Referencia de controles de Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Referencia de controles de Security Hub

Esta referencia de controles proporciona una lista de AWS Security Hub los controles disponibles con enlaces a más información sobre cada control. La tabla de información general muestra los controles en orden alfabético por identificador de control. Aquí solo se incluyen los controles en uso activo por Security Hub. Los controles retirados se excluyen de esta lista. La tabla proporciona la siguiente información para cada control:

  • ID de control de seguridad: este ID se aplica a todos los estándares Servicio de AWS e indica el recurso al que se refiere el control. La consola Security Hub muestra el control de seguridad IDs, independientemente de si los hallazgos de control consolidados están activados o desactivados en su cuenta. Sin embargo, los hallazgos de Security Hub hacen referencia al control de seguridad IDs solo si los hallazgos de control consolidado están activados en su cuenta. Si las conclusiones de control consolidadas están desactivadas en su cuenta, algunos controles IDs varían según el estándar en sus conclusiones de control. Para ver un mapeo entre el control específico de un estándar y el control IDs de seguridad IDs, consulte. Cómo afecta la consolidación al control IDs y a los títulos

    Si desea configurar las automatizaciones de los controles de seguridad, le recomendamos que filtre en función del identificador del control y no del título o la descripción. Si bien Security Hub puede actualizar ocasionalmente los títulos o descripciones de los controles, el control IDs sigue siendo el mismo.

    El control IDs puede omitir números. Estos son marcadores de posición para futuros controles.

  • Normas aplicables: indica a qué normas se aplica un control. Seleccione un control para ver los requisitos específicos de los marcos de cumplimiento de terceros.

  • Título de control de seguridad: este título se aplica a todos los estándares. La consola Security Hub muestra los títulos de los controles de seguridad, independientemente de si los resultados de control consolidados están activados o desactivados en su cuenta. Sin embargo, los resultados de Security Hub hacen referencia a los títulos de control de seguridad solo si los resultados de control consolidado están activados en su cuenta. Si los resultados de control consolidados están desactivados en su cuenta, algunos títulos de control varían según el estándar en los resultados de control. Para ver un mapeo del control específico del estándar con el control IDs de seguridad IDs, consulte. Cómo afecta la consolidación al control IDs y a los títulos

  • Gravedad: la gravedad de un control identifica su importancia desde el punto de vista de la seguridad. Para obtener información sobre cómo Security Hub determina la gravedad del control, consulte Nivel de gravedad de los hallazgos de control.

  • Tipo de programa: indica cuándo se evalúa el control. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.

  • Admite parámetros personalizados: indica si el control admite valores personalizados para uno o varios parámetros. Seleccione un control para ver los detalles de los parámetros. Para obtener más información, consulte Descripción de los parámetros de control en Security Hub.

Seleccione un control para ver sus detalles. Los controles se muestran en orden alfabético según el nombre del servicio.

ID de control de seguridad Título de control de seguridad Estándares aplicables Gravedad Admite parámetros personalizados Tipo de programación
Account.1 La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower MEDIO No Periódico
Account.2 Cuenta de AWS debería ser parte de una AWS Organizations organización NIST SP 800-53 Rev. 5 ALTO No Periódico
ACM.1 Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 MEDIO El cambio se desencadena y es periódico
ACM.2 Los certificados RSA administrados por ACM deben usar una longitud de clave de al menos 2048 bits AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 ALTO No El cambio se ha activado
ACM.3 Los certificados ACM deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
APIGateway1. El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 MEDIO El cambio se ha activado
APIGateway2. Las etapas de la API de REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
APIGateway3. Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 BAJA No El cambio se ha activado
APIGateway4. La API de Gateway debe estar asociada a una ACL web de WAF AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
APIGateway5. Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
APIGateway8. Las rutas de API Gateway deben especificar un tipo de autorización AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO Periódico
APIGateway9. El registro de acceso debe configurarse para las etapas V2 de API Gateway AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. 5 AWS Control Tower, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
AppConfig1. AWS AppConfig las aplicaciones deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
AppConfig2. AWS AppConfig los perfiles de configuración deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
AppConfig3. AWS AppConfig los entornos deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
AppConfig4. AWS AppConfig las asociaciones de extensiones deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
AppFlow1. AppFlow Los flujos de Amazon deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
AppRunner1. Los servicios de App Runner deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
AppRunner2. Los conectores VPC de App Runner deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
AppSync1. AWS AppSync Las cachés de las API deben estar cifradas en reposo AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 MEDIO No El cambio se ha activado
AppSync2. AWS AppSync debe tener habilitado el registro a nivel de campo AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 MEDIO El cambio se ha activado
AppSync4. AWS AppSync GraphQL APIs debe estar etiquetado AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
AppSync5. AWS AppSync GraphQL no APIs debe autenticarse con claves de API AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 ALTO ¡No El cambio se ha activado
AppSync6. AWS AppSync Las cachés de las API deben estar cifradas en tránsito AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 MEDIO No El cambio se ha activado
Athena.2 Los catálogos de datos de Athena deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Athena.3 Los grupos de trabajo de Athena deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Athena.4 Los grupos de trabajo de Athena deben tener el registro habilitado AWS Mejores prácticas fundamentales de seguridad v1.0.0 MEDIO No El cambio se ha activado
AutoScaling1. Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado de ELB AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 rev. 5 BAJA No El cambio se ha activado
AutoScaling2. El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO El cambio se ha activado
AutoScaling3. Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar EC2 las instancias para que requieran la versión 2 del servicio de metadatos de instancias (IMDSv2) AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 ALTO No El cambio se ha activado
Autoscaling.5 EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v4.0.1 ALTO No El cambio se ha activado
AutoScaling6. Los grupos de escalado automático deben usar varios tipos de instancias en varias zonas de disponibilidad AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
AutoScaling9. EC2 Los grupos de Auto Scaling deben usar plantillas de EC2 lanzamiento AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
AutoScaling.10 EC2 Los grupos de Auto Scaling deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Backup.1 AWS Backup Los puntos de recuperación deben estar cifrados en reposo AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO ¡No El cambio se ha activado
Backup.2 AWS Backup los puntos de recuperación deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Backup.3 AWS Backup Las bóvedas deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Backup.4 AWS Backup los planes de informes deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Backup.5 AWS Backup los planes de respaldo deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Lote.1 AWS Batch las colas de trabajos deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Lote.2 AWS Batch las políticas de programación deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Lote 3 AWS Batch los entornos de cómputo deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Lote.1 AWS Batch las colas de trabajos deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
CloudFormation2. CloudFormation las pilas deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
CloudFront1. CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 ALTO No El cambio se ha activado
CloudFront3. CloudFront las distribuciones deberían requerir el cifrado en tránsito AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
CloudFront4. CloudFront las distribuciones deben tener configurada la conmutación por error de origen AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 BAJA ¡No El cambio se ha activado
CloudFront5. CloudFront las distribuciones deberían tener el registro habilitado AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
CloudFront6. CloudFront las distribuciones deben tener WAF habilitado AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
CloudFront7. CloudFront las distribuciones deben usar certificados SSL/TLS personalizados AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO ¡No El cambio se ha activado
CloudFront8. CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 BAJA ¡No El cambio se ha activado
CloudFront9. CloudFront las distribuciones deben cifrar el tráfico hacia orígenes personalizados AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
CloudFront.10 CloudFront las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
CloudFront.12 CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 ALTO No Periódico
CloudFront.13 CloudFront las distribuciones deben usar el control de acceso al origen AWS Mejores prácticas fundamentales de seguridad v1.0.0 MEDIO No El cambio se ha activado
CloudFront.14 CloudFront las distribuciones deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
CloudTrail1. CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower ALTO No Periódico
CloudTrail2. CloudTrail debe tener habilitada la encriptación en reposo CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0 AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No Periódico
CloudTrail3. Debe estar habilitado al menos un CloudTrail sendero PCI DSS v3.2.1, PCI DSS v4.0.1 ALTO No Periódico
CloudTrail4. CloudTrail La validación del archivo de registro debe estar habilitada CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, PCI DSS v4.0.1 AWS Control Tower, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS BAJA No Periódico
CloudTrail5. CloudTrail los senderos deben estar integrados con Amazon CloudWatch Logs CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower BAJA No Periódico
CloudTrail6. Asegúrese de que el depósito de S3 utilizado para almacenar CloudTrail los registros no sea de acceso público CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, PCI DSS v4.0.1 CRÍTICO No El cambio se desencadena y es periódico
CloudTrail7. Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3 CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v3.0.0, PCI AWS DSS v4.0.1 BAJA No Periódico
CloudTrail9. CloudTrail los senderos deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
CloudWatch1. Debe existir un filtro de métrica de registro y una alarma para el uso del usuario raíz CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS BAJA No Periódico
CloudWatch2. Asegurar que haya un filtro de métricas de registro y alarma para las llamadas a la API no autorizadas Punto de referencia sobre AWS los fundamentos de la CEI v1.2.0 BAJA No Periódico
CloudWatch3. Garantizar que haya un filtro de métricas de registro y una alarma de registro para el inicio de sesión en la sin MFA en la consola de administración Punto de referencia sobre AWS los fundamentos de la CEI v1.2.0 BAJA No Periódico
CloudWatch4. Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de IAM CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 BAJA No Periódico
CloudWatch5. Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 BAJA No Periódico
CloudWatch6. Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 BAJA No Periódico
CloudWatch7. Asegúrese de que existan un registro, un filtro métrico y una alarma para deshabilitar o eliminar de forma programada los datos creados por el cliente CMKs CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 BAJA No Periódico
CloudWatch8. Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de S3 CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 BAJA No Periódico
CloudWatch9. Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios AWS Config de configuración CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 BAJA No Periódico
CloudWatch.10 Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de grupos de seguridad Índice de referencia sobre AWS fundaciones de la CEI versión 1.2.0, punto de referencia sobre las bases de la CEI AWS versión 1.4.0 BAJA No Periódico
CloudWatch.11 Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL) Índice de referencia de AWS fundamentos de la CEI versión 1.2.0, punto de referencia de fundamentos de la CEI AWS versión 1.4.0 BAJA No Periódico
CloudWatch.12 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 BAJA No Periódico
CloudWatch.13 Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento Índice de referencia sobre AWS fundaciones de la CEI versión 1.2.0, punto de referencia sobre las bases de la CEI AWS versión 1.4.0 BAJA No Periódico
CloudWatch.14 Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la VPC Índice de referencia sobre AWS fundaciones de la CEI versión 1.2.0, punto de referencia sobre las bases de la CEI AWS versión 1.4.0 BAJA No Periódico
CloudWatch.15 CloudWatch las alarmas deben tener configuradas las acciones especificadas NIST SP 800-53 Rev. 5 ALTO El cambio se ha activado
CloudWatch1.6 CloudWatch Los grupos de registros deben conservarse durante un período de tiempo específico NIST SP 800-53 Rev. 5 MEDIO Periódico
CloudWatch.17 CloudWatch las acciones de alarma deben estar habilitadas NIST SP 800-53 Rev. 5 ALTO No El cambio se ha activado
CodeArtifact1. CodeArtifact los repositorios deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
CodeBuild1. CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower CRÍTICO No El cambio se ha activado
CodeBuild2. CodeBuild las variables de entorno del proyecto no deben contener credenciales de texto claro AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower CRÍTICO No El cambio se ha activado
CodeBuild3. CodeBuild Los registros de S3 deben estar cifrados AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios:, AWS Control Tower BAJA No El cambio se ha activado
CodeBuild4. CodeBuild los entornos del proyecto deben tener una configuración de registro AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
CodeBuild7. CodeBuild las exportaciones de los grupos de informes deben estar cifradas en reposo AWS Mejores prácticas fundamentales de seguridad v1.0.0 MEDIO No El cambio se ha activado
CodeGuruProfiler1. CodeGuru Los grupos de creación de perfiles de Profiler deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
CodeGuruReviewer1. CodeGuru Las asociaciones de repositorios de Reviewer deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Cognito.1 Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para la autenticación estándar AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 MEDIO El cambio se ha activado
Config.1 AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 CRÍTICO Periódico
Conectar.1 Los tipos de objetos de los perfiles de clientes de Amazon Connect deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
DataFirehose1. Los flujos de entrega de Firehose deben estar cifrados en reposo AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIO ¡No Periódico
DataSync1. DataSync las tareas deberían tener el registro activado AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 MEDIO No El cambio se ha activado
Detective.1 Los gráficos de comportamiento de Detective deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
DMS.1 Las instancias de replicación de Servicio de migración de bases de datos no deben ser públicas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower CRÍTICO No Periódico
DMS.2 Los certificados DMS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
DMS.3 Las suscripciones a eventos de DMS deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
DMS.4 Las instancias de replicación de DMS deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
DMS.5 Los grupos de subredes de replicación del DMS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
DMS.6 Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
DMS.7 Las tareas de replicación del DMS para la base de datos de destino deben tener el registro habilitado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
DMS.8 Las tareas de replicación del DMS para la base de datos de origen deben tener el registro habilitado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
DMS.9 Los puntos finales del DMS deben usar SSL AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
DMS.10 Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
DMS.11 Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
DMS.12 Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
DocumentDB.1 Los clústeres de Amazon DocumentDB deben estar cifrados en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
DocumentDB.2 Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO El cambio se ha activado
DocumentDB.3 Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 CRÍTICO No El cambio se ha activado
DocumentDB.4 Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
DocumentDB.5 Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIO ¡No El cambio se ha activado
DynamoDB.1 Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO Periódico
DynamoDB.2 Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower MEDIO No El cambio se ha activado
DynamoDB.3 Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIO ¡No Periódico
DynamoDB.4 Las tablas de DynamoDB deben estar presentes en un plan de copia de seguridad NIST SP 800-53 Rev. 5 MEDIO Periódico
DynamoDB.5 Las tablas de DynamoDB deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
DynamoDB.6 Las tablas de DynamoDB deben tener la protección contra eliminación habilitada AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIO ¡No El cambio se ha activado
DynamoDB.7 Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No Periódico
EC21. Las instantáneas de EBS no se deben poder restaurar públicamente AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 rev. 5 CRÍTICO No Periódico
EC22. Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark AWS Control Tower v1.4.0, NIST SP 800-53 rev. 5 AWS ALTO No El cambio se ha activado
EC23. Los volúmenes de EBS asociados deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
EC24. EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 MEDIO Periódico
EC26. El registro de flujo de VPC debe estar habilitado en todos VPCs CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 rev. 5 AWS MEDIO No Periódico
EC27. El cifrado predeterminado EBS debe estar habilitado CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: CIS AWS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 MEDIO No Periódico
EC28. EC2 las instancias deben usar Instance Metadata Service, versión 2 () IMDSv2 CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO Sin El cambio se ha activado
EC29. EC2 las instancias no deben tener una dirección pública IPv4 AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 ALTO No El cambio se ha activado
EC2.10 Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio de Amazon. EC2 AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower MEDIO No Periódico
EC2.12 Los que no se usen EC2 EIPs deben ser retirados PCI DSS v3.2.1, NIST SP 800-53 rev. 5 BAJA No El cambio se ha activado
EC2.13 Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22 CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 rev. 5 ALTO No El cambio se desencadena y es periódico
EC2.14 Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389 Índice de referencia CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 ALTO No El cambio se desencadena y es periódico
EC2.15 EC2 las subredes no deberían asignar automáticamente direcciones IP públicas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios:, AWS Control Tower MEDIO No El cambio se ha activado
EC2.16 Deben eliminarse las listas de control de acceso a la red no utilizadas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios:, AWS Control Tower BAJA No El cambio se ha activado
EC2.17 EC2 las instancias no deben usar múltiples ENIs AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 BAJA No El cambio se ha activado
EC2.18 Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 ALTO El cambio se ha activado
EC21.9 Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 CRÍTICO No El cambio se desencadena y es periódico
EC2.20 Los dos túneles VPN de una conexión AWS Site-to-Site VPN deberían estar activos AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
EC2.21 La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389 CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS Control Tower MEDIO No El cambio se ha activado
EC2.22 Se deben EC2 eliminar los grupos de seguridad no utilizados Estándar gestionado por el servicio: AWS Control Tower MEDIO No Periódico
EC2.23 EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 ALTO ¡No El cambio se ha activado
EC2.24 EC2 No se deben usar tipos de instancias paravirtuales AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO ¡No El cambio se ha activado
EC2.25 EC2 las plantillas de lanzamiento no deben asignar interfaces públicas IPs a las de red AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO No El cambio se ha activado
EC2.28 Los volúmenes de EBS tienen que ser parte de un plan de copia de seguridad NIST SP 800-53 Rev. 5 BAJA Periódico
EC2.33 EC2 Los archivos adjuntos a las pasarelas de tránsito deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC23.4 EC2 Las tablas de rutas de las pasarelas de tránsito deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC23.5 EC2 las interfaces de red deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC23.6 EC2 las pasarelas de los clientes deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC23.7 EC2 Las direcciones IP elásticas deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC23.8 EC2 las instancias deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC2.39 EC2 las pasarelas de internet deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC24.0 EC2 Las pasarelas NAT deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC24.1 EC2 la red ACLs debe estar etiquetada AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC24.2 EC2 las tablas de rutas deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC24.3 EC2 los grupos de seguridad deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC24.4 EC2 las subredes deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC24.5 EC2 los volúmenes deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC24.6 Amazon VPCs debería estar etiquetado AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC24.7 Los servicios de puntos de conexión de Amazon VPC deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC24.8 Los registros de flujo de Amazon VPC deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC24.9 Las conexiones de emparejamiento de Amazon VPC deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC25.0 EC2 Las pasarelas VPN deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC25.1 EC2 Los puntos finales de Client VPN deben tener habilitado el registro de conexiones de clientes AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 rev. 5, PCI DSS, versión 4.0.1 BAJA No El cambio se ha activado
EC2.52 EC2 las pasarelas de tránsito deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EC25.3 EC2 los grupos de seguridad no deberían permitir la entrada desde 0.0.0.0/0 a los puertos de administración remota del servidor CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 ALTO No Periódico
EC2.54 EC2 los grupos de seguridad no deberían permitir la entrada desde: :/0 a los puertos de administración remota del servidor CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 ALTO No Periódico
EC2.55 VPCs debe configurarse con un punto final de interfaz para la API ECR AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO Periódico
EC25.6 VPCs debe configurarse con un punto final de interfaz para Docker Registry AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO Periódico
EC25.7 VPCs debe configurarse con un punto final de interfaz para Systems Manager AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO Periódico
EC25.8 VPCs debe configurarse con un punto final de interfaz para los contactos de Systems Manager Incident Manager AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO Periódico
EC26.0 VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO Periódico
EC21.70 EC2 las plantillas de lanzamiento deben usar Instance Metadata Service, versión 2 () IMDSv2 AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 BAJA No El cambio se ha activado
EC2.171 EC2 Las conexiones VPN deberían tener el registro activado AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
EC2.172 EC2 La configuración de acceso público del bloque de VPC debería bloquear el tráfico de las puertas de enlace de Internet AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 MEDIO El cambio se ha activado
ECR.1 Los repositorios privados de ECR deben tener configurado el escaneo de imágenes AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO No Periódico
ECR.2 Los repositorios privados de ECR deben tener configurada la inmutabilidad de las etiquetas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
ECR.3 Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
ECR.4 Los repositorios públicos de ECR deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
ECS.1 Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario. AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 ALTO No El cambio se ha activado
ECS.2 Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO No El cambio se ha activado
ECS.3 Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 ALTO No El cambio se ha activado
ECS.4 Los contenedores ECS deben ejecutarse sin privilegios AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 ALTO No El cambio se ha activado
ECS.5 Los contenedores ECS deben estar limitados a un acceso de solo lectura a los sistemas de archivos raíz AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 ALTO No El cambio se ha activado
ECS.8 Los secretos no deben pasarse como variables de entorno del contenedor AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO No El cambio se ha activado
ECS.9 Las definiciones de tareas de ECS deben tener una configuración de registro AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 ALTO ¡No El cambio se ha activado
ECS.10 Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
ECS.12 Los clústeres de ECS deben usar Container Insights AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
ECS.13 Los servicios de ECS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
ECS.14 Los clústeres de ECS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
ECS.15 Las definiciones de tareas de ECS deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
ECS.16 Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 ALTO No El cambio se ha activado
EFS.1 Elastic File System debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower MEDIO No Periódico
EFS.2 Los volúmenes de Amazon EFS deben estar en los planes de copia de seguridad AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No Periódico
EFS.3 Los puntos de acceso EFS deben aplicar un directorio raíz AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
EFS.4 Los puntos de acceso EFS deben imponer una identidad de usuario AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
EFS.5 Los puntos de acceso de EFS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EFS.6 Los destinos de montaje de EFS no deben estar asociados a una subred pública AWS Mejores prácticas fundamentales de seguridad v1.0.0 MEDIO No Periódico
EFS.7 Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas AWS Mejores prácticas de seguridad fundamentales v1.0.0 MEDIO No El cambio se ha activado
EFS.8 Los sistemas de archivos de EFS deben cifrarse en reposo AWS Mejores prácticas de seguridad fundamentales v1.0.0 MEDIO El cambio se ha activado
EKS.1 Los puntos de conexión del clúster EKS no deben ser de acceso público AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 ALTO No Periódico
EKS.2 Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO No El cambio se ha activado
EKS.3 Los clústeres de EKS deben usar secretos de Kubernetes cifrados AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No Periódico
EKS.6 Los clústeres de EKS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EKS.7 Las configuraciones de los proveedores de identidad de EKS deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EKS.8 Los clústeres de EKS deben tener habilitado el registro de auditoría AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
ElastiCache1. ElastiCache Los clústeres (Redis OSS) deben tener habilitadas las copias de seguridad automáticas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 ALTO Periódico
ElastiCache2. ElastiCache los clústeres deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 ALTO No Periódico
ElastiCache3. ElastiCache los grupos de replicación deberían tener habilitada la conmutación por error automática AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO No Periódico
ElastiCache4. ElastiCache los grupos de replicación deberían ser encrypted-at-rest AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIO No Periódico
ElastiCache5. ElastiCache los grupos de replicación deberían ser encrypted-in-transit AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 MEDIO No Periódico
ElastiCache6. ElastiCache (Redis OSS) los grupos de replicación de versiones anteriores deberían tener habilitada la autenticación de Redis OSS AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 MEDIO No Periódico
ElastiCache7. ElastiCache los clústeres no deben usar el grupo de subredes predeterminado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 ALTO No Periódico
ElasticBeanstalk1. Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 BAJA No El cambio se ha activado
ElasticBeanstalk2. Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO El cambio se ha activado
ElasticBeanstalk3. Elastic Beanstalk debe transmitir los registros a CloudWatch AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 ALTO El cambio se ha activado
ELB.1 El Equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS Control Tower MEDIO No Periódico
ELB.2 Los equilibradores de carga clásicos con agentes de escucha SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
ELB.3 Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
ELB.4 Equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
ELB.5 El registro de aplicaciones y de los equilibradores de carga clásicos debe estar habilitado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
ELB.6 La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
ELB.7 Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
ELB.8 Los equilibradores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una configuración sólida AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
ELB.9 Los equilibradores de carga clásicos deben tener habilitado el equilibrador de carga entre zonas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
ELB.10 Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO El cambio se ha activado
ELB.12 Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto. AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
ELB.13 Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO El cambio se ha activado
ELB.14 Equilibrador de carga clásico debe configurarse con el modo defensivo o con el modo de mitigación de desincronización más estricto. AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
ELB.16 Los balanceadores de carga de aplicaciones deben estar asociados a una ACL AWS web WAF NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
EMR.1 Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO No Periódico
EMR.2 La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 CRÍTICO No Periódico
ES.1 Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 rev. 5 MEDIO No Periódico
ES.2 Los dominios de Elasticsearch no deben ser de acceso público AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower CRÍTICO No Periódico
ES.3 Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios:, AWS Control Tower MEDIO No El cambio se ha activado
ES.4 Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. 5 AWS Control Tower MEDIO No El cambio se ha activado
ES.5 Los dominios de Elasticsearch deben tener habilitado el registro de auditoría AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
ES.6 Los dominios de Elasticsearch deben tener al menos tres nodos de datos AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
ES.7 Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
ES.8 Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
ES.9 Los dominios de Elasticsearch deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EventBridge2. EventBridge los autobuses del evento deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
EventBridge3. EventBridge los autobuses personalizados para eventos deberían tener adjunta una política basada en los recursos AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 BAJA No El cambio se ha activado
EventBridge4. EventBridge los puntos finales globales deberían tener habilitada la replicación de eventos NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
FraudDetector1. Los tipos de entidad de Amazon Fraud Detector deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
FraudDetector2. Las etiquetas de Amazon Fraud Detector deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
FraudDetector3. Los resultados de Amazon Fraud Detector deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
FraudDetector4. Las variables de Amazon Fraud Detector deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
FSx1. FSx para los sistemas de archivos OpenZFS, debe configurarse para copiar etiquetas en copias de seguridad y volúmenes AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 BAJA No Periódico
FSx2. FSx para Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 BAJA No Periódico
Glue.1 AWS Glue los trabajos deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Glue.3 AWS Glue Las transformaciones de aprendizaje automático deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 MEDIO No El cambio se ha activado
GlobalAccelerator1. Los aceleradores de Global Accelerator deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
GuardDuty1. GuardDuty debe estar activado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO No Periódico
GuardDuty2. GuardDuty los filtros deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
GuardDuty3. GuardDuty IPSets debe estar etiquetado AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
GuardDuty4. GuardDuty los detectores deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
GuardDuty5. GuardDuty La supervisión del registro de auditoría de EKS debe estar habilitada AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 ALTO No Periódico
GuardDuty6. GuardDuty La protección Lambda debe estar habilitada AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 ALTO No Periódico
GuardDuty7. GuardDuty La monitorización del tiempo de ejecución de EKS debe estar habilitada AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 MEDIO No Periódico
GuardDuty8. GuardDuty La protección contra malware para EC2 debe estar habilitada AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 ALTO No Periódico
GuardDuty9. GuardDuty La protección RDS debe estar habilitada AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 ALTO No Periódico
GuardDuty.10 GuardDuty La protección S3 debe estar habilitada AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 ALTO No Periódico
IAM.1 Las políticas de IAM no deben permitir privilegios administrativos completos “*” CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 AWS ALTO No El cambio se ha activado
IAM.2 Los usuarios de IAM no deben tener políticas de IAM asociadas CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. AWS Control Tower 5 BAJA No El cambio se ha activado
IAM.3 Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO Sin Periódico
IAM.4 La clave de acceso del usuario raíz de IAM no debería existir CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. 5 AWS Control Tower CRÍTICO No Periódico
IAM.5 MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO Sin Periódico
IAM.6 La MFA de hardware debe estar habilitada para el usuario raíz CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower CRÍTICO No Periódico
IAM.7 Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO Periódico
IAM.8 Deben eliminarse las credenciales de usuario de IAM que no se utilicen CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO Sin Periódico
IAM.9 La MFA debe estar habilitada para el usuario raíz CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 CRÍTICO Sin Periódico
IAM.10 Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras PCI DSS v3.2.1, PCI DSS v4.0.1 MEDIO No Periódico
IAM.11 Asegurar que la política de contraseñas de IAM requiere al menos una letra mayúscula CIS AWS Foundations Benchmark v1.2.0, PCI DSS v4.0.1 MEDIO No Periódico
IAM.12 Asegurar que la política de contraseñas de IAM requiere al menos una letra minúscula CIS AWS Foundations Benchmark v1.2.0, PCI DSS v4.0.1 MEDIO No Periódico
IAM.13 Asegurar que la política de contraseñas de IAM requiere al menos un símbolo CIS AWS Foundations Benchmark v1.2.0, PCI DSS v4.0.1 MEDIO No Periódico
IAM.14 Asegurar que la política de contraseñas de IAM requiere al menos un número CIS AWS Foundations Benchmark v1.2.0, PCI DSS v4.0.1 MEDIO No Periódico
IAM.15 Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0 AWS MEDIO No Periódico
IAM.16 Asegurar que la política de contraseñas de IAM impide la reutilización de contraseñas CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, PCI AWS DSS v4.0.1 BAJA No Periódico
IAM.17 Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos CIS AWS Foundations Benchmark v1.2.0, PCI DSS v4.0.1 BAJA No Periódico
IAM.18 Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Soporte CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS Foundations Benchmark v1.2.0, PCI AWS DSS v4.0.1 BAJA No Periódico
IAM.19 MFA se debe habilitar para todos los usuarios de IAM NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 MEDIO No Periódico
IAM.21 Las políticas de IAM administrada por los clientes que usted cree no deberían permitir acciones comodín para los servicios AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 BAJA No El cambio se ha activado
IAM.22 Deben eliminarse las credenciales de usuario de IAM que no se hayan utilizado durante 45 días Índice de referencia de AWS fundaciones de la CEI versión 3.0.0, punto de referencia de AWS fundaciones de la CEI versión 1.4.0 MEDIO No Periódico
IAM.23 Los analizadores del Analizador de acceso de IAM deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
IAM.24 Los roles de IAM deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
IAM.25 Los usuarios de IAM deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
IAM.26 Los certificados SSL/TLS caducados administrados en IAM deben eliminarse CIS AWS Foundations Benchmark v3.0.0 MEDIO No Periódico
IAM.27 Las identidades de IAM no deberían tener la AWSCloud ShellFullAccess política adjunta CIS AWS Foundations Benchmark v3.0.0 MEDIO No El cambio se ha activado
IAM.28 El analizador de acceso externo del Analizador de acceso de IAM debe estar habilitado CIS AWS Foundations Benchmark v3.0.0 ALTO No Periódico
Inspector.1 El EC2 escaneo de Amazon Inspector debe estar activado AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 ALTO No Periódico
Inspector.2 El análisis de ECR en Amazon Inspector debe estar habilitado AWS Mejores prácticas de seguridad fundamentales v1.0.0, PCI DSS v4.0.1 ALTO No Periódico
Inspector.3 El análisis de código de Lambda en Amazon Inspector debe estar habilitado AWS Mejores prácticas de seguridad fundamentales v1.0.0, PCI DSS v4.0.1 ALTO No Periódico
Inspector.4 El análisis de estándar de Lambda en Amazon Inspector debe estar habilitado AWS Mejores prácticas de seguridad fundamentales v1.0.0, PCI DSS v4.0.1 ALTO No Periódico
IoT.1 AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
IoT.2 AWS IoT Core las acciones de mitigación deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
IoT.3 AWS IoT Core las dimensiones deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
IoT.4 AWS IoT Core los autorizadores deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
IoT.5 AWS IoT Core Los alias de los roles deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
IoT.6 AWS IoT Core las políticas deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
iOS 1.1 TEvents AWS IoT Events las entradas deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
iOS 1.2 TEvents AWS IoT Events los modelos de detectores deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
iOS 1.3 TEvents AWS IoT Events los modelos de alarma deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Io Wise.1 TSite AWS IoT SiteWise los modelos de activos deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Io Wise.2 TSite AWS IoT SiteWise los cuadros de mando deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Io Wise.3 TSite AWS IoT SiteWise las pasarelas deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Io Wise.4 TSite AWS IoT SiteWise los portales deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Io Wise.5 TSite AWS IoT SiteWise los proyectos deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Io Maker.1 TTwin AWS Los trabajos de TwinMaker sincronización de IoT deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Io Maker.2 TTwin AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Io Maker.3 TTwin AWS TwinMaker Las escenas de IoT deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Io MakerTTwin. 4 AWS TwinMaker Las entidades de IoT deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
iOS 1.1 TWireless AWS Los grupos de multidifusión de IoT Wireless deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
iOS 1.2 TWireless AWS Los perfiles de servicio de IoT Wireless deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
iOS 1.3 TWireless AWS Las tareas de IoT Wireless FUOTA deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
IVS.1 Los pares de claves de reproducción del IVS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
IVS.2 Las configuraciones de grabación del IVS deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
IVS.3 Los canales IVS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Espacios clave. 1 Los espacios clave de Amazon Keyspaces deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Kinesis.1 Las transmisiones de Kinesis deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
Kinesis.2 Las transmisiones de Kinesis deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Kinesis.3 Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos AWS Mejores prácticas fundamentales de seguridad v1.0.0 MEDIO El cambio se ha activado
KMS.1 Las políticas administradas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower MEDIO No El cambio se ha activado
KMS.2 Las entidades principales de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
KMS.3 AWS KMS keys no debe suprimirse involuntariamente AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 CRÍTICO No El cambio se ha activado
KMS.4 AWS KMS key la rotación debe estar habilitada CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 MEDIO Sin Periódico
KMS.5 Las claves KMS no deben ser de acceso público AWS Mejores prácticas de seguridad fundamentales v1.0.0 CRÍTICO No El cambio se ha activado
Lambda.1 Las funciones de Lambda deberían prohibir el acceso público AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower CRÍTICO No El cambio se ha activado
Lambda.2 Las funciones de Lambda deben usar los últimos tiempos de ejecución AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
Lambda.3 Las funciones de Lambda deben estar en una VPC PCI DSS v3.2.1, NIST SP 800-53 rev. 5 BAJA No El cambio se ha activado
Lambda.5 Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO El cambio se ha activado
Lambda.6 Las funciones de Lambda deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Macie.1 Amazon Macie debe estar habilitado AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIO No Periódico
Macie.2 La detección automática de datos confidenciales de Macie debe estar habilitada AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 ALTO No Periódico
MSK.1 Los clústeres de MSK deben cifrarse en tránsito entre los nodos de los corredores AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
MSK.2 Los clústeres de MSK deberían tener configurada una supervisión mejorada NIST SP 800-53 Rev. 5 BAJA No El cambio se ha activado
MSK.3 Los conectores de MSK Connect deben cifrarse en tránsito AWS Mejores prácticas de seguridad fundamentales v1.0.0, PCI DSS v4.0.1 MEDIO no El cambio se ha activado
MQ.2 Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
MQ.3 Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAJA No El cambio se ha activado
MQ.4 Los agentes de Amazon MQ deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
MQ.5 Los corredores de ActiveMQ deben usar el modo de implementación activo/en espera NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower BAJA No El cambio se ha activado
MQ.6 Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower BAJA No El cambio se ha activado
Neptune.1 Los clústeres de bases de datos de Neptune deberían estar cifrados en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
Neptune.2 Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
Neptune.3 Las instantáneas del clúster de base de datos de Neptune no deben ser públicas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower CRÍTICO No El cambio se ha activado
Neptune.4 Los clústers de Neptune DB deben tener habilitada la protección contra eliminación. AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower BAJA No El cambio se ha activado
Neptune.5 Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automatizadas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIO El cambio se ha activado
Neptune.6 Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
Neptune.7 Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
Neptune.8 Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower BAJA No El cambio se ha activado
Neptune.9 Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
NetworkFirewall1. Los firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
NetworkFirewall2. El registro de Network Firewall debe estar habilitado AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIO No Periódico
NetworkFirewall3. Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
NetworkFirewall4. La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos. AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
NetworkFirewall5. La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados. AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
NetworkFirewall6. El grupo de reglas de firewall de redes sin estado no debe estar vacío AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
NetworkFirewall7. Los firewall de Network Firewall deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
NetworkFirewall8. Las políticas de firewall de Network Firewall deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
NetworkFirewall9. Los firewalls de Network Firewall deben tener habilitada la protección de eliminación AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
Opensearch.1 OpenSearch los dominios deben tener habilitado el cifrado en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
Opensearch.2 OpenSearch los dominios no deben ser de acceso público AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 CRÍTICO No El cambio se ha activado
Opensearch.3 OpenSearch los dominios deben cifrar los datos enviados entre nodos AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
Opensearch.4 OpenSearch El registro de errores de dominio en CloudWatch los registros debe estar habilitado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
Opensearch.5 OpenSearch los dominios deben tener habilitado el registro de auditoría AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
Opensearch.6 OpenSearch los dominios deben tener al menos tres nodos de datos AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
Opensearch.7 OpenSearch los dominios deben tener habilitado un control de acceso detallado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower ALTO No El cambio se ha activado
Opensearch.8 Las conexiones a OpenSearch los dominios deben cifrarse con la política de seguridad TLS más reciente AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
Opensearch.9 OpenSearch los dominios deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Opensearch.10 OpenSearch los dominios deben tener instalada la última actualización de software AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAJA No El cambio se ha activado
Opensearch.11 OpenSearch los dominios deben tener al menos tres nodos principales dedicados NIST SP 800-53 Rev. 5 BAJA No Periódico
PCA.1 AWS Private CA la autoridad emisora de certificados raíz debe estar deshabilitada AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 BAJA No Periódico
PCA.2 AWS Las autoridades certificadoras de CA privadas deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
RDS.1 Las instantáneas de RDS deben ser privadas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 rev. 5 CRÍTICO No El cambio se ha activado
RDS.2 Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS Control Tower, PCI DSS v4.0.1 CRÍTICO No El cambio se ha activado
RDS.3 Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower MEDIO No El cambio se ha activado
RDS.4 Las instantáneas del clúster de RDS y las instantáneas de las bases de datos deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
RDS.5 Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
RDS.6 Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 BAJA El cambio se ha activado
RDS.7 Los clústeres RDS deben tener habilitada la protección contra la eliminación AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 BAJA No El cambio se ha activado
RDS.8 Indica si las instancias de base de datos de RDS debe tener la protección contra eliminación habilitada. AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 BAJA No El cambio se ha activado
RDS.9 Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
RDS.10 La autenticación de IAM debe configurarse para las instancias de RDS AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
RDS.11 Las instancias RDS deben tener habilitadas las copias de seguridad automáticas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO El cambio se ha activado
RDS.12 La autenticación de IAM debe configurarse para los clústeres de RDS AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
RDS.13 Deben habilitarse las actualizaciones automáticas entre versiones secundarias de RDS CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO Sin El cambio se ha activado
RDS.14 Los clústeres de Amazon Aurora deben tener habilitada la característica de búsqueda de datos anteriores AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIO El cambio se ha activado
RDS.15 Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
RDS.16 Los clústeres de bases de datos de RDS deben configurarse para copiar etiquetas en las instantáneas AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 BAJA No El cambio se ha activado
RDS.17 Las instancias de base de datos de RDS deben configurarse para copiar etiquetas en las instantáneas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 BAJA No El cambio se ha activado
RDS.18 Las instancias de RDS deben implementarse en una VPC AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 ALTO No El cambio se ha activado
RDS.19 Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos del clúster AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 BAJA No El cambio se ha activado
RDS.20 Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos de las instancias de bases de datos AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower BAJA No El cambio se ha activado
RDS.21 Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de parámetros de bases de datos AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower BAJA No El cambio se ha activado
RDS.22 Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de seguridad de bases de datos AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower BAJA No El cambio se ha activado
RDS.23 Las instancias RDS no deben usar el puerto predeterminado de un motor de base de datos AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 BAJA No El cambio se ha activado
RDS.24 Los clústeres de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
RDS.25 Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
RDS.26 Las instancias de base de datos de RDS tienen que ser protegidas por planes de copia de seguridad NIST SP 800-53 Rev. 5 MEDIO Periódico
RDS.27 Los clústeres de bases de datos de RDS deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
RDS.28 Los clústeres de base de datos de RDS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
RDS.29 Las instantáneas del clúster de base de datos de RDS deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
RDS.30 Las instancias de bases de datos de RDS deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
RDS.31 Los grupos de seguridad de bases de datos de RDS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
RDS.32 Las instantáneas de bases de datos de RDS deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
RDS.33 Los grupos de subredes de bases de datos de RDS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
RDS.34 Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en CloudWatch Logs AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
RDS.35 Los clústeres de bases de datos de RDS deberían tener habilitada la actualización automática de las versiones secundarias AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
RDS.36 Las instancias de base de datos de RDS para PostgreSQL deberían publicar registros en Logs CloudWatch AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 MEDIO El cambio se ha activado
RDS.37 Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
RDS.38 Las instancias de base de datos de RDS para PostgreSQL deben cifrarse en tránsito AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 MEDIO No Periódico
RDS.39 Las instancias de base de datos de RDS para MySQL deben cifrarse en tránsito AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 MEDIO No Periódico
Redshift.1 Los clústeres de Amazon Redshift deberían prohibir el acceso público AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower CRÍTICO No El cambio se ha activado
Redshift.2 Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
Redshift.3 Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIO El cambio se ha activado
Redshift.4 Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
Redshift.6 Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
Redshift.7 Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
Redshift.8 Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
Redshift.9 Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
Redshift.10 Los clústeres de Redshift deben estar cifrados en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
Redshift.11 Los clústeres de Redshift deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Redshift.12 Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Redshift.13 Las instantáneas del clúster de Redshift deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Redshift.14 Los grupos de subredes del clúster de Redshift deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Redshift.15 Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos AWS Mejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 ALTO No Periódico
Redshift. 16 Los grupos de subredes de clústeres de Redshift deben tener subredes de varias zonas de disponibilidad NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
Route53.1 Las comprobaciones de estado de Route 53 deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Route53.2 Las zonas alojadas públicas de Route 53 deben registrar las consultas de DNS AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No El cambio se ha activado
S3.1 Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No Periódico
S3.2 Los buckets de uso general de S3 deben bloquear el acceso público de lectura AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 rev. 5 CRÍTICO No El cambio se desencadena y es periódico
S3.3 Los buckets de uso general de S3 deben bloquear el acceso público de escritura AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 rev. 5 CRÍTICO No El cambio se desencadena y es periódico
S3.5 En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
S3.6 Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 ALTO No El cambio se ha activado
S3.7 Los buckets de uso general de S3 deben usar la replicación entre regiones PCI DSS v3.2.1, NIST SP 800-53 rev. 5 BAJA No El cambio se ha activado
S3.8 Los buckets de uso general de S3 deben bloquear el acceso público CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO Sin El cambio se ha activado
S3.9 Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
S3.10 Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
S3.11 Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos NIST SP 800-53 Rev. 5 MEDIO El cambio se ha activado
S3.12 ACLs no debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3 AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
S3.13 Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 BAJA El cambio se ha activado
S3.14 Los buckets de uso general de S3 deben tener habilitado el control de versiones NIST SP 800-53 Rev. 5 BAJA No El cambio se ha activado
S3.15 Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos NIST SP 800-53 rev. 5, PCI DSS v4.0.1 MEDIO El cambio se ha activado
S3.17 Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
S3.19 Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 CRÍTICO No El cambio se ha activado
S3.20 Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 BAJA No El cambio se ha activado
S3.22 Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 MEDIO No Periódico
S3.23 Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 MEDIO No Periódico
S3.24 Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público AWS Mejores prácticas de seguridad fundamentales v1.0.0, PCI DSS v4.0.1 ALTO No El cambio se ha activado
SageMaker1. Las instancias de Amazon SageMaker AI Notebook no deberían tener acceso directo a Internet AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO No Periódico
SageMaker2. SageMaker las instancias de notebook deben lanzarse en una VPC personalizada AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 ALTO No El cambio se ha activado
SageMaker3. Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 ALTO No El cambio se ha activado
SageMaker4. SageMaker las variantes de producción de terminales deben tener un recuento inicial de instancias superior a 1 AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 rev. 5 MEDIO No Periódico
SageMaker5. SageMaker los modelos deberían bloquear el tráfico entrante AWS Mejores prácticas fundamentales de seguridad v1.0.0 MEDIO No El cambio se ha activado
SecretsManager1. Los secretos de Secrets Manager deberían tener habilitada la rotación automática AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO El cambio se ha activado
SecretsManager2. Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO No El cambio se ha activado
SecretsManager3. Eliminación de secretos no utilizados de Secrets Manager AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIO Periódico
SecretsManager4. Los secretos de Secrets Manager deben rotarse en un número específico de días AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower MEDIO Periódico
SecretsManager5. Los secretos de Secrets Manager deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
ServiceCatalog1. Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 ALTO No Periódico
SES.1 Las listas de contactos de SES deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
SES.2 Los conjuntos de configuración de SES deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
SNS.1 Los temas de SNS deben cifrarse en reposo mediante AWS KMS NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
SNS.3 Los temas de SNS deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
SNS.4 Las políticas de acceso a los temas de SNS no deberían permitir el acceso público AWS Mejores prácticas fundamentales de seguridad v1.0.0 ALTO No El cambio se ha activado
SQS.1 Las colas de Amazon SQS deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 MEDIO No El cambio se ha activado
SQS.2 Las colas de SQS deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
SSM.1 EC2 las instancias deben ser administradas por AWS Systems Manager AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
SSM.2 EC2 las instancias administradas por Systems Manager deben tener un estado de conformidad con los parches de CONFORMIDAD tras la instalación de un parche AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower ALTO No El cambio se ha activado
SSM.3 EC2 las instancias administradas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, estándar de administración de servicios: AWS Control Tower BAJA No El cambio se ha activado
SSM.4 Los documentos del SSM no deben ser públicos AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 CRÍTICO No Periódico
StepFunctions1. Step Functions indica que las máquinas deberían tener el registro activado AWS Mejores prácticas de seguridad fundamentales v1.0.0, PCI DSS v4.0.1 MEDIO El cambio se ha activado
StepFunctions2. Las actividades de Step Functions deben estar etiquetadas AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Transfer.1 Los flujos de trabajo de Transfer Family deben estar etiquetados AWS Estándar de etiquetado de recursos BAJA El cambio se ha activado
Transfer.2 Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MEDIO No Periódico
WAF.1 AWS El registro WAF Classic Global Web ACL debe estar habilitado AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 MEDIO No Periódico
WAF.2 AWS Las reglas regionales clásicas de la WAF deben tener al menos una condición AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de gestión de servicios: AWS Control Tower NIST SP 800-53 rev. 5 MEDIO No El cambio se ha activado
WAF.3 AWS Los grupos de reglas regionales clásicas de la WAF deben tener al menos una regla AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 MEDIO No El cambio se ha activado
WAF.4 AWS La web WAF Classic Regional ACLs debe tener al menos una regla o grupo de reglas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
WAF.6 AWS Las reglas globales de WAF Classic deben tener al menos una condición AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
WAF.7 AWS Los grupos de reglas globales de WAF Classic deben tener al menos una regla AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 rev. 5 MEDIO No El cambio se ha activado
WAF.8 AWS La web global de WAF Classic ACLs debe tener al menos una regla o grupo de reglas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
WAF.10 AWS La web WAF ACLs debe tener al menos una regla o grupo de reglas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
WAF.11 AWS El registro de ACL web en WAF debe estar habilitado NIST SP 800-53 rev. 5, PCI DSS v4.0.1 BAJA No Periódico
WAF.12 AWS Las reglas WAF deben tener las CloudWatch métricas habilitadas AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIO No El cambio se ha activado
WorkSpaces1. WorkSpaces los volúmenes de usuarios deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 MEDIO No El cambio se ha activado
WorkSpaces2. WorkSpaces los volúmenes raíz deben cifrarse en reposo AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 MEDIO No El cambio se ha activado
Temas