As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para o CIS AWS Foundations Benchmark v1.4 Level 1
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operação ou otimização de custos usando regras e ações de remediação gerenciadas ou personalizadas. AWS Config AWS Config Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.
Veja a seguir um exemplo de mapeamento entre o Center for Internet Security (CIS) Amazon Web Services Foundation v1.4 Level 1 e as regras de AWS Config/Verificações de processo gerenciadas.AWS Config Cada regra do Config se aplica a um AWS recurso específico e está relacionada a um ou mais controles CIS Amazon Web Services Foundation v1.4 Nível 1. Um controle do CIS Amazon Web Services Foundation v1.4 Nível 1 pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.
Para obter mais informações sobre verificações de processo, consulte process-checks.
| ID de controle | Descrição do controle | AWS Regra de configuração | Orientação |
|---|---|---|---|
| 1.1 | Manter detalhes de contato atuais | account-contact-details-configured (verificação do processo) | Atualize o e-mail de contato e o número de telefone das contas da AWS e mapeie-os para mais de uma pessoa na sua organização. Na seção Minha conta do console, verifique se as informações corretas estão especificadas na seção Informações de contato. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.2 | Verificar se as informações de contato de segurança estão registradas | account-security-contact-configured (Verificação do processo) | Atualize o e-mail de contato e o número de telefone da equipe de segurança da sua organização. Na seção Minha conta do AWS Management Console, certifique-se de que as informações corretas sejam especificadas na seção Segurança. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.4 | Verificar se não existe uma chave de acesso do usuário 'raiz' | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use com base em funções Contas da AWS para ajudar a incorporar o princípio da menor funcionalidade. | |
| 1.5 | Verificar se a MFA está habilitada para o usuário 'raiz' | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de comprometimento. Contas da AWS | |
| 1,7 | Eliminar o uso do usuário 'raiz' para tarefas administrativas e diárias | root-account-regular-use (Verificação do processo) | O uso da conta raiz deve ser evitado nas tarefas diárias. No IAM, execute um relatório de credencial para examinar quando o usuário raiz foi usado pela última vez. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.8 | Verificar se a política de senha do IAM exige um comprimento mínimo de 14 ou mais | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireLowercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireSymbols (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireNumbers (valor das melhores práticas de segurança AWS básicas: verdadeiro), MinimumPasswordLength (valor das melhores práticas de segurança AWS básicas: 14), PasswordReusePrevention (valor das melhores práticas de segurança AWS básicas: 24) e MaxPasswordAge (valor das melhores práticas de segurança AWS básica: 90) para seu IAM Política de senha. Os valores reais devem refletir as políticas da organização. | |
| 1.9 | Verificar se a política de senha do IAM impede a reutilização de senhas | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireLowercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireSymbols (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireNumbers (valor das melhores práticas de segurança AWS básicas: verdadeiro), MinimumPasswordLength (valor das melhores práticas de segurança AWS básicas: 14), PasswordReusePrevention (valor das melhores práticas de segurança AWS básicas: 24) e MaxPasswordAge (valor das melhores práticas de segurança AWS básica: 90) para seu IAM Política de senha. Os valores reais devem refletir as políticas da organização. | |
| 1.10 | Verificar se a autenticação multifator (MFA) está ativada para todos os usuários que têm uma senha do console | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.11 | Não configurar chaves de acesso durante a configuração inicial do usuário para todos os usuários que têm uma senha do console | iam-user-console-and- (Verificação do processo) api-access-at-creation | Não configure chaves de acesso durante a configuração inicial do usuário para os usuários que têm uma senha do console. Para todos os usuários com acesso ao console, compare a ‘Hora de criação’ do usuário com a data da chave de acesso ‘Criada’. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.12 | Verificar se as credenciais não usadas por 45 dias ou mais são desativadas | AWS O Identity and Access Management (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para a maxCredentialUsage Idade (valor padrão CIS: 45). O valor real deve refletir as políticas da organização. | |
| 1.13 | Verificar se há apenas uma chave de acesso ativa disponível para cada usuário | iam- user-single-access-key (Verificação do processo) | Verifique se há apenas uma chave de acesso ativa disponível para cada usuário. Para todos os usuários, verifique se há apenas uma chave ativa usada na guia Credenciais de segurança para cada usuário no IAM. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.14 | Verificar se as chaves de acesso são alternadas a cada 90 dias ou menos | As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas conforme especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização. | |
| 1.15 | Garantir que os usuários recebam permissões somente por meio de grupos | Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 1.15 | Garantir que os usuários recebam permissões somente por meio de grupos | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWS recomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. | |
| 1.15 | Garantir que os usuários recebam permissões somente por meio de grupos | AWS O Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 1.16 | Verificar se as políticas do IAM que permitem privilégios administrativos "*:*" completos não estão anexadas | AWS O Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 1.17 | Garanta que uma função de suporte tenha sido criada para gerenciar incidentes com AWS o Support | AWS O Identity and Access Management (IAM) pode ajudar você a gerenciar permissões e autorizações de acesso, garantindo que as políticas do IAM sejam atribuídas aos usuários, funções ou grupos apropriados. A restrição dessas políticas também incorpora os princípios do privilégio mínimo e separação de deveres. Essa regra exige que você defina o PolicYarn como arn:aws:iam: :aws:policy/, para gerenciamento de incidentes com o Support. AWSSupportAccess AWS | |
| 1,19 | Verificar se todos os certificados SSL/TLS expirados armazenados no AWS IAM são removidos | iam-expired-certificates (Verificação do processo) | Verifique se todos os certificados SSL/TLS expirados armazenados no IAM são removidos. Na linha de comando com a AWS CLI instalada, execute o comando 'AWS iam list-server-certificates' e determine se há algum certificado de servidor expirado. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1,20 | Certifique-se de que o AWS IAM Access Analyzer esteja ativado | iam-access-analyzer-enabled (Verificação do processo) | Verifique se o IAM Access Analyzer está habilitado. Na seção IAM do console, selecione Access Analyzer e verifique se o STATUS está definido como Ativo. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 2.1.3 | Verificar se a Exclusão de MFA está ativada nos buckets do S3 | O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Adicionar a exclusão de autenticação multifator (MFA) a um bucket do S3 requer um fator adicional de autenticação para alterar o estado da versão do seu bucket ou excluir uma versão do objeto. A exclusão da MFA pode adicionar uma camada adicional de segurança caso as credenciais de segurança sejam comprometidas ou o acesso não autorizado seja concedido. | |
| 2.1.5 | Verificar se os buckets do S3 estão configurados com 'Bloqueio de acesso público (configurações do bucket)' | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da organização. | |
| 2.1.5 | Verificar se os buckets do S3 estão configurados com 'Bloqueio de acesso público (configurações do bucket)' | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 2.2.1 | Verificar se a criptografia de volume do EBS está habilitada | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 2.2.1 | Verificar se a criptografia de volume do EBS está habilitada | Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 2.3.1 | Verificar se a criptografia está habilitada para instâncias do RDS | Habilite a criptografia para os snapshots do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 2.3.1 | Verificar se a criptografia está habilitada para instâncias do RDS | Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.1 | O Ensure CloudTrail está ativado em todas as regiões | AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaram AWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 3.3 | Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 3.3 | Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 3.3 | Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 3.4 | Garanta que as CloudTrail trilhas sejam integradas aos CloudWatch registros | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em seu Conta da AWS. | |
| 3.6 | Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3 | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 4.1 | Verificar se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas | alarm-unauthorized-api-calls (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.2 | Verificar se existe um alarme e um filtro de métrica de log para login do Management Console sem MFA | alarm- sign-in-without-mfa (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para login no AWS Management Console sem autenticação multifator (MFA). Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.3 | Verificar se existe um alarme e um filtro de métrica de log para uso da conta "raiz" | alarm-root-account-use (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para uso da conta "raiz". Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.4 | Verificar se existe um alarme e um filtro de métrica de log para alterações de política do IAM | alarm-iam-policy-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações de política do IAM. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.5 | Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração | alarm-cloudtrail-config-change (Verificação do processo) | Certifique-se de que exista um filtro métrico de log e um alarme para alterações na AWS CloudTrail configuração. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.8 | Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3 | alarm-s3- bucket-policy-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.12 | Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede | alarm- vpc-network-gateway-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.13 | Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas | alarm- vpc-route-table-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.14 | Verificar se existe um alarme e um filtro de métrica de log para alterações de VPC | alarm-vpc-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações no Amazon Virtual Private Cloud (VPC). Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.15 | Verificar se existe um alarme e um filtro de métrica de log para alterações do AWS Organizations | alarm-organizations-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações do AWS Organizations. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 5.1 | Verificar se nenhum ACLs de rede permite o ingresso de 0.0.0.0/0 às portas de administração do servidor remoto | Verifique se nenhum ACLs de rede permite o ingresso público às portas de administração do servidor remoto. Na seção VPC do console, verifique se há ACLs de rede com uma fonte de '0.0.0.0/0' com portas permitidas ou intervalos de portas, incluindo portas de administração do servidor remoto. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ | |
| 5.2 | Verificar se nenhum grupo de segurança permite o ingresso de 0.0.0.0/0 às portas de administração do servidor remoto | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede aos recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto. | |
| 5.2 | Verificar se nenhum grupo de segurança permite o ingresso de 0.0.0.0/0 às portas de administração do servidor remoto | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (valor padrão CIS: 3389). Os valores reais devem refletir as políticas da organização. |
Modelo
O modelo está disponível em GitHub: Melhores práticas operacionais para o CIS AWS Foundations Benchmark v1.4
