As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Padrão básico de melhores práticas de segurança v1.0.0 (FSBP)
O padrão AWS Foundational Security Best Practices é um conjunto de controles que detectam quando você Contas da AWS e seus recursos se desviam das melhores práticas de segurança.
O padrão permite que você avalie continuamente todas as suas cargas de trabalho Contas da AWS e suas cargas de trabalho para identificar rapidamente as áreas de desvio das melhores práticas. Ele fornece orientações acionáveis e prescritivas sobre como aprimorar e manter a postura de segurança da sua organização.
Os controles incluem as melhores práticas de segurança para recursos de vários Serviços da AWS. Cada controle recebe uma categoria que reflete a função de segurança à qual ele se aplica. Para obter mais informações, consulte Lista de categorias de controle no Security Hub.
Controles que se aplicam ao padrão FSBP
[Account.1] Informações de contato de segurança devem ser fornecidas para uma Conta da AWS
[APIGateway.1] O API gateway REST e o registro WebSocket API de execução devem estar habilitados
[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
[APIGateway.5] Os dados REST API do cache do API gateway devem ser criptografados em repouso
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
[AppSync.1] AWS AppSync API os caches devem ser criptografados em repouso
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
[AppSync.6] AWS AppSync API os caches devem ser criptografados em trânsito
[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
[Backup.1] Os pontos de recuperação do AWS Backup devem ser criptografados em repouso
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
[DataSync.1] As tarefas do DataSync devem ter o registro em log habitado
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
[DMS.8] as tarefas de DMS replicação para o banco de dados de origem devem ter o registro ativado
[DMS.9] os DMS endpoints devem usar SSL
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada
[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito
[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente
[EC2.2] Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída
[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs
[EC2.7] A criptografia padrão do EBS deve estar ativada
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4
[EC2.10] A Amazon EC2 deve ser configurada para usar endpoints VPC criados para o serviço Amazon EC2
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
[EC2.20] Ambos os túneis VPN para uma conexão AWS Site-to-Site VPN devem estar ativos
[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
[EC2.51] Os endpoints EC2 do Client VPN devem ter o registro de conexão do cliente ativado
[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR
[EC2.56] VPCs deve ser configurado com um endpoint de interface para Docker Registry
[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager
[EC2.170] os modelos de EC2 lançamento devem usar o Instance Metadata Service versão 2 () IMDSv2
[EC2.171] As conexões EC2 VPN devem ter o registro ativado
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
[ECS.2] ECS os serviços não devem ter endereços IP públicos atribuídos a eles automaticamente
[ECS.3] as definições de ECS tarefas não devem compartilhar o namespace do processo do host
[ECS.4] os ECS contêineres devem ser executados sem privilégios
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
[ECS.12] os ECS clusters devem usar o Container Insights
[ECS.16] conjuntos de ECS tarefas não devem atribuir automaticamente endereços IP públicos
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
[EFS.6] destinos de EFS montagem não devem ser associados a uma sub-rede pública
[EFS.7] os sistemas de EFS arquivos devem ter os backups automáticos habilitados
[EFS.8] os sistemas de EFS arquivos devem ser criptografados em repouso
[EKS.1] os endpoints EKS do cluster não devem ser acessíveis ao público
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
[EKS.3] os EKS clusters devem usar segredos criptografados do Kubernetes
[EKS.8] os EKS clusters devem ter o registro de auditoria ativado
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado
[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso
[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito
[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS
[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http inválidos
[ELB.5] O registro de aplicativos e balanceadores de carga clássicos deve estar ativado
[ELB.7] Os balanceadores de carga clássicos devem ter a drenagem de conexão ativada
[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado
[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso
[GuardDuty.1] GuardDuty deve ser ativado
[GuardDuty.5] O monitoramento do registro de GuardDuty EKS auditoria deve estar ativado
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
[GuardDuty.7] O monitoramento do GuardDuty EKS tempo de execução deve estar ativado
[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado
[GuardDuty.9] A GuardDuty RDS proteção deve estar ativada
[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR
[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada
[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado
[KMS.3] não AWS KMS keys deve ser excluído acidentalmente
[KMS.5] As chaves do KMS não devem estar acessíveis ao público
[Lambda.1] As funções do Lambda.1 devem proibir o acesso público
[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis
[Lambda.5] As funções do VPC Lambda devem operar em várias zonas de disponibilidade
[Macie.1] O Amazon Macie deve estar habilitado
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
[MSK.3] Os conectores MSK Connect devem ser criptografados em trânsito
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
[NetworkFirewall.2] O registro em log do Network Firewall deve ser habilitado
[NetworkFirewall.6] O grupo de regras de firewall de rede sem estado não deve estar vazio
[NetworkFirewall.9] Os firewalls do firewall de rede devem ter a proteção contra exclusão ativada
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
[RDS.1] Os instantâneos do RDS devem ser privados
[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS
[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada
[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada
[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch
[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS
[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados
[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS
[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas
[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado
[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC
[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso SSL
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado
[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas
[SageMaker.1] As instâncias do notebook Amazon SageMaker AI não devem ter acesso direto à Internet
[SageMaker.2] As instâncias do notebook SageMaker AI devem ser iniciadas em uma VPC personalizada
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do notebook SageMaker AI
[SageMaker.5] SageMaker os modelos devem bloquear o tráfego de entrada
[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
[SNS.4] as políticas de acesso a SNS tópicos não devem permitir o acesso público
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
[SSM.4] SSM documentos não devem ser públicos
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
[Transfer.2] Os servidores Transfer Family não devem usar FTP protocolo para conexão de endpoints
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.12] AWS WAF as regras devem ter CloudWatch métricas ativadas
[WorkSpaces.1] Os volumes de usuários do WorkSpaces devem ser criptografados em repouso
[WorkSpaces. 2] Os volumes-raiz do WorkSpaces devem ser criptografados em repouso
