As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas operacionais para o CIS AWS Foundations Benchmark v1.4 Nível 1
Os pacotes de conformidade fornecem um framework de conformidade de uso geral desenvolvido para permitir que você crie verificações de governança operacional, de segurança ou de otimização de custos usando regras gerenciadas ou personalizadas do AWS Config e ações de correção do AWS Config. Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.
Veja abaixo um exemplo de mapeamento entre o Center for Internet Security (CIS) Amazon Web Services Foundation v1.4 Nível 1 e as regras gerenciadas do AWS Config/as verificações de processo do AWS Config. Cada regra do Config se aplica a um recurso específico da AWS e está relacionada a um ou mais controles do CIS Amazon Web Services Foundation v1.4 Nível 1. Um controle do CIS Amazon Web Services Foundation v1.4 Nível 1 pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.
Para obter mais informações sobre verificações de processo, consulte process-checks.
| ID de controle | Descrição do controle | Regra do AWS Config | Orientação |
|---|---|---|---|
| 1.1 | Manter detalhes de contato atuais | account-contact-details-configured (verificação de processo) | Atualize o e-mail de contato e o número de telefone das contas da AWS e mapeie-os para mais de uma pessoa na sua organização. Na seção Minha conta do console, verifique se as informações corretas estão especificadas na seção Informações de contato. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.2 | Verificar se as informações de contato de segurança estão registradas | account-security-contact-configured (verificação de processo) | Atualize o e-mail de contato e o número de telefone da equipe de segurança da sua organização. Na seção Minha conta do AWS Management Console, verifique se as informações corretas estão especificadas na seção Informações de contato. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.4 | Verificar se não existe uma chave de acesso do usuário 'raiz' | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima. | |
| 1.5 | Verificar se a MFA está habilitada para o usuário 'raiz' | Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas. | |
| 1,7 | Eliminar o uso do usuário 'raiz' para tarefas administrativas e diárias | root-account-regular-use (verificação de processo) | O uso da conta raiz deve ser evitado nas tarefas diárias. No IAM, execute um relatório de credencial para examinar quando o usuário raiz foi usado pela última vez. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.8 | Verificar se a política de senha do IAM exige um comprimento mínimo de 14 ou mais | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização. | |
| 1.9 | Verificar se a política de senha do IAM impede a reutilização de senhas | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Elas atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão Práticas Recomendadas de Segurança Básica da AWS para a força da senha. Esta regra permite que você defina opcionalmente RequireUppercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS (AWS FSBP): true), RequireLowercaseCharacters (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireSymbols (valor do Práticas Recomendadas de Segurança Básica da AWS: true), RequireNumbers (valor do Práticas Recomendadas de Segurança Básica da AWS: true), MinimumPasswordLength (valor do Práticas Recomendadas de Segurança Básica da AWS: 14), PasswordReusePrevention (valor do Práticas Recomendadas de Segurança Básica da AWS: 24) e MaxPasswordAge (valor do Práticas Recomendadas de Segurança Básica da AWS: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da organização. | |
| 1.10 | Verificar se a autenticação multifator (MFA) está ativada para todos os usuários que têm uma senha do console | Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.11 | Não configurar chaves de acesso durante a configuração inicial do usuário para todos os usuários que têm uma senha do console | iam-user-console-and-api-access-at-creation (verificação de processo) | Não configure chaves de acesso durante a configuração inicial do usuário para os usuários que têm uma senha do console. Para todos os usuários com acesso ao console, compare a ‘Hora de criação’ do usuário com a data da chave de acesso ‘Criada’. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.12 | Verificar se as credenciais não usadas por 45 dias ou mais são desativadas | O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (valor padrão CIS: 45). O valor real deve refletir as políticas da organização. | |
| 1.13 | Verificar se há apenas uma chave de acesso ativa disponível para cada usuário | iam-user-single-access-key (verificação de processo) | Verifique se há apenas uma chave de acesso ativa disponível para cada usuário. Para todos os usuários, verifique se há apenas uma chave ativa usada na guia Credenciais de segurança para cada usuário no IAM. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.14 | Verificar se as chaves de acesso são alternadas a cada 90 dias ou menos | As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização. | |
| 1.15 | Garantir que os usuários recebam permissões somente por meio de grupos | Essa regra garante que as políticas do AWS Identity and Access Management (IAM) sejam anexadas apenas a grupos ou perfis para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 1.15 | Garantir que os usuários recebam permissões somente por meio de grupos | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. | |
| 1.15 | Garantir que os usuários recebam permissões somente por meio de grupos | O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 1.16 | Verificar se as políticas do IAM que permitem privilégios administrativos "*:*" completos não estão anexadas | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "*" por "Resource": "*". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 1.17 | Verificar se um perfil de suporte foi criado para gerenciar incidentes com o AWS Support | O AWS Identity and Access Management (IAM) pode ajudar você a gerenciar permissões e autorizações de acesso, garantindo que as políticas do IAM sejam atribuídas aos usuários, perfis ou grupos apropriados. A restrição dessas políticas também incorpora os princípios do privilégio mínimo e separação de deveres. Essa regra requer que você defina o policyARN como arn:aws:iam::aws:policy/AWSSupportAccess para gerenciamento de incidentes com o AWS Support. | |
| 1.19 | Verificar se todos os certificados SSL/TLS expirados armazenados no AWS IAM são removidos | iam-expired-certificates (verificação de processo) | Verifique se todos os certificados SSL/TLS expirados armazenados no IAM são removidos. Na linha de comando com a AWS CLI instalada, execute o comando “AWS iam list-server-certificates” e determine se há algum certificado de servidor expirado. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.20 | Verificar se o AWS IAM Access Analyzer está habilitado | iam-access-analyzer-enabled (verificação de processo) | Verifique se o IAM Access Analyzer está habilitado. Na seção IAM do console, selecione Access Analyzer e verifique se o STATUS está definido como Ativo. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 2.1.3 | Verificar se a Exclusão de MFA está ativada nos buckets do S3 | O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Adicionar a exclusão de autenticação multifator (MFA) a um bucket do S3 requer um fator adicional de autenticação para alterar o estado da versão do seu bucket ou excluir uma versão do objeto. A exclusão da MFA pode adicionar uma camada adicional de segurança caso as credenciais de segurança sejam comprometidas ou o acesso não autorizado seja concedido. | |
| 2.1.5 | Verificar se os buckets do S3 estão configurados com 'Bloqueio de acesso público (configurações do bucket)' | Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente os parâmetros ignorePublicAcls (padrão do Config: true), blockPublicPolicy (padrão do Config: true), blockPublicAcls (padrão do Config: true) e restrictPublicBuckets (padrão do Config: true). Os valores reais devem refletir as políticas da organização. | |
| 2.1.5 | Verificar se os buckets do S3 estão configurados com 'Bloqueio de acesso público (configurações do bucket)' | Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 2.2.1 | Verificar se a criptografia de volume do EBS está habilitada | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 2.2.1 | Verificar se a criptografia de volume do EBS está habilitada | Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 2.3.1 | Verificar se a criptografia está habilitada para instâncias do RDS | Habilite a criptografia para os snapshots do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 2.3.1 | Verificar se a criptografia está habilitada para instâncias do RDS | Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.1 | Verificar se o CloudTrail está habilitado em todas as regiões | O AWS CloudTrail registra as ações e as chamadas da API do Console de Gerenciamento da AWS. Você pode identificar quais usuários e contas chamaram a AWS, o endereço IP de origem do qual as chamadas foram feitas e quando elas ocorreram. O CloudTrail fornecerá os arquivos de log de todas as regiões da AWS para o bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, quando a AWS atender a uma nova região, o CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 3.3 | Verificar se o bucket do S3 usado para armazenar logs do CloudTrail não é acessível publicamente | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 3.3 | Verificar se o bucket do S3 usado para armazenar logs do CloudTrail não é acessível publicamente | Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 3.3 | Verificar se o bucket do S3 usado para armazenar logs do CloudTrail não é acessível publicamente | Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 3.4 | Verificar se as trilhas do CloudTrail estão integradas ao CloudWatch Logs | Use o Amazon CloudWatch para coletar e gerenciar centralmente a atividade de eventos de logs. A inclusão dos dados do AWS CloudTrail fornece detalhes da atividade de chamadas da API em sua Conta da AWS. | |
| 3.6 | Verificar se o registro em log de acesso ao bucket do S3 está habilitado no bucket do CloudTrail S3 | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 4.1 | Verificar se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas | alarm-unauthorized-api-calls (verificação de processo) | Verifique se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.2 | Verificar se existe um alarme e um filtro de métrica de log para login do Management Console sem MFA | alarm-sign-in-without-mfa (verificação de processo) | Verifique se existe um alarme e um filtro de métrica de log para login no AWS Management Console sem autenticação multifator (MFA). Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.3 | Verificar se existe um alarme e um filtro de métrica de log para uso da conta "raiz" | alarm-root-account-use (verificação de processo) | Verifique se existe um alarme e um filtro de métrica de log para uso da conta "raiz". Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.4 | Verificar se existe um alarme e um filtro de métrica de log para alterações de política do IAM | alarm-iam-policy-change (verificação de processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações de política do IAM. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.5 | Verificar se existe um alarme e um filtro de métrica de log para alterações de configuração do CloudTrail | alarm-cloudtrail-config-change (verificação de processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações de configuração do AWS CloudTrail. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.8 | Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3 | alarm-s3-bucket-policy-change (verificação de processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.12 | Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede | alarm-vpc-network-gateway-change (verificação de processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.13 | Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas | alarm-vpc-route-table-change (verificação de processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.14 | Verificar se existe um alarme e um filtro de métrica de log para alterações de VPC | alarm-vpc-change (verificação de processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações no Amazon Virtual Private Cloud (VPC). Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.15 | Verificar se existe um alarme e um filtro de métrica de log para alterações do AWS Organizations | alarm-organizations-change (verificação de processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações do AWS Organizations. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 5.1 | Verificar se nenhum ACLs de rede permite o ingresso de 0.0.0.0/0 às portas de administração do servidor remoto | Verifique se nenhum ACLs de rede permite o ingresso público às portas de administração do servidor remoto. Na seção VPC do console, verifique se há ACLs de rede com uma fonte de '0.0.0.0/0' com portas permitidas ou intervalos de portas, incluindo portas de administração do servidor remoto. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ | |
| 5.2 | Verificar se nenhum grupo de segurança permite o ingresso de 0.0.0.0/0 às portas de administração do servidor remoto | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto. | |
| 5.2 | Verificar se nenhum grupo de segurança permite o ingresso de 0.0.0.0/0 às portas de administração do servidor remoto | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (valor padrão CIS: 3389). Os valores reais devem refletir as políticas da organização. |
Modelo
O modelo está disponível no GitHub: Operational Best Practices for CIS AWS Foundations Benchmark v1.4 Level 1
