As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para o CIS AWS Foundations Benchmark v1.4 Level 2
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operação ou otimização de custos usando regras e ações de remediação gerenciadas ou personalizadas. AWS Config AWS Config Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.
Veja a seguir um exemplo de mapeamento entre o Center for Internet Security (CIS) Amazon Web Services Foundation v1.4 Level 2 e as regras de AWS Config/Verificações de processo gerenciadas.AWS Config Cada regra do Config se aplica a um AWS recurso específico e está relacionada a um ou mais controles CIS Amazon Web Services Foundation v1.4 Nível 2. Um controle do CIS Amazon Web Services Foundation v1.4 Nível 2 pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.
Para obter mais informações sobre verificações de processo, consulte process-checks.
| ID de controle | Descrição do controle | AWS Regra de configuração | Orientação |
|---|---|---|---|
| 1.1 | Manter detalhes de contato atuais | account-contact-details-configured (verificação do processo) | Atualize o e-mail de contato e o número de telefone das contas da AWS e mapeie-os para mais de uma pessoa na sua organização. Na seção Minha conta do console, verifique se as informações corretas estão especificadas na seção Informações de contato. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 1.2 | Verificar se as informações de contato de segurança estão registradas | account-security-contact-configured (Verificação do processo) | Atualize o e-mail de contato e o número de telefone da equipe de segurança da sua organização. Na seção Minha conta do AWS Management Console, certifique-se de que as informações corretas sejam especificadas na seção Segurança. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 1.4 | Verificar se não existe uma chave de acesso do usuário 'raiz' | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas à sua função de AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use com base em funções Contas da AWS para ajudar a incorporar o princípio da menor funcionalidade. | |
| 1.5 | Verificar se a MFA está habilitada para o usuário 'raiz' | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de comprometimento. Contas da AWS | |
| 1.6 | Verificar se a MFA de hardware está habilitada para a conta do usuário 'raiz' | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir MFA para o usuário raiz, você pode reduzir os incidentes de comprometimento. Contas da AWS | |
| 1,7 | Eliminar o uso do usuário 'raiz' para tarefas administrativas e diárias | root-account-regular-use (Verificação do processo) | O uso da conta raiz deve ser evitado nas tarefas diárias. No IAM, execute um relatório de credencial para examinar quando o usuário raiz foi usado pela última vez. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 1.8 | Verificar se a política de senha do IAM exige um comprimento mínimo de 14 ou mais | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireLowercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireSymbols (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireNumbers (valor das melhores práticas de segurança AWS básicas: verdadeiro), MinimumPasswordLength (valor das melhores práticas de segurança AWS básicas: 14), PasswordReusePrevention (valor das melhores práticas de segurança AWS básicas: 24) e MaxPasswordAge (valor das melhores práticas de segurança AWS básica: 90) para seu IAM Política de senha. Os valores reais devem refletir as políticas da organização. | |
| 1.9 | Verificar se a política de senha do IAM impede a reutilização de senhas | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política organizacional de senhas do IAM. Eles atendem ou excedem os requisitos estabelecidos pelo NIST SP 800-63 e pelo padrão AWS Foundational Security Best Practices para a força da senha. Essa regra permite que você defina opcionalmente RequireUppercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireLowercaseCharacters (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireSymbols (valor das melhores práticas de segurança AWS básicas: verdadeiro), RequireNumbers (valor das melhores práticas de segurança AWS básicas: verdadeiro), MinimumPasswordLength (valor das melhores práticas de segurança AWS básicas: 14), PasswordReusePrevention (valor das melhores práticas de segurança AWS básicas: 24) e MaxPasswordAge (valor das melhores práticas de segurança AWS básica: 90) para seu IAM Política de senha. Os valores reais devem refletir as políticas da organização. | |
| 1.10 | Verificar se a autenticação multifator (MFA) está ativada para todos os usuários que têm uma senha do console | Gerencie o acesso aos recursos na AWS nuvem garantindo que a MFA esteja habilitada para todos os usuários do AWS Identity and Access Management (IAM) que tenham uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.11 | Não configurar chaves de acesso durante a configuração inicial do usuário para todos os usuários que têm uma senha do console | iam-user-console-and- api-access-at-creation (Verificação do processo) | Não configure chaves de acesso durante a configuração inicial do usuário para os usuários que têm uma senha do console. Para todos os usuários com acesso ao console, compare a ‘Hora de criação’ do usuário com a data da chave de acesso ‘Criada’. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 1.12 | Certifique-se de que as credenciais não usadas por 45 dias ou mais sejam desativadas | AWS O Identity and Access Management (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para a maxCredentialUsage Idade (valor padrão CIS: 45). O valor real deve refletir as políticas da organização. | |
| 1.13 | Verificar se há apenas uma chave de acesso ativa disponível para cada usuário | iam-user-single-access-key (verificação do processo) | Verifique se há apenas uma chave de acesso ativa disponível para cada usuário. Para todos os usuários, verifique se há apenas uma chave ativa usada na guia Credenciais de segurança para cada usuário no IAM. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 1.14 | Verificar se as chaves de acesso são alternadas a cada 90 dias ou menos | As credenciais são auditadas para dispositivos, usuários e processos autorizados garantindo que as chaves de acesso do IAM sejam alternadas como especificado pela política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso permanece ativa e diminui o impacto nos negócios se as chaves forem comprometidas. Essa regra requer um valor de alternância da chave de acesso (padrão do Config: 90). O valor real deve refletir as políticas da organização. | |
| 1.15 | Garantir que os usuários recebam permissões somente por meio de grupos | Essa regra garante que as políticas de AWS Identity and Access Management (IAM) sejam anexadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios por grupo ou perfil ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 1.15 | Garantir que os usuários recebam permissões somente por meio de grupos | Certifique-se de que um usuário, uma função do IAM ou um grupo do IAM do AWS Identity and Access Management (IAM) não tenha uma política embutida para controlar o acesso a sistemas e ativos. AWS recomenda usar políticas gerenciadas em vez de políticas embutidas. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. | |
| 1.15 | Garantir que os usuários recebam permissões somente por meio de grupos | AWS O Identity and Access Management (IAM) pode ajudá-lo a restringir permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 1.16 | Verificar se as políticas do IAM que permitem privilégios administrativos "*:*" completos não estão anexadas | AWS O Identity and Access Management (IAM) pode ajudá-lo a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| 1.17 | Garanta que uma função de suporte tenha sido criada para gerenciar incidentes com AWS o Support | AWS O Identity and Access Management (IAM) pode ajudar você a gerenciar permissões e autorizações de acesso, garantindo que as políticas do IAM sejam atribuídas aos usuários, funções ou grupos apropriados. A restrição dessas políticas também incorpora os princípios do privilégio mínimo e separação de deveres. Essa regra exige que você defina o PolicYarn como arn:aws:iam: :aws:policy/ Access, para gerenciamento de incidentes com o Support. AWSSupport AWS | |
| 1,18 | Certifique-se de que as funções de instância do IAM sejam usadas para acesso a AWS recursos a partir de instâncias | EC2 perfis de instância passam uma função do IAM para uma EC2 instância. Anexar um perfil de instância às instâncias pode ajudar no gerenciamento de privilégio mínimo e permissões. | |
| 1,19 | Verificar se todos os certificados SSL/TLS expirados armazenados no AWS IAM são removidos | iam-expired-certificates (Verificação do processo) | Verifique se todos os certificados SSL/TLS expirados armazenados no IAM são removidos. Na linha de comando com a AWS CLI instalada, execute o comando 'AWS iam list-server-certificates' e determine se há algum certificado de servidor expirado. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 1,20 | Certifique-se de que o AWS IAM Access Analyzer esteja ativado | iam-access-analyzer-enabled (Verificação do processo) | Verifique se o IAM Access Analyzer está habilitado. Na seção IAM do console, selecione Access Analyzer e verifique se o STATUS está definido como Ativo. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 1,21 | Garanta que os usuários sejam gerenciados centralmente a partir da federação de identidades ou AWS Organizations para ambientes com várias contas | account-part-of-organizations | O gerenciamento centralizado de Contas da AWS dentro das AWS Organizations ajuda a garantir que as contas estejam em conformidade. Usar uma governança não centralizada na conta pode gerar inconsistências nas configurações da conta, o que pode expor recursos e dados confidenciais. |
| 2.1.1 | Garanta que todos os buckets S3 funcionem encryption-at-rest | Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los. | |
| 2.1.2 | Verificar se a política de bucket do S3 está configurada para negar solicitações HTTP | Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 2.1.3 | Verificar se a Exclusão de MFA está ativada nos buckets do S3 | O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Adicionar a exclusão de autenticação multifator (MFA) a um bucket do S3 requer um fator adicional de autenticação para alterar o estado da versão do seu bucket ou excluir uma versão do objeto. A exclusão da MFA pode adicionar uma camada adicional de segurança caso as credenciais de segurança sejam comprometidas ou o acesso não autorizado seja concedido. | |
| 2.1.5 | Verificar se os buckets do S3 estão configurados com 'Bloqueio de acesso público (configurações do bucket)' | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) e restrictPublicBuckets parâmetros (Config Default: True). Os valores reais devem refletir as políticas da organização. | |
| 2.1.5 | Verificar se os buckets do S3 estão configurados com 'Bloqueio de acesso público (configurações do bucket)' | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 2.2.1 | Verificar se a criptografia de volume do EBS está habilitada | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 2.2.1 | Certifique-se de que a criptografia de volume do EBS esteja ativada | Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 2.3.1 | Certifique-se de que a criptografia esteja habilitada para instâncias do RDS | Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 2.3.1 | Certifique-se de que a criptografia esteja habilitada para instâncias do RDS | Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 3.1 | O Ensure CloudTrail está ativado em todas as regiões | AWS CloudTrail registra as ações do AWS Management Console e as chamadas de API. Você pode identificar quais usuários e contas ligaram AWS, o endereço IP de origem de onde as chamadas foram feitas e quando elas ocorreram. CloudTrail entregará arquivos de log de todas as AWS regiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver habilitado. Além disso, ao AWS lançar uma nova região, CloudTrail criará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 3.2 | Certifique-se de que a validação do arquivo de CloudTrail log esteja ativada | Utilize a validação do arquivo de AWS CloudTrail log para verificar a integridade dos CloudTrail registros. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção. | |
| 3.3 | Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 3.3 | Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público | Gerencie o acesso aos recursos na AWS nuvem permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 3.3 | Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público | Gerencie o acesso aos recursos na AWS nuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 3.4 | Garanta que as CloudTrail trilhas sejam integradas aos CloudWatch registros | Use CloudWatch a Amazon para coletar e gerenciar centralmente a atividade de eventos de log. A inclusão de AWS CloudTrail dados fornece detalhes da atividade de chamadas de API em seu Conta da AWS. | |
| 3.5 | Certifique-se de que o AWS Config esteja ativado em todas as regiões | config-enabled-all-regions (Verificação do processo) | Certifique-se de que o AWS Config esteja ativado em todas as AWS regiões. Na seção AWS Config do console, para cada região ativada, certifique-se de que o gravador AWS Config esteja configurado corretamente. Verifique se o registro de recursos globais da AWS está ativado em pelo menos uma região. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 3.6 | Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3 | O registro em log de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados pela captura de registros detalhados das solicitações que são feitas a um bucket do Amazon S3. Cada registro de log de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem solicitante, nome do bucket, horário da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 3.7 | Garanta que CloudTrail os registros sejam criptografados em repouso usando o KMS CMKs | Como pode haver dados confidenciais e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail. | |
| 3.8 | Garanta que a rotação para clientes criados CMKs esteja ativada | Habilite a alternância de chaves para que sejam usadas alternadamente quando atingirem o final do período criptográfico. | |
| 3.9 | Certifique-se de que o registro de fluxo de VPC esteja ativado em todos VPCs | Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo. | |
| 3.10 | Verificar se o registro em log no nível do objeto para eventos de gravação está habilitado para o bucket S3 | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento. | |
| 3.11 | Verificar se o registro em log no nível do objeto para eventos de leitura está habilitado para o bucket S3 | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento. | |
| 4.1 | Verificar se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas | alarm-unauthorized-api-calls (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.2 | Verificar se existe um alarme e um filtro de métrica de log para login do Management Console sem MFA | alarm-sign-in-without-mfa (verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para login no AWS Management Console sem autenticação multifator (MFA). Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.3 | Verificar se existe um alarme e um filtro de métrica de log para uso da conta "raiz" | alarm-root-account-use (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para uso da conta "raiz". Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.4 | Verificar se existe um alarme e um filtro de métrica de log para alterações de política do IAM | alarm-iam-policy-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações de política do IAM. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.5 | Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de configuração do CloudTrail | alarm-cloudtrail-config-change (Verificação do processo) | Certifique-se de que exista um filtro métrico de log e um alarme para alterações na AWS CloudTrail configuração. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.6 | Verificar se existe um alarme e um filtro de métrica de log para falhas de autenticação do AWS Management Console | alarm-console-auth-failures (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para falhas de autenticação do AWS Management Console. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.7 | Certifique-se de que exista um filtro métrico de registro e um alarme para desativação ou exclusão programada do cliente criado CMKs | alarm-kms-disable-or-delete-cmk (verificação do processo) | Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou programar a exclusão do cliente criado. CMKs Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.8 | Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3 | alarm-s3- bucket-policy-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4,9 | Certifique-se de que exista um filtro métrico de log e um alarme para alterações na AWS configuração do Config | alarm-aws-config-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações de configuração do AWS Config. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.10 | Verificar se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança | alarm-vpc-secrity-group-alterar (verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.11 | Verificar se existe um alarme e um filtro de métrica de log para alterações em listas de controle de acesso à rede (NACL) | alarm-vpc-nacl-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações em listas de controle de acesso à rede (NACL). Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.12 | Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede | alarm-vpc-network-gateway-alterar (verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.13 | Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas | alarm-vpc-route-table-alterar (verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.14 | Verificar se existe um alarme e um filtro de métrica de log para alterações de VPC | alarm-vpc-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações no Amazon Virtual Private Cloud (VPC). Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 4.15 | Verificar se existe um alarme e um filtro de métrica de log para alterações do AWS Organizations | alarm-organizations-change (Verificação do processo) | Verifique se existe um alarme e um filtro de métrica de log para alterações do AWS Organizations. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
| 5.1 | Certifique-se de que nenhuma rede ACLs permita a entrada de 0.0.0.0/0 às portas de administração do servidor remoto | Certifique-se de que nenhuma rede ACLs permita a entrada pública nas portas de administração do servidor remoto. Na seção VPC do console, verifique se há uma rede ACLs com uma fonte de '0.0.0.0/0' com portas permitidas ou intervalos de portas, incluindo portas de administração de servidores remotos. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ | |
| 5.2 | Verificar se nenhum grupo de segurança permite o ingresso de 0.0.0.0/0 às portas de administração do servidor remoto | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo uma filtragem monitorada do tráfego de entrada e saída da rede para os recursos. AWS Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto. | |
| 5.2 | Verificar se nenhum grupo de segurança permite o ingresso de 0.0.0.0/0 às portas de administração do servidor remoto | Gerencie o acesso aos recursos na AWS nuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros blockedPort1-blockedPort5 (valor padrão CIS: 3389). Os valores reais devem refletir as políticas da organização. | |
| 5.3 | Verificar se o grupo de segurança padrão de cada VPC restringe todo o tráfego | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo uma filtragem monitorada do tráfego de entrada e saída da rede para os recursos. AWS Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus AWS recursos. | |
| 5.4 | Verificar se as tabelas de rotas para o emparelhamento de VPCs sejam de "acesso mínimo" | vpc-peering-least-access (Verificação do processo) | Verifique se as tabelas de rotas para o emparelhamento de Amazon VPC sejam de "acesso mínimo". Na seção VPC do console, examine as entradas da tabela de rotas para garantir que o menor número de sub-redes ou hosts necessários para cumprir a finalidade do peering seja roteável. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity. org/benchmark/amazon_serviços_web/ |
Modelo
O modelo está disponível em GitHub: Melhores práticas operacionais para o CIS AWS Foundations Benchmark v1.4
