Controles do Security Hub para Amazon EC2

Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon Elastic Compute Cloud (Amazon EC2).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21),,, (11), (16), (20) NIST.800-53.r5 AC-3, (21), (3) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (4), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: crítica

Tipo de recurso: AWS::::Account

Regra do AWS Config : ebs-snapshot-public-restorable-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os instantâneos do Amazon Elastic Block Store não são públicos. O controle falhará se os instantâneos do Amazon EBS puderem ser restaurados por qualquer pessoa.

Os instantâneos do EBS são usados para fazer backup dos dados nos volumes do EBS no Amazon S3 em determinado momento. É possível usar os snapshots para restaurar estados anteriores de volumes do EBS. Raramente é aceitável compartilhar um snapshot com o público. Normalmente, a decisão de compartilhar um snapshot publicamente era tomada erroneamente ou sem uma compreensão completa das implicações. Essa verificação ajuda a garantir que todo esse compartilhamento tenha sido totalmente planejado e intencional.

Correção

Para tornar um snapshot público do EBS privado, consulte Compartilhar um snapshot no Guia do usuário da Amazon EC2 . Em Ações, modificar permissões, escolha Privado.

[EC2.2] Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS Foundations Benchmark v1.2.0/4.3, CIS Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4,, (21), (11), (16 AWS ), (21), (4), (5)) AWS NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regra do AWS Config : vpc-default-security-group-closed

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o grupo de segurança padrão de uma VPC não permite tráfego de entrada ou de saída. O controle falhará se o grupo de segurança permitir tráfego de entrada ou de saída.

As regras do grupo de segurança padrão permitem todo o tráfego de saída e entrada de interfaces de rede (e as instâncias associadas) que são atribuídas ao mesmo grupo de segurança. Recomendamos que você não use o grupo de segurança padrão. Como o grupo de segurança padrão não pode ser excluído, altere a configuração das regras do grupo de segurança padrão para restringir o tráfego de entrada e saída. Isso evita tráfego não intencional se o grupo de segurança padrão for configurado acidentalmente para recursos como EC2 instâncias.

Correção

Para corrigir esse problema, comece criando novos grupos de segurança com privilégios mínimos. Para obter instruções, consulte Regras do grupo de segurança no Guia do usuário do Amazon VPC. Em seguida, atribua os novos grupos de segurança às suas EC2 instâncias. Para obter instruções, consulte Alterar o grupo de segurança de uma instância no Guia EC2 do usuário da Amazon.

Depois de atribuir os novos grupos de segurança aos seus recursos, remova todas as regras de entrada e saída dos grupos de segurança padrão. Para obter instruções, consulte Configurar regras de grupo de segurança no Manual do usuário da Amazon VPC.

[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::EC2::Volume

Regra do AWS Config : encrypted-volumes

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os volumes do EBS em um estado anexado estão criptografados. Para passar nessa verificação, os volumes do EBS devem estar em uso e criptografados. Se o volume do EBS não estiver anexado, ele não estará sujeito a essa verificação.

Para obter uma camada adicional de segurança para os dados confidenciais nos volumes do EBS, habilite a criptografia em repouso do EBS. O Amazon EBS oferece uma solução simples de criptografia para os volumes do EBS que não exigem que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ele usa chaves mestras de cliente (CMKs) do ao criar volumes e instantâneos criptografados.

Para saber mais sobre a criptografia do Amazon EBS, consulte a criptografia do Amazon EBS no Guia EC2 do usuário da Amazon.

Correção

Não há uma maneira direta de criptografar um volume ou instantâneo existente não criptografado. É possível criptografar um novo volume ou snapshot somente ao criá-lo.

Se você tiver habilitado a criptografia por padrão, o Amazon EBS criptografará o novo volume ou instantâneo resultante usando sua chave padrão para a criptografia do EBS. Mesmo se não tiver habilitado a criptografia por padrão, será possível habilitá-la ao criar um volume ou um snapshot individual. Em ambos os casos, é possível substituir a chave padrão para a criptografia do Amazon EBS e escolher uma chave simétrica gerenciada pelo cliente.

Para obter mais informações, consulte Criação de um volume do Amazon EBS e Cópia de um snapshot do Amazon EBS no Guia do usuário da Amazon EC2 .

[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

Categoria: Identificar > Inventário

Severidade: média

Tipo de recurso: AWS::EC2::Instance

Regra do AWS Config : ec2-stopped-instance

Tipo de programação: Periódico

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`AllowedDays`	Número de dias em que a EC2 instância pode ficar em um estado interrompido antes de gerar uma descoberta com falha.	Inteiro	`1` para `365`	`30`

Esse controle verifica se uma EC2 instância da Amazon foi interrompida por mais tempo do que o número permitido de dias. O controle falhará se uma EC2 instância for interrompida por mais tempo do que o período máximo permitido. A menos que você forneça um valor de parâmetro personalizado para o período de tempo máximo permitido, o Security Hub usará um valor padrão de 30 dias.

Quando uma EC2 instância não é executada por um período significativo de tempo, isso cria um risco de segurança porque a instância não está sendo mantida ativamente (analisada, corrigida, atualizada). Se for lançado posteriormente, a falta de manutenção adequada pode resultar em problemas inesperados em seu AWS ambiente. Para manter com segurança uma EC2 instância ao longo do tempo em um estado inativo, inicie-a periodicamente para manutenção e depois a interrompa após a manutenção. Idealmente, esse deve ser um processo automatizado.

Correção

Para encerrar uma EC2 instância inativa, consulte Encerrar uma instância no Guia do usuário da Amazon EC2 .

[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.9, CIS Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, PCI DSS v3.2.1/10.3.3, PCI AWS DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.6, (26),, NIST.800-535 3.5R SI-7 (8) NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::EC2::VPC

Regra do AWS Config : vpc-flow-logs-enabled

Tipo de programação: Periódico

Parâmetros:

trafficType: REJECT (não personalizável)

Esse controle verifica se os registros de fluxo da Amazon VPC foram encontrados e habilitados para. VPCs O tipo de tráfego está definido como Reject. O controle falhará se os registros de fluxo de VPC não estiverem habilitados VPCs em sua conta.

nota

Esse controle não verifica se os logs de fluxo da Amazon VPC estão habilitados por meio do Amazon Security Lake para a Conta da AWS.

Com o recurso VPC Flow Logs, você pode capturar informações sobre tráfego IP de entrada e de saída nas interfaces de rede da VPC. Depois de criar um registro de fluxo, você pode visualizar e recuperar seus dados em CloudWatch Registros. Para reduzir custos, você também pode enviar seus logs de fluxo para o Amazon S3.

O Security Hub recomenda que você habilite o registro de fluxo para rejeições de pacotes para. VPCs Os registros de fluxo fornecem visibilidade sobre o tráfego de rede que percorre a VPC e podem detectar tráfego ou informações anormais durante fluxos de trabalho de segurança.

Por padrão, o registro inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. Para obter mais informações e descrições dos campos de log, consulte VPC Flow Logs no Guia do usuário do Amazon VPC.

Correção

Para criar uma VPC, consulte Criar um fluxo de log no Guia do usuário do Amazon VPC. Depois de abrir o console da Amazon VPC, escolha Seu. VPCs Em Filtrar, escolha Rejeitar ou Todos.

[EC2.7] A criptografia padrão do EBS deve estar ativada

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/2.2.1, CIS AWS Foundations Benchmark v3.0.0/2.2.1, (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 NIST.800-53.r5 CA-9 (1), (10), NIST.800-53.r5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::::Account

Regra do AWS Config : ec2-ebs-encryption-by-default

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a criptografia em nível de conta está habilitada por padrão para volumes do Amazon Elastic Block Store (Amazon EBS). O controle falhará se a criptografia no nível da conta não estiver habilitada para volumes do EBS.

Quando a criptografia está habilitada para sua conta, os volumes e as cópias de instantâneo do Amazon EBS são criptografados em repouso. Isso adiciona uma camada adicional de proteção aos dados. Para obter mais informações, consulte Criptografia por padrão no Guia EC2 do usuário da Amazon.

Correção

Para configurar a criptografia padrão para volumes do Amazon EBS, consulte Criptografia por padrão no Guia do EC2 usuário da Amazon.

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15), (7) NIST.800-53.r5 AC-3, PCI DSS NIST.800-53.r5 AC-3 v4.0.1/2.2.6 NIST.800-53.r5 AC-6

Categoria: Proteger > Segurança de rede

Severidade: alta

Tipo de recurso: AWS::EC2::Instance

Regra do AWS Config : ec2-imdsv2-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a versão de metadados da EC2 instância está configurada com o Instance Metadata Service Version 2 ()IMDSv2. O controle passa se HttpTokens estiver definido como necessário para IMDSv2. O controle falha se HttpTokens estiver definido como optional.

Você usa os metadados da instância para configurar ou gerenciar a instância em execução. O IMDS fornece acesso a credenciais temporárias e frequentemente alternadas. Essas credenciais eliminam a necessidade de codificar ou distribuir credenciais confidenciais às instâncias manual ou programaticamente. O IMDS é conectado localmente a cada EC2 instância. Ele é executado em um endereço IP especial de “link local” de 169.254.169.254. Esse endereço IP só pode ser acessado pelo software executado na instância.

A versão 2 do IMDS adiciona novas proteções para os seguintes tipos de vulnerabilidades. Essas vulnerabilidades podem ser usadas para tentar acessar o IMDS.

Firewalls de aplicativos de sites abertos
Proxies reversos abertos
Vulnerabilidades de falsificação de solicitações do lado do servidor (SSRF)
Firewalls Open Layer 3 e conversão de endereços de rede (NAT)

O Security Hub recomenda que você configure suas EC2 instâncias com IMDSv2.

Correção

Para configurar EC2 instâncias com IMDSv2, consulte Caminho recomendado para a solicitação IMDSv2 no Guia EC2 do usuário da Amazon.

[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: alta

Tipo de recurso: AWS::EC2::Instance

Regra do AWS Config : ec2-instance-no-public-ip

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se EC2 as instâncias têm um endereço IP público. O controle falhará se o publicIp campo estiver presente no item de configuração da EC2 instância. Esse controle se aplica somente aos IPv4 endereços.

Um IPv4 endereço público é um endereço IP que pode ser acessado pela Internet. Se você iniciar sua instância com um endereço IP público, ela EC2 poderá ser acessada pela Internet. Um IPv4 endereço privado é um endereço IP que não pode ser acessado pela Internet. Você pode usar IPv4 endereços privados para comunicação entre EC2 instâncias na mesma VPC ou na sua rede privada conectada.

IPv6 os endereços são globalmente exclusivos e, portanto, podem ser acessados pela Internet. No entanto, por padrão, todas as sub-redes têm o atributo de IPv6 endereçamento definido como false. Para obter mais informações sobre isso IPv6, consulte o endereçamento IP em sua VPC no Guia do usuário da Amazon VPC.

Se você tiver um caso de uso legítimo para manter EC2 instâncias com endereços IP públicos, poderá suprimir as descobertas desse controle. Para obter mais informações sobre as opções de arquitetura front-end, consulte o blog de AWS arquitetura ou a série de AWS vídeos da série This Is My Architecture.

Correção

Use uma VPC não padrão para que um endereço IP público não seja atribuído à instância por padrão.

Quando você executa uma EC2 instância em uma VPC padrão, ela recebe um endereço IP público. Quando você executa uma EC2 instância em uma VPC não padrão, a configuração da sub-rede determina se ela recebe um endereço IP público. A sub-rede tem um atributo para determinar se novas EC2 instâncias na sub-rede recebem um endereço IP público do pool de IPv4 endereços públicos.

Você pode desassociar um endereço IP público atribuído automaticamente da sua instância. EC2 Para obter mais informações, consulte IPv4 Endereços públicos e nomes de host DNS externos no Guia EC2 do usuário da Amazon.

[EC2.10] A Amazon EC2 deve ser configurada para usar endpoints VPC criados para o serviço Amazon EC2

Categoria: Proteger > Configuração de rede segura > Acesso privado a API

Severidade: média

Tipo de recurso: AWS::EC2::VPC

Regra do AWS Config : service-vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

serviceName: ec2 (não personalizável)

Esse controle verifica se um endpoint de serviço para a Amazon foi EC2 criado para cada VPC. O controle falhará se uma VPC não tiver um VPC endpoint criado para o serviço da Amazon. EC2

Esse controle avalia os recursos em uma única conta. Ela não pode descrever recursos que estão fora da conta. Como AWS Config o Security Hub não realiza verificações entre contas, você verá VPCs que FAILED as descobertas são compartilhadas entre contas. O Security Hub recomenda que você suprima essas descobertas FAILED.

Para melhorar a postura de segurança da sua VPC, você pode configurar a EC2 Amazon para usar uma interface VPC endpoint. Os endpoints de interface são alimentados por AWS PrivateLink, uma tecnologia que permite acessar as operações de EC2 API da Amazon de forma privada. Ele restringe todo o tráfego de rede entre sua VPC e a EC2 Amazon à rede Amazon. Como os endpoints são suportados somente na mesma região, não é possível criar um endpoint entre uma VPC e um serviço em uma região diferente. Isso evita chamadas não intencionais da Amazon EC2 API para outras regiões.

Para saber mais sobre a criação de VPC endpoints para a Amazon, EC2 consulte Amazon e faça a EC2 interface de VPC endpoints no Guia do usuário da Amazon. EC2

Correção

Para criar um endpoint de interface para a Amazon a EC2 partir do console Amazon VPC, consulte Criar um endpoint de VPC no Guia.AWS PrivateLink Em Nome do serviço, escolha com.amazonaws. region.ec2.

Você também pode criar e anexar uma política de endpoint ao seu VPC endpoint para controlar o acesso à API da Amazon. EC2 Para obter instruções sobre como criar uma política de VPC endpoint, consulte Criar uma política de endpoint no Guia do usuário da Amazon. EC2

[EC2.12] A Amazon não utilizada EC2 EIPs deve ser removida

Requisitos relacionados: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CM-8(1)

Categoria: Proteger > Configuração de rede segura

Severidade: baixa

Tipo de recurso: AWS::EC2::EIP

Regra do AWS Config : eip-attached

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os endereços IP elásticos (EIP) alocados a uma VPC estão anexados a EC2 instâncias ou interfaces de rede elástica em uso (). ENIs

Uma falha na descoberta indica que você pode não ter usado EC2 EIPs.

Isso ajudará você a manter um inventário preciso de ativos EIPs em seu ambiente de dados de titulares de cartões (CDE).

Correção

Para liberar um EIP não utilizado, consulte Liberar um endereço IP elástico no Guia EC2 do usuário da Amazon.

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2,, (21), (11), (16), (21), (21), (4), NIST.800-53.r5 AC-4 (5) NIST.800-53.r5 AC-4, PCI DSS v4.0.1/1.3.1 NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regra do AWS Config : restricted-ssh

Tipo de agendamento: acionado por alterações e periódico

Parâmetros: nenhum

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 ou: :/0 para a porta 22. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 22.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança permita o acesso de entrada irrestrito à porta 22. A remoção de conectividade sem restrições aos serviços de console remotos, como SSH, reduz a exposição do servidor ao risco.

Correção

Para proibir a entrada na porta 22, remova a regra que permite esse acesso para cada grupo de segurança associado a uma VPC. Para obter instruções, consulte Atualizar as regras do grupo de segurança no Guia EC2 do usuário da Amazon. Depois de selecionar um grupo de segurança no EC2 console da Amazon, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 22.

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: restricted-common-ports(a regra criada érestricted-rdp)

Tipo de agendamento: acionado por alterações e periódico

Parâmetros: nenhum

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 ou: :/0 para a porta 3389. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 3389.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . Recomendamos que nenhum grupo de segurança de entrada para permitir acesso irrestrito a porta 3389. A remoção de conectividade sem restrições aos serviços de console remotos, como RDP, reduz a exposição do servidor ao risco.

Correção

Para proibir a entrada na porta 3389, remova a regra que permite esse acesso para cada grupo de segurança associado a uma VPC. Para obter instruções, consulte Regras do grupo de segurança no Guia do usuário do Amazon VPC. Depois de selecionar um grupo de segurança no console do Amazon VPC, escolha Ações, editar regras de entrada. Remova a regra que permite o acesso à porta 3389.

[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos

Requisitos relacionados: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4

Categoria: Proteger > Segurança de rede

Severidade: média

Tipo de recurso: AWS::EC2::Subnet

Regra do AWS Config : subnet-auto-assign-public-ip-disabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a atribuição de público IPs nas MapPublicIpOnLaunch sub-redes da Amazon Virtual Private Cloud (Amazon VPC) foi definida como. FALSE O controle é aprovado se o sinalizador estiver definido como FALSE.

Todas as sub-redes têm um atributo que determina se uma interface de rede criada na sub-rede recebe automaticamente um endereço público. IPv4 As instâncias que são executadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à interface de rede primária.

Correção

Para configurar uma sub-rede para não atribuir endereços IP públicos, consulte Modificar o atributo de IPv4 endereçamento público para sua sub-rede no Guia do usuário da Amazon VPC. Desmarque a caixa de seleção Ativar atribuição automática de IPv4 endereço público.

[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas

Requisitos relacionados: NIST.800-53.r5 CM-8 (1), PCI DSS v4.0.1/1.2.7

Categoria: Proteger > Segurança de rede

Severidade: baixa

Tipo de recurso: AWS::EC2::NetworkAcl

Regra do AWS Config : vpc-network-acl-unused-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se há alguma lista de controle de acesso à rede (rede ACLs) não utilizada na sua nuvem privada virtual (VPC). O controle falhará se a ACL da rede não estiver associada a uma sub-rede. O controle não gerará descobertas para uma ACL de rede padrão não utilizada.

O controle verifica a configuração do recurso AWS::EC2::NetworkAcl e determina as relações da ACL de rede.

Se o único relacionamento for a VPC da ACL de rede, o controle falhará.

Se outros relacionamentos estiverem listados, o controle será aprovado.

Correção

Para obter instruções sobre como excluir uma ACL de rede não utilizada, consulte Excluir uma ACL de rede no Guia do usuário do Amazon VPC. Não é possível excluir a ACL de rede padrão ou uma ACL associada a sub-redes.

[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs

Requisitos relacionados: NIST.800-53.r5 AC-4 (21)

Categoria: Proteger > Segurança de rede

Severidade: baixa

Tipo de recurso: AWS::EC2::Instance

Regra do AWS Config : ec2-instance-multiple-eni-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma EC2 instância usa várias Elastic Network Interfaces (ENIs) ou Elastic Fabric Adapters (EFAs). Esse controle passa se um único adaptador de rede for usado. O controle inclui uma lista de parâmetros opcional para identificar os permitidos ENIs. Esse controle também falhará se uma EC2 instância pertencente a um cluster Amazon EKS usar mais de uma ENI. Se suas EC2 instâncias precisarem ter várias ENIs como parte de um cluster Amazon EKS, você poderá suprimir essas descobertas de controle.

Várias ENIs podem causar instâncias com hospedagem dupla, ou seja, instâncias que têm várias sub-redes. Isso pode aumentar a complexidade da segurança da rede e introduzir caminhos e acessos de rede não intencionais.

Correção

Para separar uma interface de rede de uma EC2 instância, consulte Separar uma interface de rede de uma instância no Guia do EC2 usuário da Amazon.

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regra do AWS Config : vpc-sg-open-only-to-authorized-ports

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`authorizedTcpPorts`	Lista de portas TCP autorizadas	IntegerList (mínimo de 1 item e máximo de 32 itens)	`1` para `65535`	`[80,443]`
`authorizedUdpPorts`	Lista de portas UDP autorizadas	IntegerList (mínimo de 1 item e máximo de 32 itens)	`1` para `65535`	Nenhum valor padrão

Esse controle verifica se um grupo de EC2 segurança da Amazon permite tráfego de entrada irrestrito de portas não autorizadas. O status do controle é determinado da forma a seguir:

Se você usar o valor padrão para authorizedTcpPorts, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta que não seja as portas 80 e 443.
Se você fornecer valores personalizados para authorizedTcpPorts ou authorizedUdpPorts, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta não listada.
Se nenhum parâmetro for usado, o controle falhará em qualquer grupo de segurança que tenha uma regra de tráfego de entrada irrestrita.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída para AWS. As regras do grupo de segurança devem seguir o princípio do acesso de privilégio mínimo. O acesso irrestrito (endereço IP com sufixo /0) aumenta a oportunidade de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. A menos que uma porta seja especificamente permitida, a porta deve negar acesso irrestrito.

Correção

Para modificar um grupo de segurança, consulte Trabalho com grupos de segurança no Guia do usuário da Amazon VPC.

[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoria: Proteger > Acesso restrito à rede

Severidade: crítica

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: restricted-common-ports(a regra criada évpc-sg-restricted-common-ports)

Tipo de agendamento: acionado por alterações e periódico

Parâmetros: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (não personalizável)

Esse controle verifica se o tráfego de entrada irrestrito de um grupo EC2 de segurança da Amazon está acessível às portas especificadas que são consideradas de alto risco. Esse controle falhará se alguma das regras em um grupo de segurança permitir tráfego de entrada de '0.0.0.0/0' ou '::/0' nessas portas.

Os grupos de segurança fornecem filtragem stateful de tráfego de rede de entrada e saída aos recursos da AWS . O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. Nenhum grupo de segurança deve permitir acesso irrestrito de entrada às seguintes portas:

20, 21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
10 (POP3)
135 (RPM)
143 (IMAPA)
445 (CIFS)
1433, 1434 (MSSQL)
3000 (estruturas de desenvolvimento web Go, Node.js e Ruby)
3306 (MySQL)
3389 (RDP)
4333 (ahsp)
5000 (estruturas de desenvolvimento web em Python)
5432 (PostgreSQL)
500 (fcp-addr-srvr1)
5601 (Painéis) OpenSearch
8080 (proxy)
8088 (porta HTTP antiga)
8888 (porta HTTP alternativa)
9200 ou 9300 () OpenSearch

Correção

Para excluir regras de um grupo de segurança, consulte Excluir regras de um grupo de segurança no Guia EC2 do usuário da Amazon.

[EC2.20] Ambos os túneis VPN para uma conexão AWS Site-to-Site VPN devem estar ativos

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso:AWS::EC2::VPNConnection

Regra do AWS Config : vpc-vpn-2-tunnels-up

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Um túnel VPN é um link criptografado em que os dados podem passar da rede do cliente para ou de AWS dentro de uma conexão AWS Site-to-Site VPN. Cada conexão VPN inclui dois túneis VPN que podem ser usados simultaneamente para alta disponibilidade. Garantir que os dois túneis VPN estejam prontos para uma conexão VPN é importante para confirmar uma conexão segura e altamente disponível entre uma AWS VPC e sua rede remota.

Esse controle verifica se os dois túneis VPN fornecidos pela AWS Site-to-Site VPN estão no status UP. O controle falhará se um ou ambos os túneis estiverem no status DOWN.

Correção

Para modificar as opções de túnel VPN, consulte Modificação das opções de túnel Site-to-Site VPN no Guia do usuário da AWS Site-to-Site VPN.

[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, (21), (1), (21), NIST.800-53.r5 AC-4 (21), (5), PCI NIST.800-53.r5 CA-9 DSS v4.0.1/1.3.1 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso:AWS::EC2::NetworkAcl

Regra do AWS Config : nacl-no-unrestricted-ssh-rdp

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma lista de controle de acesso à rede (ACL da rede) permite acesso irrestrito às portas TCP padrão para tráfego de ingresso SSH/RDP. O controle falhará se a entrada de ingresso da ACL de rede permitir um bloco CIDR de origem de '0.0.0.0/0' ou '::/0' para as portas TCP 22 ou 3389. O controle não gera descobertas para uma ACL de rede padrão.

O acesso às portas de administração remota do servidor, como a porta 22 (SSH) e a porta 3389 (RDP), não deve ser acessível ao público, pois isso pode permitir acesso não intencional aos recursos em sua VPC.

Correção

Para editar as regras de tráfego da ACL de rede, consulte Trabalhar com rede ACLs no Guia do usuário da Amazon VPC.

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

Importante

RETIRADO DE PADRÕES ESPECÍFICOS — O Security Hub removeu esse controle em 20 de setembro de 2023 do padrão AWS Foundational Security Best Practices e do NIST SP 800-53 Rev. 5. Esse controle ainda faz parte do Service-Managed Standard:. AWS Control Tower Esse controle produz uma descoberta aprovada se os grupos de segurança estiverem conectados a EC2 instâncias ou a uma interface de rede elástica. No entanto, para determinados casos de uso, grupos de segurança independentes não representam um risco de segurança. Você pode usar outros EC2 controles, como EC2 .2, EC2 .13, EC2 .14, EC2 .18 e EC2 .19, para monitorar seus grupos de segurança.

Categoria: Identificar > Inventário

Severidade: média

Tipo de recurso:AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

Regra do AWS Config : ec2-security-group-attached-to-eni-periodic

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os grupos de segurança estão conectados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou a uma interface de rede elástica. O controle falhará se o grupo de segurança não estiver associado a uma EC2 instância da Amazon ou a uma interface de rede elástica.

Correção

Para criar, atribuir e excluir grupos de segurança, consulte Grupos de segurança no guia EC2 do usuário da Amazon.

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar automaticamente solicitações de anexos de VPC

Requisitos relacionados: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso:AWS::EC2::TransitGateway

Regra do AWS Config : ec2-transit-gateway-auto-vpc-attach-disabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os gateways de EC2 trânsito estão aceitando automaticamente anexos de VPC compartilhados. Esse controle falha em um gateway de trânsito que aceita automaticamente solicitações compartilhadas de anexos de VPC.

A ativação de AutoAcceptSharedAttachments configura um gateway de trânsito para aceitar automaticamente qualquer solicitação de anexo de VPC entre contas sem verificar a solicitação ou a conta da qual o anexo é originário. Para seguir as melhores práticas de autorização e autenticação, recomendamos desativar esse atributo para garantir que somente solicitações autorizadas de anexos de VPC sejam aceitas.

Correção

Para modificar um gateway de trânsito, consulte Modificar um gateway de trânsito no Guia do desenvolvedor do Amazon VPC.

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

Requisitos relacionados: NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões

Severidade: média

Tipo de recurso:AWS::EC2::Instance

Regra do AWS Config : ec2-paravirtual-instance-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o tipo de virtualização de uma EC2 instância é paravirtual. O controle falhará se o virtualizationType da EC2 instância estiver definido comoparavirtual.

O Linux Amazon Machine Images (AMIs) usa um dos dois tipos de virtualização: paravirtual (PV) ou máquina virtual de hardware (HVM). As principais diferenças entre PV e HVM AMIs são a maneira pela qual eles inicializam e se eles podem tirar proveito de extensões de hardware especiais (CPU, rede e armazenamento) para obter melhor desempenho.

Historicamente, os hóspedes fotovoltaicos tinham melhor desempenho do que os convidados HVM em muitos casos, mas devido aos aprimoramentos na virtualização de HVM e à disponibilidade de drivers fotovoltaicos para HVM, isso não é mais verdade. AMIs Para obter mais informações, consulte os tipos de virtualização do Linux AMI no Guia do EC2 usuário da Amazon.

Correção

Para atualizar uma EC2 instância para um novo tipo de instância, consulte Alterar o tipo de instância no Guia EC2 do usuário da Amazon.

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: alta

Tipo de recurso:AWS::EC2::LaunchTemplate

Regra do AWS Config : ec2-launch-template-public-ip-disabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os modelos de EC2 lançamento da Amazon estão configurados para atribuir endereços IP públicos às interfaces de rede no lançamento. O controle falhará se um modelo de EC2 execução estiver configurado para atribuir um endereço IP público às interfaces de rede ou se houver pelo menos uma interface de rede que tenha um endereço IP público.

Um endereço IP público é aquele que é acessível pela internet. Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. EC2 os recursos não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional às suas cargas de trabalho.

Correção

Para atualizar um modelo de EC2 lançamento, consulte Alterar as configurações padrão da interface de rede no Guia do usuário do Amazon EC2 Auto Scaling.

[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup

Categoria: Recuperação > Resiliência > Backups ativados

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13 (5)

Severidade: baixa

Tipo de recurso: AWS::EC2::Volume

AWS Config regra: ebs-resources-protected-by-backup-plan

Tipo de programação: Periódico

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`backupVaultLockCheck`	O controle produz uma `PASSED` descoberta se o parâmetro estiver definido como `true` e o recurso usar o AWS Backup Vault Lock.	Booliano	`true` ou `false`	Nenhum valor padrão

Esse controle avalia se um volume do Amazon EBS no estado in-use está coberto por um plano de backup. O controle falhará se um volume do EBS não estiver coberto por um plano de backup. Se você definir o backupVaultLockCheck parâmetro igual atrue, o controle passará somente se o volume do EBS for copiado em um cofre AWS Backup bloqueado.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. Incluir os volumes do Amazon EBS em seus planos de backup ajuda a proteger seus dados contra perda ou exclusão não intencionais.

Correção

Para adicionar um volume do Amazon EBS a um plano de AWS Backup backup, consulte Atribuição de recursos a um plano de backup no Guia do AWS Backup desenvolvedor.

[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::TransitGatewayAttachment

Regra AWS Config : tagged-ec2-transitgatewayattachment (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um anexo do Amazon EC2 Transit Gateway tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o anexo do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o anexo do gateway de trânsito não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. Você pode criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. Você pode criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.

nota

Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sigilosas em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS

Correção

Para adicionar tags a um anexo de gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::TransitGatewayRouteTable

Regra AWS Config : tagged-ec2-transitgatewayroutetable (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma tabela de rotas do Amazon EC2 Transit Gateway tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a tabela de rotas do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tabela de rotas do gateway de trânsito não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma tabela de rotas de gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.35] interfaces EC2 de rede devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::NetworkInterface

Regra AWS Config : tagged-ec2-networkinterface (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma interface EC2 de rede da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a interface de rede não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a interface de rede não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma interface EC2 de rede, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.36] os gateways EC2 do cliente devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::CustomerGateway

Regra AWS Config : tagged-ec2-customergateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um gateway de EC2 cliente da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o gateway do cliente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway do cliente não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um gateway EC2 do cliente, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.37] Os endereços IP EC2 elásticos devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::EIP

Regra AWS Config : tagged-ec2-eip (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um endereço IP EC2 elástico da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o endereço IP elástico não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o endereço IP elástico não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um endereço IP EC2 elástico, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.38] as EC2 instâncias devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::Instance

Regra AWS Config : tagged-ec2-instance (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma EC2 instância da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a instância do cliente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a instância não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma EC2 instância, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.39] gateways de EC2 internet devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::InternetGateway

Regra AWS Config : tagged-ec2-internetgateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um gateway de EC2 internet da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o gateway da Internet não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway da internet não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um gateway de EC2 internet, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.40] Os gateways EC2 NAT devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::NatGateway

Regra AWS Config : tagged-ec2-natgateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um gateway de tradução de endereços de EC2 rede (NAT) da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o gateway NAT não tiver nenhuma chave de tag ou se ele não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway NAT não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um gateway EC2 NAT, consulte Marcar seus EC2 recursos da Amazon no Guia do EC2 usuário da Amazon.

[EC2.41] a EC2 rede ACLs deve ser marcada

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::NetworkAcl

Regra AWS Config : tagged-ec2-networkacl (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma lista de controle de acesso à EC2 rede da Amazon (Network ACL) tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a ACL de rede não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a ACL de rede não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma ACL de EC2 rede, consulte Marcar seus EC2 recursos da Amazon no Guia do EC2 usuário da Amazon.

[EC2.42] tabelas de EC2 rotas devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::RouteTable

Regra AWS Config : tagged-ec2-routetable (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma tabela de EC2 rotas da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a tabela de rotas não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a tabela de rotas não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma tabela de EC2 rotas, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.43] grupos EC2 de segurança devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::SecurityGroup

Regra AWS Config : tagged-ec2-securitygroup (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um grupo EC2 de segurança da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o grupo de segurança não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o grupo de segurança não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um grupo EC2 de segurança, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.44] EC2 sub-redes devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::Subnet

Regra AWS Config : tagged-ec2-subnet (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma EC2 sub-rede da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a ACL de rede não tiver nenhuma chave de tag ou se a sub-rede não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a sub-rede não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma EC2 sub-rede, consulte Marcar seus EC2 recursos da Amazon no Guia do EC2 usuário da Amazon.

[EC2.45] EC2 volumes devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::Volume

Regra AWS Config : tagged-ec2-subnet (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um EC2 volume da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a ACL de rede não tiver nenhuma chave de tag ou se o volume não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o volume não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um EC2 volume, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.46] Amazon VPCs deve ser etiquetada

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPC

Regra AWS Config : tagged-ec2-vpc (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma Amazon Virtual Private Cloud (Amazon VPC) tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se a VPC de rede não tiver nenhuma chave de tag ou se o volume não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a Amazon VPC não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma VPC, consulte Marcar EC2 seus recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.47] Os serviços de endpoint do Amazon VPC devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPCEndpointService

Regra AWS Config : tagged-ec2-vpcendpointservice (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um serviço de endpoint da Amazon VPV tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o serviço de endpoint não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o serviço de endpoint não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um serviço de endpoint da Amazon VPC, consulte Gerenciar tags na seção Configurar um serviço de endpoint no Guia do AWS PrivateLink .

[EC2.48] Os registros de fluxo da Amazon VPC devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::FlowLog

Regra AWS Config : tagged-ec2-flowlog (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um log de fluxo da Amazon VPC tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o log de fluxo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o log de fluxo não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um log de fluxo da Amazon VPC, consulte Marcar um log de fluxo no Guia do usuário da Amazon VPC.

[EC2.49] As conexões de emparelhamento do Amazon VPC devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPCPeeringConnection

Regra AWS Config : tagged-ec2-vpcpeeringconnection (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se uma conexão de emparelhamento da Amazon VPC tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se a conexão de emparelhamento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a conexão de emparelhamento não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a uma conexão de emparelhamento do Amazon VPC, consulte Marcar seus EC2 recursos da Amazon no Guia do usuário da Amazon EC2 .

[EC2.50] Os gateways de EC2 VPN devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPNGateway

Regra AWS Config : tagged-ec2-vpngateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	Nenhum valor padrão

Esse controle verifica se um gateway Amazon EC2 VPN tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o gateway da VPN não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway da VPN não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um gateway EC2 VPN, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.51] Os endpoints EC2 do Client VPN devem ter o registro de conexão do cliente ativado

Requisitos relacionados: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

Categoria: Identificar > Registro em log

Severidade: baixa

Tipo de recurso: AWS::EC2::ClientVpnEndpoint

AWS Config regra: ec2-client-vpn-connection-log-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um AWS Client VPN endpoint tem o registro de conexão do cliente ativado. O controle falhará se o endpoint não tiver o registro em log de conexão do cliente habilitado.

Os endpoints do Client VPN permitem que clientes remotos se conectem com segurança aos recursos em uma nuvem privada virtual (VPC) na AWS. Os registros em log de conexão permitem que você acompanhe a atividade do usuário no endpoint da VPN e forneça visibilidade. Ao habilitar o registro em log de conexão, é possível especificar o nome de um stream de logs no grupo de logs. Se você não especificar um fluxo de logs, o serviço do Client VPN criará um para você.

Correção

Para habilitar o registro em log de conexão, consulte Habilitar o registro em log de conexão para um endpoint do Client VPN existente no Manual do administrador do AWS Client VPN .

[EC2.52] gateways EC2 de trânsito devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::TransitGateway

Regra AWS Config : tagged-ec2-transitgateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem aos requisitos da AWS	`No default value`

Esse controle verifica se um gateway de EC2 trânsito da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o gateway NAT não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway de trânsito não estiver marcado com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.

nota

Correção

Para adicionar tags a um gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.53] grupos de EC2 segurança não devem permitir a entrada de 0.0.0.0/0 nas portas de administração remota do servidor

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/5.2, PCI DSS v4.0.1/1.3.1

Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regra do AWS Config : vpc-sg-port-restriction-check

Tipo de programação: Periódico

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`ipType`	A versão de IP	String	Não personalizável	`IPv4`
`restrictPorts`	Lista de portas que devem rejeitar o tráfego de entrada	IntegerList	Não personalizável	`22,3389`

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 nas portas de administração remota do servidor (portas 22 e 3389). O controle falhará se o grupo de segurança permite a entrada de 0.0.0.0/0 na porta 22 ou 3389.

Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para os recursos. AWS Recomendamos que nenhum grupo de segurança permita acesso irrestrito às portas de administração de servidor remoto, como SSH à porta 22 e RDP à porta 3389, usando os protocolos TDP (6), UDP (17) ou ALL (-1). Permitir o acesso público a essas portas aumenta a superfície de ataque e o risco de comprometimento dos recursos.

Correção

Para atualizar uma regra EC2 de grupo de segurança para proibir o tráfego de entrada nas portas especificadas, consulte Atualizar regras do grupo de segurança no Guia EC2 do usuário da Amazon. Depois de selecionar um grupo de segurança no EC2 console da Amazon, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 22 ou 3389.

[EC2.54] grupos EC2 de segurança não devem permitir a entrada de: :/0 nas portas de administração do servidor remoto

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/1.3.1

Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regra do AWS Config : vpc-sg-port-restriction-check

Tipo de programação: Periódico

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`ipType`	A versão de IP	String	Não personalizável	`IPv6`
`restrictPorts`	Lista de portas que devem rejeitar o tráfego de entrada	IntegerList	Não personalizável	`22,3389`

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de: :/0 nas portas de administração remota do servidor (portas 22 e 3389). O controle falhará se o grupo de segurança permitir a entrada de ::/0 na porta 22 ou 3389.

Correção

[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parameter	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ecr.api`
`vpcIds`	Opcional	Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com uma ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem uma interface VPC endpoint para a API Amazon ECR. O controle falhará se a VPC não tiver uma interface VPC endpoint para a API ECR. Esse controle avalia os recursos em uma única conta.

AWS PrivateLink permite que os clientes AWS acessem serviços hospedados de forma altamente disponível e escalável, mantendo todo o tráfego da rede dentro da AWS rede. Os usuários do serviço podem acessar de forma privada os serviços fornecidos por meio PrivateLink de sua VPC ou local, sem usar o IPs público e sem exigir que o tráfego percorra a Internet.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar uma interface VPC endpoint no Guia.AWS PrivateLink

[EC2.56] VPCs deve ser configurado com um endpoint de interface para Docker Registry

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parameter	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ecr.dkr`
`vpcIds`	Opcional	Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com uma ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem uma interface VPC endpoint para Docker Registry. O controle falhará se a VPC não tiver uma interface VPC endpoint para o Docker Registry. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar uma interface VPC endpoint no Guia.AWS PrivateLink

[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parameter	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ssm`
`vpcIds`	Opcional	Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com uma ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem uma interface VPC endpoint para. AWS Systems Manager O controle falhará se a VPC não tiver uma interface VPC endpoint para Systems Manager. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar uma interface VPC endpoint no Guia.AWS PrivateLink

[EC2.58] VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parameter	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ssm-contacts`
`vpcIds`	Opcional	Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com uma ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem uma interface VPC endpoint para contatos do Incident Manager. AWS Systems Manager O controle falhará se a VPC não tiver uma interface VPC endpoint para os contatos do Systems Manager Incident Manager. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar uma interface VPC endpoint no Guia.AWS PrivateLink

[EC2.60] VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager

Categoria: Proteger > Gerenciamento de acesso seguro > Controle de acesso

Severidade: média

Tipo de recurso: AWS::EC2::VPC,AWS::EC2::VPCEndpoint

Regra do AWS Config : vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

Parameter	Obrigatório	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`serviceNames`	Obrigatório	O nome do serviço que o controle avalia	String	Não personalizável	`ssm-incidents`
`vpcIds`	Opcional	Lista separada por vírgulas do Amazon VPC IDs para VPC endpoints. Se fornecido, o controle falhará se os serviços especificados no `serviceName` parâmetro não tiverem um desses VPC endpoints.	StringList	Personalize com uma ou mais VPC IDs	Nenhum valor padrão

Esse controle verifica se uma nuvem privada virtual (VPC) que você gerencia tem uma interface VPC endpoint para o Incident Manager. AWS Systems Manager O controle falhará se a VPC não tiver uma interface VPC endpoint para o Systems Manager Incident Manager. Esse controle avalia os recursos em uma única conta.

Correção

Para configurar um VPC endpoint, consulte Acessar e AWS service (Serviço da AWS) usar uma interface VPC endpoint no Guia.AWS PrivateLink

[EC2.170] os modelos de EC2 lançamento devem usar o Instance Metadata Service versão 2 () IMDSv2

Requisitos relacionados: PCI DSS v4.0.1/2.2.6

Categoria: Proteger > Segurança de rede

Severidade: baixa

Tipo de recurso: AWS::EC2::LaunchTemplate

Regra do AWS Config : ec2-launch-template-imdsv2-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um modelo de EC2 lançamento da Amazon está configurado com o Instance Metadata Service versão 2 (IMDSv2). O controle falha se HttpTokens estiver definido como optional.

Executar os recursos em versões de software compatíveis garante a performance, a segurança e o acesso ideais aos recursos mais novos. Atualizações regulares protegem contra vulnerabilidades, o que ajuda a garantir uma experiência de usuário estável e eficiente.

Correção

Para solicitar um modelo IMDSv2 de EC2 lançamento, consulte Configurar as opções do serviço de metadados da instância no Guia do EC2 usuário da Amazon.

[EC2.171] As conexões EC2 VPN devem ter o registro ativado

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::EC2::VPNConnection

Regra do AWS Config : ec2-vpn-connection-logging-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma conexão AWS Site-to-Site VPN tem o Amazon CloudWatch Logs habilitado para os dois túneis. O controle falhará se uma conexão Site-to-Site VPN não tiver CloudWatch registros habilitados para os dois túneis.

AWS Site-to-Site Os registros de VPN fornecem uma visibilidade mais profunda de suas implantações de Site-to-Site VPN. Com esse recurso, você tem acesso aos registros de conexão Site-to-Site VPN que fornecem detalhes sobre o estabelecimento do túnel IP Security (IPsec), negociações do Internet Key Exchange (IKE) e mensagens do protocolo Dead Peer Detection (DPD). Site-to-Site Os registros de VPN podem ser publicados em CloudWatch Registros. Esse recurso fornece aos clientes uma maneira única e consistente de acessar e analisar registros detalhados de todas as suas conexões Site-to-Site VPN.

Correção

Para ativar o registro em túneis em uma conexão EC2 VPN, consulte os registros de AWS Site-to-Site AWS Site-to-Site VPN no Guia do usuário de VPN.

[EC2.172] As configurações do EC2 VPC Block Public Access devem bloquear o tráfego do gateway da Internet

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: média

Tipo de recurso: AWS::EC2::VPCBlockPublicAccessOptions

Regra AWS Config : ec2-vpc-bpa-internet-gateway-blocked (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parameter	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`vpcBpaInternetGatewayBlockMode`	Valor da string do modo de opções do VPC BPA.	Enum	`block-bidirectional`, `block-ingress`	Nenhum valor padrão

Esse controle verifica se as configurações do Amazon EC2 VPC Block Public Access (BPA) estão definidas para bloquear o tráfego do gateway de internet para toda a Amazon VPCs no. Conta da AWS O controle falhará se as configurações de VPC BPA não estiverem definidas para bloquear o tráfego do gateway de Internet. Para que o controle seja aprovado, o VPC BPA InternetGatewayBlockMode deve ser definido como ou. block-bidirectional block-ingress Se o parâmetro vpcBpaInternetGatewayBlockMode for fornecido, o controle passará somente se o valor de BPA da VPC InternetGatewayBlockMode corresponder ao parâmetro.

Definir as configurações de VPC BPA para sua conta em Região da AWS an permite impedir que recursos e sub-redes que você possui nessa região VPCs cheguem ou sejam acessados pela Internet por meio de gateways de Internet e gateways de Internet somente de saída. Se você precisar de sub-redes específicas VPCs para acessar ou ser acessado pela Internet, você pode excluí-las configurando as exclusões de VPC BPA. Para obter instruções sobre como criar e excluir exclusões, consulte Criar e excluir exclusões no Guia do usuário da Amazon VPC.

Correção

Para ativar o BPA bidirecional no nível da conta, consulte Habilitar o modo bidirecional do BPA para sua conta no Guia do usuário da Amazon VPC. Para ativar o BPA somente de entrada, consulte Alterar o modo VPC BPA para somente entrada. Para habilitar o VPC BPA no nível da organização, consulte Habilitar o VPC BPA no nível da organização.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Controles do Amazon DynamoDB

Controles do Amazon EC2 Auto Scaling