As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
O padrão AWS Foundational Security Best Practices é um conjunto de controles que detectam quando você Contas da AWS e seus recursos se desviam das melhores práticas de segurança.
O padrão permite que você avalie continuamente todas as suas cargas de trabalho Contas da AWS e suas cargas de trabalho para identificar rapidamente as áreas de desvio das melhores práticas. Ele fornece orientações acionáveis e prescritivas sobre como aprimorar e manter a postura de segurança da sua organização.
Os controles incluem as melhores práticas de segurança para recursos de vários Serviços da AWS. Cada controle recebe uma categoria que reflete a função de segurança à qual ele se aplica. Para obter mais informações, consulte Lista de categorias de controle no Security Hub.
Controles que se aplicam ao padrão FSBP
[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado
[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL
[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API
[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito
[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado
[CloudFront.7] CloudFront as distribuições devem usar certificados SSL/TLS personalizados
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
[DataSync.1] DataSync as tarefas devem ter o registro ativado
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
[DMS.9] Os endpoints do DMS devem usar SSL
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado
[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada
[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito
[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente
[EC2.2] Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída
[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs
[EC2.7] A criptografia padrão do EBS deve estar ativada
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4
[EC2.10] A Amazon EC2 deve ser configurada para usar endpoints VPC criados para o serviço Amazon EC2
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
[EC2.20] Ambos os túneis VPN para uma conexão AWS Site-to-Site VPN devem estar ativos
[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
[EC2.51] Os endpoints EC2 do Client VPN devem ter o registro de conexão do cliente ativado
[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR
[EC2.56] VPCs deve ser configurado com um endpoint de interface para Docker Registry
[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager
[EC2.170] os modelos de EC2 lançamento devem usar o Instance Metadata Service versão 2 () IMDSv2
[EC2.171] As conexões EC2 VPN devem ter o registro ativado
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
[ECS.12] Os clusters do ECS devem usar Container Insights
[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz
[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário
[EFS.6] Os destinos de montagem do EFS não devem ser associados a uma sub-rede pública
[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados
[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso
[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes
[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado
[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso
[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito
[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS
[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos
[ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado
[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada
[ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado
[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso
[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue
[GuardDuty.1] GuardDuty deve ser ativado
[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado
[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada
[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada
[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado
[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado
[GuardDuty.13] O monitoramento GuardDuty EC2 de tempo de execução deve estar ativado
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada
[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada
[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado
[KMS.3] não AWS KMS keys deve ser excluído acidentalmente
[KMS.5] As chaves do KMS não devem estar acessíveis ao público
[Lambda.1] As funções do Lambda.1 devem proibir o acesso público
[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis
[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade
[Macie.1] O Amazon Macie deve estar habilitado
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente
[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
[RDS.1] Os instantâneos do RDS devem ser privados
[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS
[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada
[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada
[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch
[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS
[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados
[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS
[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas
[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado
[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação
[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado
[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas
[SageMaker.1] As instâncias do notebook Amazon SageMaker AI não devem ter acesso direto à Internet
[SageMaker.2] As instâncias do notebook SageMaker AI devem ser iniciadas em uma VPC personalizada
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do notebook SageMaker AI
[SageMaker.5] SageMaker os modelos devem bloquear o tráfego de entrada
[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
[SQS.3] As políticas de acesso à fila do SQS não devem permitir acesso público
[SSM.1] As EC2 instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
[SSM.4] Os documentos SSM não devem ser públicos
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
[Transfer.3] Os conectores Transfer Family devem ter o registro ativado
[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
