As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Padrão de melhores práticas básicas de segurança v1.0.0 () FSBP
O padrão AWS Foundational Security Best Practices é um conjunto de controles que detectam quando você Contas da AWS e seus recursos se desviam das melhores práticas de segurança.
O padrão permite que você avalie continuamente todas as suas cargas de trabalho Contas da AWS e suas cargas de trabalho para identificar rapidamente as áreas de desvio das melhores práticas. Ele fornece orientações acionáveis e prescritivas sobre como aprimorar e manter a postura de segurança da sua organização.
Os controles incluem as melhores práticas de segurança para recursos de vários Serviços da AWS. Cada controle recebe uma categoria que reflete a função de segurança à qual ele se aplica. Para obter mais informações, consulte Lista de categorias de controle no Security Hub.
Controles que se aplicam ao FSBP padrão
[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
[APIGateway.1] O API gateway REST e o registro WebSocket API de execução devem estar habilitados
[APIGateway.3] Os REST API estágios do API gateway devem ter AWS X-Ray rastreamento ativado
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
[APIGateway.5] Os dados REST API do cache do API gateway devem ser criptografados em repouso
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
[AppSync.5] AWS AppSync O GraphQL não APIs deve ser autenticado com chaves API
[Athena.4] Os grupos de trabalho do Athena devem ter o registro ativado
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
[Cópia de segurança.1] AWS Backup os pontos de recuperação devem ser criptografados em repouso
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
[CodeBuild.4] os ambientes CodeBuild do projeto devem ter um registro AWS Config duração
[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
[DataSync.1] DataSync as tarefas devem ter o registro ativado
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
[DMS.8] as tarefas de DMS replicação para o banco de dados de origem devem ter o registro ativado
[DMS.9] os DMS endpoints devem usar SSL
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
[EC2.1] Os EBS snapshots da Amazon não devem ser restauráveis publicamente
[EC2.2] grupos de segurança VPC padrão não devem permitir tráfego de entrada ou saída
[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs
[EC2.7] a criptografia EBS padrão deve estar ativada
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4
[EC2.10] A Amazon EC2 deve ser configurada para usar VPC endpoints criados para o serviço Amazon EC2
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
[EC2.20] Ambos os VPN túneis para um AWS A VPN conexão site a site deve estar ativa
[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
[ECS.2] ECS os serviços não devem ter endereços IP públicos atribuídos a eles automaticamente
[ECS.3] as definições de ECS tarefas não devem compartilhar o namespace do processo do host
[ECS.4] os ECS contêineres devem ser executados sem privilégios
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
[ECS.12] os ECS clusters devem usar o Container Insights
[ECS.16] conjuntos de ECS tarefas não devem atribuir automaticamente endereços IP públicos
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
[EFS.6] destinos de EFS montagem não devem ser associados a uma sub-rede pública
[EFS.7] os sistemas de EFS arquivos devem ter os backups automáticos habilitados
[EKS.1] os endpoints EKS do cluster não devem ser acessíveis ao público
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
[EKS.3] os EKS clusters devem usar segredos criptografados do Kubernetes
[EKS.8] os EKS clusters devem ter o registro de auditoria ativado
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado
[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso
[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito
[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS
[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http inválidos
[ELB.5] O registro de aplicativos e balanceadores de carga clássicos deve estar ativado
[ELB.7] Os balanceadores de carga clássicos devem ter a drenagem de conexão ativada
[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
[EMR.2] A configuração de EMR bloqueio de acesso público da Amazon deve estar ativada
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado
[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
[Cola.2] AWS Glue os trabalhos devem ter o registro ativado
[Cola.3] AWS Glue as transformações de aprendizado de máquina devem ser criptografadas em repouso
[GuardDuty.1] GuardDuty deve ser ativado
[GuardDuty.5] O monitoramento do registro de GuardDuty EKS auditoria deve estar ativado
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
[GuardDuty.7] O monitoramento do GuardDuty EKS tempo de execução deve estar ativado
[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado
[GuardDuty.9] A GuardDuty RDS proteção deve estar ativada
[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada
[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos
[IAM.2] IAM os usuários não devem ter IAM políticas anexadas
[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos
[IAM.4] a chave de acesso do usuário IAM root não deve existir
[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console
[IAM.6] O hardware MFA deve estar habilitado para o usuário root
[IAM.7] As políticas de senha para IAM usuários devem ter configurações fortes
[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
[Kinesis.3] Os streams do Kinesis devem ter um período de retenção de dados adequado
[KMS.3] AWS KMS keys não deve ser excluído acidentalmente
[Lambda.1] As funções do Lambda.1 devem proibir o acesso público
[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis
[Lambda.5] As funções do VPC Lambda devem operar em várias zonas de disponibilidade
[Macie.1] O Amazon Macie deve estar ativado
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
[PCA.1] AWS Private CA a autoridade de certificação raiz deve ser desativada
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
[RDS.1] o RDS instantâneo deve ser privado
[RDS.3] As instâncias de RDS banco de dados devem ter a criptografia em repouso ativada
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de RDS banco de dados
[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada
[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada
[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch
[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS
[RDS.11] as RDS instâncias devem ter backups automáticos habilitados
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para instantâneos
[RDS.18] as RDS instâncias devem ser implantadas em um VPC
[RDS.23] as RDS instâncias não devem usar uma porta padrão do mecanismo de banco de dados
[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso
[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso SSL
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado
[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso
[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
[SSM.4] SSM documentos não devem ser públicos
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
[Transfer.2] Os servidores Transfer Family não devem usar FTP protocolo para conexão de endpoints
[WAF.1] AWS WAF O ACL registro clássico da Web global deve estar ativado
[WAF.2] AWS WAF As regras regionais clássicas devem ter pelo menos uma condição
[WAF.3] AWS WAF Os grupos de regras regionais clássicos devem ter pelo menos uma regra
[WAF.4] AWS WAF A web regional clássica ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.6] AWS WAF As regras globais clássicas devem ter pelo menos uma condição
[WAF.7] AWS WAF Os grupos de regras globais clássicos devem ter pelo menos uma regra
[WAF.8] AWS WAF A web global clássica ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.10] AWS WAF a web ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.12] AWS WAF as regras devem ter CloudWatch métricas ativadas
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
