As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Log de alterações dos controles do Security Hub
O registro de alterações a seguir rastreia alterações materiais nos controles de AWS Security Hub segurança existentes, o que pode resultar em alterações no status geral de um controle e no status de conformidade de suas descobertas. Para obter informações sobre como o Security Hub avalia o status do controle, consulte Avaliar status de conformidade e status de controles no Security Hub. As alterações podem levar alguns dias após sua entrada nesse registro para afetar tudo Regiões da AWS em que o controle está disponível.
Esse log rastreia as mudanças ocorridas desde abril de 2023.
Selecione um controle para ver mais detalhes sobre ele. As alterações de título são observadas na descrição detalhada de cada controle por 90 dias.
| Data da mudança | Título e ID do controle | Descrição de alteração |
|---|---|---|
| 10 de janeiro de 2025 | [Glue.2] Os trabalhos do AWS Glue devem ter o registro ativado | O Security Hub descontinuou esse controle e o removeu de todos os padrões. |
| 20 de dezembro de 2024 | EC26.1 a 1.69 EC2 | O Security Hub reverteu o lançamento de EC2 6.1 para 1.69EC2. |
| 12 de dezembro de 2024 | [RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados | RDS.23 verifica se um cluster ou instância do Amazon Relational Database Service (RDSAmazon) usa uma porta diferente da porta padrão do mecanismo de banco de dados. Atualizamos o controle para que a AWS Config regra subjacente retorne o resultado de NOT_APPLICABLE para RDS instâncias que fazem parte de um cluster. |
| 2 de dezembro de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub agora oferece suporte nodejs22.x como parâmetro. |
| 26 de novembro de 2024 | [EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (EKSAmazon) é executado em uma versão compatível do Kubernetes. A versão compatível mais antiga é a 1.29. |
| 20 de novembro de 2024 | [Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos | O Config.1 verifica se AWS Config está habilitado, usa a função vinculada ao serviço e registra os recursos dos controles habilitados. O Security Hub aumentou a severidade desse controle de Para receber uma |
| 12 de novembro de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub agora oferece suporte python3.13 como parâmetro. |
| 11 de outubro de 2024 | ElastiCache controles | Títulos de controle alterados para ElastiCache .3, ElastiCache .4, ElastiCache .5 e .7. ElastiCache Os títulos não mencionam mais o Redis OSS porque os controles também se aplicam ao ElastiCache Valkey. |
| 27 de setembro de 2024 | [ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http inválidos | Título do controle alterado de O Application Load Balancer deve ser configurado para ignorar cabeçalhos http para O Application Load Balancer deve ser configurado para ignorar cabeçalhos http inválidos. |
| 19 de agosto de 2024 | Alterações de título para DMS 1.2 e controles ElastiCache | Títulos de controle alterados para DMS .12 e ElastiCache .1 a .7. ElastiCache Alteramos esses títulos para refletir uma mudança de nome no serviço Amazon ElastiCache (RedisOSS). |
| 15 de agosto de 2024 | [Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos | O Config.1 verifica se AWS Config está habilitado, usa a função vinculada ao serviço e registra os recursos dos controles habilitados. O Security Hub adicionou um parâmetro de controle personalizado denominado includeConfigServiceLinkedRoleCheck. Ao definir esse parâmetro comofalse, você pode optar por não verificar se AWS Config usa a função vinculada ao serviço. |
| 31 de julho de 2024 | [IoT.1] Os perfis de segurança do AWS IoT Device Defender devem ser marcados | Título do controle alterado de Os perfis de segurança do AWS IoT Core devem ser marcados para Os perfis de segurança do AWS IoT Device Defender devem ser marcados. |
| 29 de julho de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub não é mais compatível com nodejs16.x como parâmetro. |
| 29 de julho de 2024 | [EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (EKSAmazon) é executado em uma versão compatível do Kubernetes. A versão compatível mais antiga é a 1.28. |
| 25 de junho de 2024 | [Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos | Esse controle verifica se AWS Config está ativado, usa a função vinculada ao serviço e registra os recursos dos controles habilitados. O Security Hub atualizou o título do controle para refletir o que o controle avalia. |
| 14 de junho de 2024 | [RDS.34] Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch | Esse controle verifica se um cluster Amazon Aurora My SQL DB está configurado para publicar logs de auditoria no Amazon CloudWatch Logs. O Security Hub atualizou o controle para que não gere descobertas para clusters do banco de dados do Aurora Serverless v1. |
| 11 de junho de 2024 | [EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (EKSAmazon) é executado em uma versão compatível do Kubernetes. A versão compatível mais antiga é a 1.27. |
| 10 de junho de 2024 | [Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos | Esse controle verifica se AWS Config está ativado e se a gravação de AWS Config recursos está ativada. Anteriormente, o controle produzia uma descoberta PASSED somente se você configurasse a gravação para todos os recursos. O Security Hub atualizou o controle para produzir uma descoberta PASSED quando a gravação está ativada para os recursos necessários para os controles habilitados. O controle também foi atualizado para verificar se o perfil vinculado ao serviço AWS Config é usado, o que fornece permissões para registrar os recursos necessários. |
| 8 de maio de 2024 | [S3.20] Os buckets de uso geral do S3 devem ter a exclusão ativada MFA | Esse controle verifica se um bucket versionado de uso geral do Amazon S3 tem a autenticação multifator () delete ativada. MFA Anteriormente, o controle produzia uma descoberta FAILED para buckets com uma configuração de ciclo de vida. No entanto, a MFA exclusão com controle de versão não pode ser ativada em um bucket que tenha uma configuração de ciclo de vida. O Security Hub atualizou o controle para não produzir descobertas para buckets com uma configuração de ciclo de vida. O título de controle foi atualizado para refletir o comportamento atual. |
| 2 de maio de 2024 | [EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes | O Security Hub atualizou a versão mais antiga compatível do Kubernetes na qual o EKS cluster da Amazon pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.26. |
| 30 de abril de 2024 | [CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada | O título de controle alterado de CloudTrail deve ser ativado para Pelo menos uma CloudTrail trilha deve ser ativada. Atualmente, esse controle produz uma PASSED descoberta se um Conta da AWS tiver pelo menos uma CloudTrail trilha ativada. O título e a descrição foram alterados para refletir com precisão o comportamento atual. |
| 29 de abril de 2024 | [AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade ELB | O título de controle alterado de grupos de Auto Scaling associados a um Classic Load Balancer deve usar verificações de integridade do balanceador de carga para grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade. ELB Atualmente, esse controle avalia os balanceadores de carga de aplicações, gateways, redes e os balanceadores de carga clássicos. O título e a descrição foram alterados para refletir com precisão o comportamento atual. |
| 19 de abril de 2024 | [CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação | O controle verifica se AWS CloudTrail está habilitado e configurado com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e gravação. Anteriormente, o controle gerava PASSED descobertas incorretamente quando uma conta era CloudTrail ativada e configurada com pelo menos uma trilha multirregional, mesmo que nenhuma trilha capturasse eventos de gerenciamento de leitura e gravação. O controle agora gera uma PASSED descoberta somente quando CloudTrail está habilitado e configurado com pelo menos uma trilha multirregional que captura eventos de gerenciamento de leitura e gravação. |
| 10 de abril de 2024 | [Athena.1] Os grupos de trabalho do Athena devem ser criptografados em repouso | O Security Hub descontinuou esse controle e o removeu de todos os padrões. Os grupos de trabalho do Athena enviam logs para os buckets do Amazon Simple Storage Service (Amazon S3). O Amazon S3 agora fornece criptografia padrão com chaves gerenciadas do S3 (SS3-S3) em buckets S3 novos e existentes. |
| 10 de abril de 2024 | [AutoScaling.4] A configuração de inicialização do grupo Auto Scaling não deve ter um limite de salto de resposta de metadados maior que 1 | O Security Hub descontinuou esse controle e o removeu de todos os padrões. Os limites de salto de resposta de metadados para instâncias do Amazon Elastic Compute Cloud EC2 (Amazon) dependem da carga de trabalho. |
| 10 de abril de 2024 | [CloudFormation.1] CloudFormation as pilhas devem ser integradas ao Simple Notification Service () SNS | O Security Hub descontinuou esse controle e o removeu de todos os padrões. Integrar AWS CloudFormation pilhas com SNS tópicos da Amazon não é mais uma prática recomendada de segurança. Embora a integração de CloudFormation pilhas importantes com SNS tópicos possa ser útil, ela não é necessária para todas as pilhas. |
| 10 de abril de 2024 | [CodeBuild.5] ambientes de CodeBuild projeto não devem ter o modo privilegiado ativado | O Security Hub descontinuou esse controle e o removeu de todos os padrões. Ativar o modo privilegiado em um CodeBuild projeto não impõe um risco adicional ao ambiente do cliente. |
| 10 de abril de 2024 | [IAM.20] Evite o uso do usuário root | O Security Hub descontinuou esse controle e o removeu de todos os padrões. O objetivo desse controle é coberto por outro controle, Um filtro de métrica de log e um alarme devem existir para o uso do usuário "raiz". |
| 10 de abril de 2024 | [SNS.2] O registro do status de entrega deve ser ativado para mensagens de notificação enviadas para um tópico | O Security Hub descontinuou esse controle e o removeu de todos os padrões. Registrar o status de entrega SNS dos tópicos não é mais uma prática recomendada de segurança. Embora o registro do status de entrega de SNS tópicos importantes possa ser útil, ele não é obrigatório para todos os tópicos. |
| 10 de abril de 2024 | [S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida | O Security Hub removeu esse controle do AWS Foundational Security Best Practices v1.0.0 e do Service-Managed Standard:. AWS Control Tower O objetivo desse controle é coberto por outros dois controles, [S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida e [S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado. Esse controle ainda faz parte da NIST SP 800-53 Rev. 5. |
| 10 de abril de 2024 | [S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas | O Security Hub removeu esse controle do AWS Foundational Security Best Practices v1.0.0 e do Service-Managed Standard:. AWS Control Tower Embora haja alguns casos em que as notificações de eventos para buckets do S3 sejam úteis, essa não é uma prática recomendada de segurança universal. Esse controle ainda faz parte da NIST SP 800-53 Rev. 5. |
| 10 de abril de 2024 | [SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS | O Security Hub removeu esse controle do AWS Foundational Security Best Practices v1.0.0 e do Service-Managed Standard:. AWS Control Tower Por padrão, SNS criptografa tópicos em repouso com criptografia de disco. Para obter mais informações, consulte Criptografia de dados. Usar AWS KMS para criptografar tópicos não é mais recomendado como uma prática recomendada de segurança. Esse controle ainda faz parte da NIST SP 800-53 Rev. 5. |
| 8 de abril de 2024 | [ELB.6] Os balanceadores de carga de aplicativos, gateways e redes devem ter a proteção contra exclusão ativada | Título do controle alterado de A proteção contra exclusão do Application Load Balancer deve estar habilitada para Os balanceadores de carga de aplicações, gateways e redes devem ter a proteção contra exclusão habilita. Atualmente, esse controle avalia os balanceadores de carga de aplicações, gateways e redes. O título e a descrição foram alterados para refletir com precisão o comportamento atual. |
| 22 de março de 2024 | [Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente | O título de controle alterado de Conexões para OpenSearch domínios deve ser criptografado usando TLS 1.2 para Conexões para OpenSearch domínios deve ser criptografado usando a política de TLS segurança mais recente. Anteriormente, o controle só verificava se as conexões com OpenSearch domínios usavam TLS 1.2. O controle agora produz uma PASSED descoberta se os OpenSearch domínios estão criptografados usando a política de TLS segurança mais recente. O título do controle foi atualizado para refletir o comportamento atual. |
| 22 de março de 2024 | [ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente | O título de controle alterado de Conexões para domínios do Elasticsearch deve ser criptografado usando TLS 1.2 para Conexões aos domínios do Elasticsearch deve ser criptografado usando a política de segurança mais recente. TLS Anteriormente, o controle só verificava se as conexões com os domínios do Elasticsearch usavam 1.2. TLS O controle agora produz uma PASSED descoberta se os domínios do Elasticsearch estão criptografados usando a política de segurança mais recenteTLS. O título do controle foi atualizado para refletir o comportamento atual. |
| 12 de março de 2024 | [S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas | Título alterado de A configuração de bloqueio do acesso público do S3 deve estar habilitada para Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura | Título alterado de Os buckets do S3 devem proibir o acesso público para leitura para Os buckets de uso geral do S3 devem bloquear o acesso público para leitura. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação | Título alterado de Os buckets do S3 devem proibir o acesso público para gravação para Os buckets de uso geral do S3 devem bloquear o acesso público para gravação. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso SSL | O título alterado de buckets S3 deve exigir solicitações de uso do Secure Socket Layer para buckets de uso geral do S3 devem exigir solicitações de uso. SSL O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS | O título alterado das permissões do S3 concedidas a outras políticas Contas da AWS no bucket deve ser restrito às políticas de bucket de uso geral do S3. As políticas de bucket devem restringir o acesso a outras. Contas da AWS O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões | Título alterado de Os buckets do S3 devem ter a replicação entre regiões habilitada para Os buckets de uso geral do S3 devem usar replicação entre regiões. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões | Título alterado de Os buckets do S3 devem ter a replicação entre regiões habilitada para Os buckets de uso geral do S3 devem usar replicação entre regiões. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público | Título alterado de A configuração de bloqueio do acesso público do S3 deve estar habilitada ao nível do bucket para Os buckets de uso geral do S3 devem bloquear o acesso público. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado | Título alterado de O registro em log de acesso ao servidor de buckets do S3 deve ser habilitado para O registro em log de acesso ao servidor deve ser habilitado para os buckets de uso geral do S3. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida | O título alterado de Os buckets do S3 com versionamento habilitado devem ter políticas de ciclo de vida configuradas para Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas | Título alterado de Os buckets do S3 devem ter as notificações de eventos habilitadas para Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3 | O título alterado das listas de controle de acesso (ACLs) do S3 não deve ser usado para gerenciar o acesso do usuário aos buckets e não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida | Título alterado de Os buckets do S3 devem ter políticas de ciclo de vida configuradas para Os buckets de uso geral do S3 devem ter configurações de ciclo de vida. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado | Título alterado de Os buckets do S3 deve usar versionamento para Os buckets de uso geral do S3 devem ter o versionamento habilitado. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado | Título alterado de Os buckets do S3 devem ser configurados para usar o Bloqueio de Objetos para Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys | Título alterado de Os buckets do S3 devem ser criptografados em repouso com AWS KMS keys para Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys. O Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 7 de março de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub agora oferece suporte a nodejs20.x e ruby3.3 como parâmetros. |
| 22 de fevereiro de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub agora oferece suporte dotnet8 como parâmetro. |
| 5 de fevereiro de 2024 | [EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes | O Security Hub atualizou a versão mais antiga compatível do Kubernetes na qual o EKS cluster da Amazon pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.25. |
| 10 de janeiro de 2024 | [CodeBuild.1] O repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais | O título alterado de CodeBuild GitHub ou o repositório de origem do Bitbucket URLs deve ser usado OAuth para o repositório CodeBuild de origem do Bitbucket não URLs deve conter credenciais confidenciais. O Security Hub removeu a menção OAuth porque outros métodos de conexão também podem ser seguros. O Security Hub removeu a menção GitHub porque não é mais possível ter um token de acesso pessoal ou nome de usuário e senha no repositório URLs de GitHub origem. |
| 8 de janeiro de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub não oferece mais suporte a go1.x e java8 como parâmetros porque esses são runtimes descontinuados. |
| 29 de dezembro de 2023 | [RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada | RDS.8 verifica se uma RDS instância de banco de dados da Amazon que usa um dos mecanismos de banco de dados compatíveis tem a proteção contra exclusão ativada. O Security Hub agora oferece suporte a custom-oracle-ee, oracle-ee-cdb e oracle-se2-cdb como mecanismos de banco de dados. |
| 22 de dezembro de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub agora oferece suporte a java21 e python3.12 como parâmetros. O Security Hub não é mais compatível com ruby2.7 como parâmetro. |
| 15 de dezembro de 2023 | [CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado | CloudFront.1 verifica se uma CloudFront distribuição da Amazon tem um objeto raiz padrão configurado. O Security Hub reduziu a severidade desse controle de CRITICAL para HIGH porque adicionar o objeto raiz padrão é uma recomendação que depende do aplicativo do usuário e dos requisitos específicos. |
| 5 de dezembro de 2023 | [EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22 | Título de controle alterado de Grupos de segurança não deve permitir a entrada de 0.0.0.0/0 na porta 22 para Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22. |
| 5 de dezembro de 2023 | [EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389 | Título de controle alterado de Certifique-se de que nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 3389 para Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389. |
| 5 de dezembro de 2023 | [RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch | O título de controle alterado do Registro do banco de dados deve ser habilitado para que as instâncias de RDS banco de dados publiquem os registros CloudWatch nos registros. O Security Hub identificou que esse controle só verifica se os registros estão publicados no Amazon CloudWatch Logs e não verifica se RDS os registros estão habilitados. O controle produz uma PASSED descoberta se as instâncias de RDS banco de dados estão configuradas para publicar registros no CloudWatch Logs. O título de controle foi atualizado para refletir o comportamento atual. |
| 5 de dezembro de 2023 | [EKS.8] os EKS clusters devem ter o registro de auditoria ativado | Esse controle verifica se os EKS clusters da Amazon têm o registro de auditoria ativado. A AWS Config regra que o Security Hub usa para avaliar esse controle mudou de eks-cluster-logging-enabled paraeks-cluster-log-enabled. |
| 17 de novembro de 2023 | [EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco | EC2.19 verifica se o tráfego de entrada irrestrito de um grupo de segurança está acessível às portas especificadas que são consideradas de alto risco. O Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de novembro de 2023 | [CloudWatch.15] Os alarmes do CloudWatch devem ter ações configuradas especificadas | O título de controle alterado dos CloudWatch alarmes deve ter uma ação configurada para o ALARM estado; os CloudWatch alarmes devem ter ações especificadas configuradas. |
| 16 de novembro de 2023 | [CloudWatch.16] Os grupos de log do CloudWatch devem ser retidos por um período de tempo especificado | O título de controle alterado dos grupos de CloudWatch registros deve ser mantido por pelo menos 1 ano; os grupos de CloudWatch registros devem ser mantidos por um período de tempo especificado. |
| 16 de novembro de 2023 | [Lambda.5] As funções do VPC Lambda devem operar em várias zonas de disponibilidade | O título de controle alterado das funções do VPC Lambda deve operar em mais de uma zona de disponibilidade para as funções do VPC Lambda devem operar em várias zonas de disponibilidade. |
| 16 de novembro de 2023 | [AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado | Título de controle alterado de O AWS AppSync ter o registro em log em nível de solicitação e em nível de campo ativado para O AWS AppSync deve ter o registro em log em nível de campo habilitado. |
| 16 de novembro de 2023 | [EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos | O título de controle alterado dos nós principais do MapReduce cluster Amazon Elastic não deve ter endereços IP públicos para os nós primários do EMR cluster Amazon não devem ter endereços IP públicos. |
| 16 de novembro de 2023 | Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público | O título de controle alterado dos OpenSearch domínios deve estar em VPC a para que os OpenSearchdomínios não possam ser acessíveis ao público. |
| 16 de novembro de 2023 | [ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis | O título de controle alterado dos domínios do Elasticsearch deve estar em a VPC para Os domínios do Elasticsearch não devem estar acessíveis ao público. |
| 31 de outubro de 2023 | [ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado | O ES.4 verifica se os domínios do Elasticsearch estão configurados para enviar registros de erro para o Amazon Logs. CloudWatch Anteriormente, o controle produziu uma PASSED descoberta para um domínio do Elasticsearch que tem todos os registros configurados para serem enviados ao CloudWatch Logs. O Security Hub atualizou o controle para produzir uma PASSED descoberta somente para um domínio do Elasticsearch configurado para enviar registros de erros para o Logs. CloudWatch O controle também foi atualizado para excluir as versões do Elasticsearch que não oferecem suporte a logs de erros da avaliação. |
| 16 de outubro de 2023 | [EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22 | EC2.13 verifica se os grupos de segurança permitem acesso de entrada irrestrito à porta 22. O Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de outubro de 2023 | [EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389 | EC2.14 verifica se os grupos de segurança permitem acesso de entrada irrestrito à porta 3389. O Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de outubro de 2023 | [EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas | EC2.18 verifica se os grupos de segurança que estão em uso permitem tráfego de entrada irrestrito. O Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de outubro de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub agora oferece suporte python3.11 como parâmetro. |
| 4 de outubro de 2023 | [S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões | O Security Hub adicionou o parâmetro ReplicationType com um valor de CROSS-REGION para garantir que os buckets S3 tenham a replicação entre regiões ativada em vez da replicação na mesma região. |
| 27 de setembro de 2023 | [EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes | O Security Hub atualizou a versão mais antiga compatível do Kubernetes na qual o EKS cluster da Amazon pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.24. |
| 20 de setembro de 2023 | CloudFront.2 — CloudFront as distribuições devem ter a identidade de acesso de origem habilitada | O Security Hub descontinuou esse controle e o removeu de todos os padrões. Em vez disso, consulte [CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem. O controle de acesso à origem é a prática recomendada de segurança atual. Esse controle será removido da documentação em 90 dias. |
| 20 de setembro de 2023 | [EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos | O Security Hub removeu esse controle do AWS Foundational Security Best Practices (FSBP) e do National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Ainda faz parte do Service-Managed Standard:. AWS Control Tower Esse controle produz uma descoberta aprovada se os grupos de segurança estiverem conectados a EC2 instâncias ou a uma interface de rede elástica. No entanto, para determinados casos de uso, grupos de segurança independentes não representam um risco de segurança. Você pode usar outros EC2 controles, como EC2 .2, EC2 .13, EC2 .14, EC2 .18 e EC2 .19, para monitorar seus grupos de segurança. |
| 20 de setembro de 2023 | EC2.29 — EC2 as instâncias devem ser lançadas em um VPC | O Security Hub descontinuou esse controle e o removeu de todos os padrões. A Amazon EC2 migrou as instâncias EC2 -Classic para uma. VPC Esse controle será removido da documentação em 90 dias. |
| 20 de setembro de 2023 | S3.4 – Os buckets do S3 devem ter a criptografia no lado do servidor habilitada | O Security Hub descontinuou esse controle e o removeu de todos os padrões. O Amazon S3 agora fornece criptografia padrão com chaves gerenciadas do S3 (SS3-S3) em buckets S3 novos e existentes. As configurações de criptografia permanecem inalteradas para buckets existentes que são criptografados com SS3 -S3 ou SS3 - criptografia do lado do servidor. KMS Esse controle será removido da documentação em 90 dias. |
| 14 de setembro de 2023 | [EC2.2] Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída | O título de controle foi alterado de O grupo de segurança VPC padrão não deve permitir tráfego de entrada e saída para grupos de segurança VPC padrão não devem permitir tráfego de entrada ou saída. |
| 14 de setembro de 2023 | [IAM.9] A MFA deve estar habilitada para o usuário raiz | O título de controle alterado de Virtual MFA deve estar habilitado para o usuário root e MFAdeve ser habilitado para o usuário root. |
|
14 de setembro de 2023 |
[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster | O título de controle foi alterado de Uma assinatura de notificações de RDS eventos deve ser configurada para eventos críticos do cluster para As assinaturas de notificação de RDS eventos existentes devem ser configuradas para eventos críticos do cluster. |
| 14 de setembro de 2023 | [RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados | O título de controle foi alterado de Uma assinatura de notificações de RDS eventos deve ser configurada para eventos críticos da instância do banco de dados para As assinaturas existentes de notificação de RDS eventos devem ser configuradas para eventos críticos da instância do banco de dados. |
| 14 de setembro de 2023 | [WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição | O título de controle alterado de Uma regra WAF regional deve ter pelo menos uma condição para As regras regionais AWS WAF clássicas devem ter pelo menos uma condição. |
| 14 de setembro de 2023 | [WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra | O título de controle alterado de Um grupo de regras WAF regionais deve ter pelo menos uma regra para Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra. |
| 14 de setembro de 2023 | [WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras | O título de controle alterado de Uma web WAF regional ACL deve ter pelo menos uma regra ou grupo de regras para A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras. |
| 14 de setembro de 2023 | [WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição | O título do controle foi alterado de Uma regra WAF global deve ter pelo menos uma condição para As regras globais AWS WAF clássicas devem ter pelo menos uma condição. |
| 14 de setembro de 2023 | [WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra | O título de controle foi alterado de Um grupo de regras WAF global deve ter pelo menos uma regra para Grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra. |
| 14 de setembro de 2023 | [WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras | O título de controle alterado de Uma web WAF global ACL deve ter pelo menos uma regra ou grupo de regras para A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras. |
| 14 de setembro de 2023 | [WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras | O título de controle alterado de Uma WAFv2 web ACL deve ter pelo menos uma regra ou grupo de regras para AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras. |
| 14 de setembro de 2023 | [WAF.11] o ACL registro AWS WAF na web deve estar ativado | O título de controle alterado do ACLregistro na web AWS WAF v2 deve ser ativado para o ACLregistro AWS WAF na web deve estar ativado. |
|
20 de julho de 2023 |
S3.4 – Os buckets do S3 devem ter a criptografia no lado do servidor habilitada | S3.4 verifica se um bucket do Amazon S3 tem criptografia no lado do servidor habilitada ou se a política do bucket do S3 nega explicitamente solicitações do PutObject sem criptografia no lado do servidor. O Security Hub atualizou esse controle para incluir criptografia de camada dupla no lado do servidor com KMS chaves (DSSE-KMS). O controle produz uma descoberta aprovada quando um bucket do S3 é criptografado com SSE -S3KMS, SSE - ou -. DSSE KMS |
| 17 de julho de 2023 | [S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys | O S3.17 verifica se um bucket do Amazon S3 está criptografado com um AWS KMS key. O Security Hub atualizou esse controle para incluir criptografia de camada dupla no lado do servidor com KMS chaves (DSSE-KMS). O controle produz uma descoberta aprovada quando um bucket do S3 é criptografado com SSE - KMS ou DSSE -KMS. |
| 9 de junho de 2023 | [EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes | EKS.2 verifica se um EKS cluster da Amazon está sendo executado em uma versão compatível do Kubernetes. A versão mais antiga compatível agora é. 1.23 |
| 9 de junho de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub agora oferece suporte ruby3.2 como parâmetro. |
| 5 de junho de 2023 | [APIGateway.5] Os dados REST API do cache do API gateway devem ser criptografados em repouso | APIGateway.5.verifica se todos os métodos REST API nos estágios do Amazon API Gateway estão criptografados em repouso. O Security Hub atualizou o controle para avaliar a criptografia de um método específico somente quando o armazenamento em cache estiver habilitado para esse método. |
| 18 de maio de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub agora oferece suporte java17 como parâmetro. |
| 18 de maio de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub não é mais compatível com nodejs12.x como parâmetro. |
| 23 de abril de 2023 | [ECS.10] Os serviços do ECS Fargate devem ser executados na versão mais recente da plataforma Fargate | ECS.10 verifica se os serviços do Amazon ECS Fargate estão executando a versão mais recente da plataforma Fargate. Os clientes podem implantar a Amazon ECS ECS diretamente ou usando CodeDeploy. O Security Hub atualizou esse controle para produzir descobertas aprovadas quando você usa CodeDeploy para implantar serviços do ECS Fargate. |
| 20 de abril de 2023 | [S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS | O S3.6 verifica se uma política de bucket do Amazon Simple Storage Service (Amazon S3) impede que entidades principais de Contas da AWS terceiros executem ações negadas em recursos no bucket do S3. O Security Hub atualizou o controle para considerar as condicionais em uma política de bucket. |
| 18 de abril de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub agora oferece suporte python3.10 como parâmetro. |
| 18 de abril de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | O Lambda.2 verifica se as configurações da AWS Lambda função para tempos de execução correspondem aos valores esperados definidos para os tempos de execução suportados em cada idioma. O Security Hub não é mais compatível com dotnetcore3.1 como parâmetro. |
| 17 de abril de 2023 | [RDS.11] As instâncias do RDS devem ter backups automáticos habilitados | RDS.11 verifica se RDS as instâncias da Amazon têm backups automatizados habilitados, com um período de retenção de backup maior ou igual a sete dias. O Security Hub atualizou esse controle para excluir réplicas de leitura da avaliação, pois nem todos os mecanismos oferecem suporte a backups automatizados em réplicas de leitura. Além disso, RDS não oferece a opção de especificar um período de retenção de backup ao criar réplicas de leitura. As réplicas de leitura são criadas com um período de retenção de backup de 0 por padrão. |
