RDS.24] Los clústeres RDS de bases de datos deben usar un nombre de usuario de administrador personalizado

[RDS.25] las instancias RDS de bases de datos deben usar un nombre de usuario de administrador personalizado

[RDS.26] Las RDS instancias de base de datos deben protegerse mediante un plan de respaldo

[RDS.27] Los clústeres de RDS bases de datos deben cifrarse cuando están inactivos

[RDS.34] Los clústeres de Aurora My SQL DB deberían publicar los registros de auditoría en Logs CloudWatch

[RDS.35] Los clústeres de RDS bases de datos deben tener habilitada la actualización automática de las versiones secundarias

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría

Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC

Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado

Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

[S3.2] Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura

[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso público de escritura

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes de uso SSL

[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS

[S3.7] Los buckets de uso general de S3 deberían utilizar la replicación entre regiones

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

[S3.9] Los depósitos de uso general de S3 deberían tener habilitado el registro de acceso al servidor

[S3.10] Los depósitos de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida

[S3.11] Los buckets de uso general de S3 deberían tener habilitadas las notificaciones de eventos

[S3.12] no ACLs debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3

[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida

[S3.14] Los buckets de uso general de S3 deberían tener habilitado el control de versiones

[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock

[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys

[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público

[S3.20] Los cubos de uso general de S3 deberían tener habilitada la función de eliminación MFA

[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet

[SageMaker.2] las instancias de SageMaker notebook deberían lanzarse de forma personalizada VPC

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook

[SageMaker.4] Las variantes de producción de SageMaker terminales deben tener un recuento inicial de instancias superior a 1

[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática

[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

[ServiceCatalog.1] Las carteras de Service Catalog deben compartirse dentro de un AWS solo una organización

[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS

[SQS.1] SQS Las colas de Amazon deberían estar cifradas en reposo

[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager

[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche

[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT

[SSM.4] SSM los documentos no deben ser públicos

[Transfer.2] Los servidores Transfer Family no deben usar el FTP protocolo para la conexión de puntos finales

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

[WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición

[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla

[WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición

[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla

[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas

[WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas

[WAF.11] AWS WAF el ACL registro web debe estar habilitado

[WAF.12] AWS WAF las reglas deben tener las CloudWatch métricas habilitadas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

CIS AWS Punto de referencia de fundamentos

PCIDSSv3.2.1