As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Limites regionais de controles
AWS Os controles do Security Hub podem não estar disponíveis em todos Regiões da AWS. Esta página mostra quais controles não estão disponíveis em regiões específicas. Um controle não aparece na lista de controles no console do Security Hub se não estiver disponível na região em que você está conectado. A exceção é se você estiver conectado a uma região de agregação. Nesse caso, é possível ver os controles que estão disponíveis na região de agregação ou em uma ou mais regiões vinculadas.
Sumário
- Leste dos EUA (Norte da Virgínia)
- Leste dos EUA (Ohio)
- Oeste dos EUA (N. da Califórnia)
- Oeste dos EUA (Oregon)
- África (Cidade do Cabo)
- Ásia-Pacífico (Hong Kong)
- Ásia-Pacífico (Hyderabad)
- Ásia-Pacífico (Jacarta)
- Ásia-Pacífico (Mumbai)
- Ásia-Pacífico (Melbourne)
- Ásia-Pacífico (Osaka)
- Ásia-Pacífico (Seul)
- Ásia-Pacífico (Singapura)
- Ásia-Pacífico (Sydney)
- Ásia-Pacífico (Tóquio)
- Canadá (Central)
- China (Pequim)
- China (Ningxia)
- Europa (Frankfurt)
- Europa (Irlanda)
- Europa (Londres)
- Europa (Milão)
- Europa (Paris)
- Europa (Espanha)
- Europa (Estocolmo)
- Europa (Zurique)
- Israel (Tel Aviv)
- Oriente Médio (Barém)
- Oriente Médio (UAE)
- América do Sul (São Paulo)
- AWS GovCloud (Leste dos EUA)
- AWS GovCloud (Oeste dos EUA)
Leste dos EUA (Norte da Virgínia)
Os controles a seguir não são compatíveis no Leste dos EUA (N. da Virgínia).
-
[ElastiCache.4] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em repouso
-
[ElastiCache.5] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em trânsito
-
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
Leste dos EUA (Ohio)
Os controles a seguir não são compatíveis no Leste dos EUA (Ohio).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Oeste dos EUA (N. da Califórnia)
Os controles a seguir não são compatíveis no Oeste dos EUA (N. da Califórnia).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Oeste dos EUA (Oregon)
Os controles a seguir não são compatíveis no Oeste dos EUA (Oregon).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
África (Cidade do Cabo)
Os controles a seguir não são compatíveis na África (Cidade do Cabo).
-
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
-
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso
-
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
-
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
-
[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
-
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch
-
[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Hong Kong)
Os controles a seguir não são compatíveis na Ásia-Pacífico (Hong Kong).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Hyderabad)
Os controles a seguir não são compatíveis na Ásia-Pacífico (Hyderabad).
-
[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
-
[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado
-
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
-
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
-
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
-
[Backup.2] os pontos de AWS Backup recuperação devem ser marcados
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[Backup.5] os planos de AWS Backup backup devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
-
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
-
[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
-
[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas
-
[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados
-
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
-
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
-
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
-
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
-
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
-
[ELB.5] O registro de aplicativos e balanceadores de carga clássicos deve estar ativado
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
-
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
-
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos
-
[IAM.2] IAM os usuários não devem ter IAM políticas anexadas
-
[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos
-
[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console
-
[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas
-
[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess
-
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
-
[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada
-
[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera
-
[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
-
[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
-
Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
-
[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada
-
[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso
-
[RDS.28] Os clusters de RDS banco de dados devem ser marcados
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch
-
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
-
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
-
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
-
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
-
[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso
-
[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Jacarta)
Os controles a seguir não são compatíveis na Ásia-Pacífico (Jacarta).
-
[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
-
[APIGateway.1] O API gateway REST e o registro WebSocket API de execução devem estar habilitados
-
[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado
-
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
-
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
-
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
-
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
-
[Backup.2] os pontos de AWS Backup recuperação devem ser marcados
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[Backup.5] os planos de AWS Backup backup devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
-
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
-
[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
-
[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
-
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
-
[ECS.2] ECS os serviços não devem ter endereços IP públicos atribuídos a eles automaticamente
-
[ECS.3] as definições de ECS tarefas não devem compartilhar o namespace do processo do host
-
[ECS.4] os ECS contêineres devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
-
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
-
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
-
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
-
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
-
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
-
[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
-
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
-
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
-
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
-
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso
-
[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Mumbai)
Os controles a seguir não são compatíveis na Ásia-Pacífico (Mumbai).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Melbourne)
Os controles a seguir não são compatíveis na Ásia-Pacífico (Melbourne).
-
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
-
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
-
[Backup.2] os pontos de AWS Backup recuperação devem ser marcados
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[Backup.5] os planos de AWS Backup backup devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
-
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
-
[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.1] Os EBS snapshots da Amazon não devem ser restauráveis publicamente
-
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
-
[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4
-
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
-
[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados
-
[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas
-
[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados
-
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
-
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
-
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
-
[EKS.7] as configurações do provedor de EKS identidade devem ser marcadas
-
[EKS.8] os EKS clusters devem ter o registro de auditoria ativado
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElastiCache.4] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em repouso
-
[ElastiCache.5] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em trânsito
-
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
-
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
-
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos
-
[IAM.2] IAM os usuários não devem ter IAM políticas anexadas
-
[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos
-
[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console
-
[IAM.6] O hardware MFA deve estar habilitado para o usuário root
-
[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para IAM usuários devem ter durações fortes AWS Config
-
[IAM.11] Certifique-se de que a política de IAM senha exija pelo menos uma letra maiúscula
-
[IAM.12] Certifique-se de que a política de IAM senha exija pelo menos uma letra minúscula
-
[IAM.13] Certifique-se de que a política de IAM senha exija pelo menos um símbolo
-
[IAM.14] Certifique-se de que a política de IAM senha exija pelo menos um número
-
[IAM.15] Certifique-se de que a política de IAM senha exija um tamanho mínimo de senha de 14 ou mais
-
[IAM.16] Certifique-se de que a política de IAM senha impeça a reutilização de senhas
-
[IAM.17] Certifique-se de que a política de IAM senhas expire as senhas em 90 dias ou menos
-
[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess
-
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
-
[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada
-
[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera
-
[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
-
[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
-
Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
-
[RDS.3] As instâncias de RDS banco de dados devem ter a criptografia em repouso ativada
-
[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso
-
[RDS.28] Os clusters de RDS banco de dados devem ser marcados
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado
-
[S3.15] Os buckets de uso geral do S3 devem ter o Object Lock ativado
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS
-
[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[StepFunctions.2] As atividades do Step Functions devem ser marcadas
-
Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Osaka)
Os controles a seguir não são compatíveis na Ásia-Pacífico (Osaka).
-
[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
-
[APIGateway.1] O API gateway REST e o registro WebSocket API de execução devem estar habilitados
-
[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado
-
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
-
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
-
[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.1] Os EBS snapshots da Amazon não devem ser restauráveis publicamente
-
[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso
-
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
-
[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4
-
[EC2.10] A Amazon EC2 deve ser configurada para usar VPC endpoints criados para o serviço Amazon EC2
-
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
-
[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389
-
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
-
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
-
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
-
[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
-
[ECS.2] ECS os serviços não devem ter endereços IP públicos atribuídos a eles automaticamente
-
[ECS.3] as definições de ECS tarefas não devem compartilhar o namespace do processo do host
-
[ECS.4] os ECS contêineres devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
-
[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS
-
[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http
-
[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
-
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.4] a chave de acesso do usuário IAM root não deve existir
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.1] As funções do Lambda.1 devem proibir o acesso público
-
[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de RDS banco de dados
-
[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada
-
[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada
-
[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch
-
[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
-
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
-
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
-
[S3.15] Os buckets de uso geral do S3 devem ter o Object Lock ativado
-
[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Seul)
Os controles a seguir não são compatíveis na Ásia-Pacífico (Seul).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Singapura)
Os controles a seguir não são compatíveis na Ásia-Pacífico (Singapura).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Sydney)
Os controles a seguir não são compatíveis na Ásia-Pacífico (Sydney).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Ásia-Pacífico (Tóquio)
Os controles a seguir não são compatíveis na Ásia-Pacífico (Tóquio).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Canadá (Central)
Os controles a seguir não são compatíveis no Canadá (Central).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
China (Pequim)
Os controles a seguir não são compatíveis na China (Pequim).
-
[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
-
[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado
-
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados
-
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
-
[Backup.2] os pontos de AWS Backup recuperação devem ser marcados
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[Backup.5] os planos de AWS Backup backup devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
-
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
-
[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados
-
[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas
-
[EC2.47] Os serviços de VPC endpoint da Amazon devem ser marcados
-
[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados
-
[EC2.49] As conexões de VPC emparelhamento da Amazon devem ser marcadas
-
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[EFS.6] destinos de EFS montagem não devem ser associados a uma sub-rede pública
-
[EKS.3] os EKS clusters devem usar segredos criptografados do Kubernetes
-
[EKS.7] as configurações do provedor de EKS identidade devem ser marcadas
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.2] A configuração de EMR bloqueio de acesso público da Amazon deve estar ativada
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[GuardDuty.5] O monitoramento do registro de GuardDuty EKS auditoria deve estar ativado
-
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
-
[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado
-
[IAM.6] O hardware MFA deve estar habilitado para o usuário root
-
[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess
-
[IAM.28] O analisador de IAM acesso externo do Access Analyzer deve estar ativado
-
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
-
[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados
-
[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas
-
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
-
[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada
-
[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada
-
[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso
-
[RDS.28] Os clusters de RDS banco de dados devem ser marcados
-
[RDS.29] Os instantâneos do RDS cluster de banco de dados devem ser marcados
-
[RDS.30] As instâncias de RDS banco de dados devem ser marcadas
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[RDS.32] Os instantâneos de RDS banco de dados devem ser marcados
-
[RDS.33] Grupos de sub-redes de RDS banco de dados devem ser marcados
-
[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch
-
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Redshift.13] Os instantâneos do cluster do Redshift devem ser marcados
-
[Redshift.14] Os grupos de sub-redes do cluster Redshift devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
-
[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado
-
[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto
-
[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
-
[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados
-
[StepFunctions.2] As atividades do Step Functions devem ser marcadas
-
Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
-
[Transfer.2] Os servidores Transfer Family não devem usar FTP protocolo para conexão de endpoints
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
China (Ningxia)
Os controles a seguir não são compatíveis na China (Ningxia).
-
[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
-
[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado
-
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados
-
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
-
[Backup.2] os pontos de AWS Backup recuperação devem ser marcados
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[Backup.5] os planos de AWS Backup backup devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
-
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
-
[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados
-
[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas
-
[EC2.47] Os serviços de VPC endpoint da Amazon devem ser marcados
-
[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados
-
[EC2.49] As conexões de VPC emparelhamento da Amazon devem ser marcadas
-
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
-
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
-
[EFS.6] destinos de EFS montagem não devem ser associados a uma sub-rede pública
-
[EKS.3] os EKS clusters devem usar segredos criptografados do Kubernetes
-
[EKS.7] as configurações do provedor de EKS identidade devem ser marcadas
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.2] A configuração de EMR bloqueio de acesso público da Amazon deve estar ativada
-
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[GuardDuty.5] O monitoramento do registro de GuardDuty EKS auditoria deve estar ativado
-
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
-
[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado
-
[IAM.6] O hardware MFA deve estar habilitado para o usuário root
-
[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess
-
[IAM.28] O analisador de IAM acesso externo do Access Analyzer deve estar ativado
-
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
-
[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Lambda.1] As funções do Lambda.1 devem proibir o acesso público
-
[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados
-
[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas
-
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
-
[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada
-
[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada
-
[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch
-
[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.28] Os clusters de RDS banco de dados devem ser marcados
-
[RDS.29] Os instantâneos do RDS cluster de banco de dados devem ser marcados
-
[RDS.30] As instâncias de RDS banco de dados devem ser marcadas
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[RDS.32] Os instantâneos de RDS banco de dados devem ser marcados
-
[RDS.33] Grupos de sub-redes de RDS banco de dados devem ser marcados
-
[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch
-
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
-
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Redshift.13] Os instantâneos do cluster do Redshift devem ser marcados
-
[Redshift.14] Os grupos de sub-redes do cluster Redshift devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
-
[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
-
[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados
-
[StepFunctions.2] As atividades do Step Functions devem ser marcadas
-
Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
-
[Transfer.2] Os servidores Transfer Family não devem usar FTP protocolo para conexão de endpoints
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Europa (Frankfurt)
Os controles a seguir não são compatíveis na Europa (Frankfurt).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Europa (Irlanda)
Os controles a seguir não são compatíveis na Europa (Irlanda).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Europa (Londres)
Os controles a seguir não são compatíveis na Europa (Londres).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Europa (Milão)
Os controles a seguir não são compatíveis na Europa (Milão).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso
-
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
-
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
-
[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
-
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
-
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Europa (Paris)
Os controles a seguir não são compatíveis na Europa (Paris).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Europa (Espanha)
Os controles a seguir não são compatíveis na Europa (Espanha).
-
[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
-
[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado
-
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
-
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
-
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
-
[Backup.2] os pontos de AWS Backup recuperação devem ser marcados
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[Backup.5] os planos de AWS Backup backup devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
-
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
-
[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.1] Os EBS snapshots da Amazon não devem ser restauráveis publicamente
-
[EC2.2] grupos de segurança VPC padrão não devem permitir tráfego de entrada ou saída
-
[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso
-
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs
-
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
-
[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4
-
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
-
[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389
-
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
-
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
-
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
-
[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas
-
[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados
-
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
-
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
-
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
-
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
-
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
-
[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS
-
[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http
-
[ELB.5] O registro de aplicativos e balanceadores de carga clássicos deve estar ativado
-
[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
-
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
-
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos
-
[IAM.2] IAM os usuários não devem ter IAM políticas anexadas
-
[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos
-
[IAM.4] a chave de acesso do usuário IAM root não deve existir
-
[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console
-
[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas
-
[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess
-
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
-
[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.1] As funções do Lambda.1 devem proibir o acesso público
-
[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada
-
[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera
-
[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
-
[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
-
Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
-
[RDS.3] As instâncias de RDS banco de dados devem ter a criptografia em repouso ativada
-
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de RDS banco de dados
-
[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada
-
[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada
-
[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch
-
[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS
-
[RDS.11] as RDS instâncias devem ter backups automáticos habilitados
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso
-
[RDS.28] Os clusters de RDS banco de dados devem ser marcados
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch
-
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
-
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
-
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
-
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso SSL
-
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
-
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
-
[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado
-
[S3.15] Os buckets de uso geral do S3 devem ter o Object Lock ativado
-
[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS
-
[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso
-
[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
Europa (Estocolmo)
Os controles a seguir não são compatíveis na Europa (Estocolmo).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Europa (Zurique)
Os controles a seguir não são compatíveis na Europa (Zurique).
-
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
-
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
-
[Backup.2] os pontos de AWS Backup recuperação devem ser marcados
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[Backup.5] os planos de AWS Backup backup devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
-
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
-
[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.2] grupos de segurança VPC padrão não devem permitir tráfego de entrada ou saída
-
[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso
-
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs
-
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
-
[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4
-
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
-
[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389
-
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
-
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
-
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
-
[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
-
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
-
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
-
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
-
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
-
[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS
-
[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http
-
[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
-
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
-
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos
-
[IAM.2] IAM os usuários não devem ter IAM políticas anexadas
-
[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos
-
[IAM.4] a chave de acesso do usuário IAM root não deve existir
-
[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console
-
[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas
-
[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada
-
[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera
-
[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
-
[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
-
Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
-
[RDS.3] As instâncias de RDS banco de dados devem ter a criptografia em repouso ativada
-
[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS
-
[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
Israel (Tel Aviv)
Os controles a seguir não são compatíveis em Israel (Tel Aviv).
-
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
-
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
-
[Backup.2] os pontos de AWS Backup recuperação devem ser marcados
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[Backup.5] os planos de AWS Backup backup devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
-
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
-
[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso
-
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs
-
[EC2.10] A Amazon EC2 deve ser configurada para usar VPC endpoints criados para o serviço Amazon EC2
-
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
-
[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389
-
[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados
-
[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas
-
[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados
-
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
-
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
-
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
-
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
-
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
-
[EFS.6] destinos de EFS montagem não devem ser associados a uma sub-rede pública
-
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
-
[EKS.3] os EKS clusters devem usar segredos criptografados do Kubernetes
-
[EKS.7] as configurações do provedor de EKS identidade devem ser marcadas
-
[EKS.8] os EKS clusters devem ter o registro de auditoria ativado
-
[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElastiCache.4] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em repouso
-
[ElastiCache.5] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em trânsito
-
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
-
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
-
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos
-
[IAM.2] IAM os usuários não devem ter IAM políticas anexadas
-
[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos
-
[IAM.4] a chave de acesso do usuário IAM root não deve existir
-
[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console
-
[IAM.6] O hardware MFA deve estar habilitado para o usuário root
-
[IAM.7] As políticas de senha para IAM usuários devem ter configurações fortes
-
[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para IAM usuários devem ter durações fortes AWS Config
-
[IAM.11] Certifique-se de que a política de IAM senha exija pelo menos uma letra maiúscula
-
[IAM.12] Certifique-se de que a política de IAM senha exija pelo menos uma letra minúscula
-
[IAM.13] Certifique-se de que a política de IAM senha exija pelo menos um símbolo
-
[IAM.14] Certifique-se de que a política de IAM senha exija pelo menos um número
-
[IAM.15] Certifique-se de que a política de IAM senha exija um tamanho mínimo de senha de 14 ou mais
-
[IAM.16] Certifique-se de que a política de IAM senha impeça a reutilização de senhas
-
[IAM.17] Certifique-se de que a política de IAM senhas expire as senhas em 90 dias ou menos
-
[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas
-
[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess
-
[IAM.28] O analisador de IAM acesso externo do Access Analyzer deve estar ativado
-
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
-
[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
-
[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada
-
[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera
-
[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
-
[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
-
Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
-
[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada
-
[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada
-
[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso
-
[RDS.28] Os clusters de RDS banco de dados devem ser marcados
-
[RDS.29] Os instantâneos do RDS cluster de banco de dados devem ser marcados
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch
-
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura
-
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação
-
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
-
[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS
-
[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso
-
[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[StepFunctions.2] As atividades do Step Functions devem ser marcadas
-
Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.12] AWS WAF as regras devem ter CloudWatch métricas ativadas
Oriente Médio (Barém)
Os controles a seguir não são compatíveis no Oriente Médio (Bahrein).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.20] Ambos os VPN túneis para uma conexão site a AWS site devem estar ativos VPN
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Oriente Médio (UAE)
Os controles a seguir não são suportados no Oriente Médio (UAE).
-
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
-
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
-
[Backup.2] os pontos de AWS Backup recuperação devem ser marcados
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[Backup.5] os planos de AWS Backup backup devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas
-
[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
-
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
-
[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado
-
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
-
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
-
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso
-
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs
-
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
-
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
-
[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
-
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
-
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
-
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
-
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
-
[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS
-
[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElastiCache.4] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em repouso
-
[ElastiCache.5] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em trânsito
-
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos
-
[IAM.2] IAM os usuários não devem ter IAM políticas anexadas
-
[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos
-
[IAM.4] a chave de acesso do usuário IAM root não deve existir
-
[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console
-
[IAM.6] O hardware MFA deve estar habilitado para o usuário root
-
[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas
-
[IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess
-
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
-
[Inspector.2] O escaneamento do Amazon Inspector deve estar ativado ECR
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[Inspector.4] O escaneamento padrão do Amazon Inspector Lambda deve estar ativado
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
-
[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados
-
[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas
-
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
-
Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
-
[RDS.3] As instâncias de RDS banco de dados devem ter a criptografia em repouso ativada
-
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de RDS banco de dados
-
[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada
-
[RDS.11] as RDS instâncias devem ter backups automáticos habilitados
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.16] Os clusters de RDS banco de dados devem ser configurados para copiar tags para snapshots
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura
-
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação
-
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso SSL
-
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
-
[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS
-
[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso
-
[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
América do Sul (São Paulo)
Os controles a seguir não são compatíveis na América do Sul (São Paulo).
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[RDS.7] os RDS clusters devem ter a proteção de exclusão ativada
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
AWS GovCloud (Leste dos EUA)
Os controles a seguir não são suportados em AWS GovCloud (Leste dos EUA).
-
[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
-
[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
-
[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado
-
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
-
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
-
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade
-
[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados
-
[Backup.2] os pontos de AWS Backup recuperação devem ser marcados
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[Backup.5] os planos de AWS Backup backup devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas
-
[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
-
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
-
[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
-
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
-
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
-
[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados
-
[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas
-
[EC2.47] Os serviços de VPC endpoint da Amazon devem ser marcados
-
[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados
-
[EC2.49] As conexões de VPC emparelhamento da Amazon devem ser marcadas
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
-
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
-
[ECS.3] as definições de ECS tarefas não devem compartilhar o namespace do processo do host
-
[ECS.4] os ECS contêineres devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
-
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
-
[EKS.1] os endpoints EKS do cluster não devem ser acessíveis ao público
-
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
-
[EKS.7] as configurações do provedor de EKS identidade devem ser marcadas
-
[EKS.8] os EKS clusters devem ter o registro de auditoria ativado
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElastiCache.4] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em repouso
-
[ElastiCache.5] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em trânsito
-
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.2] A configuração de EMR bloqueio de acesso público da Amazon deve estar ativada
-
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado
-
[IAM.6] O hardware MFA deve estar habilitado para o usuário root
-
[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados
-
[IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos
-
[IAM.28] O analisador de IAM acesso externo do Access Analyzer deve estar ativado
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada
-
[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera
-
[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
-
[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados
-
[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas
-
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso
-
[RDS.28] Os clusters de RDS banco de dados devem ser marcados
-
[RDS.29] Os instantâneos do RDS cluster de banco de dados devem ser marcados
-
[RDS.30] As instâncias de RDS banco de dados devem ser marcadas
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[RDS.32] Os instantâneos de RDS banco de dados devem ser marcados
-
[RDS.33] Grupos de sub-redes de RDS banco de dados devem ser marcados
-
[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch
-
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Redshift.13] Os instantâneos do cluster do Redshift devem ser marcados
-
[Redshift.14] Os grupos de sub-redes do cluster Redshift devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado
-
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão ativada MFA
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
-
[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[StepFunctions.2] As atividades do Step Functions devem ser marcadas
-
Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.12] AWS WAF as regras devem ter CloudWatch métricas ativadas
AWS GovCloud (Oeste dos EUA)
Os controles a seguir não são suportados em AWS GovCloud (Oeste dos EUA).
-
[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
-
[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
-
[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado
-
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
-
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
-
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade
-
[AutoScaling.10] Grupos de EC2 Auto Scaling devem ser marcados
-
[Backup.2] os pontos de AWS Backup recuperação devem ser marcados
-
[Backup.4] os planos de AWS Backup relatórios devem ser marcados
-
[Backup.5] os planos de AWS Backup backup devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
-
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.14] as CloudFront distribuições devem ser marcadas
-
[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas
-
[CloudWatch.17] ações de CloudWatch alarme devem ser ativadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
-
[Detetive.1] Os gráficos do comportamento do detetive devem ser marcados
-
[DMS.5] grupos de sub-redes DMS de replicação devem ser marcados
-
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
-
[DMS.8] as tarefas de DMS replicação do banco de dados de origem devem ter o registro ativado
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
-
[DynamoDB.7] Os clusters do DynamoDB Accelerator devem ser criptografados em trânsito
-
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
-
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
-
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
-
[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
-
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
-
[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados
-
[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas
-
[EC2.47] Os serviços de VPC endpoint da Amazon devem ser marcados
-
[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados
-
[EC2.49] As conexões de VPC emparelhamento da Amazon devem ser marcadas
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
-
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
-
[ECS.3] as definições de ECS tarefas não devem compartilhar o namespace do processo do host
-
[ECS.4] os ECS contêineres devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
-
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
-
[EKS.1] os endpoints EKS do cluster não devem ser acessíveis ao público
-
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
-
[EKS.7] as configurações do provedor de EKS identidade devem ser marcadas
-
[EKS.8] os EKS clusters devem ter o registro de auditoria ativado
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
-
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
-
[ElastiCache.4] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em repouso
-
[ElastiCache.5] Os grupos de replicação ElastiCache (RedisOSS) devem ser criptografados em trânsito
-
[ElastiCache.7] Os clusters ElastiCache (RedisOSS) não devem usar o grupo de sub-rede padrão
-
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
-
[EMR.2] A configuração de EMR bloqueio de acesso público da Amazon deve estar ativada
-
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
-
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado
-
[IAM.6] O hardware MFA deve estar habilitado para o usuário root
-
[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados
-
[IAM.28] O analisador de IAM acesso externo do Access Analyzer deve estar ativado
-
[Inspector.3] A digitalização de código Lambda do Amazon Inspector deve estar ativada
-
[IoT.1] perfis de AWS IoT Device Defender segurança devem ser marcados
-
[IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.5] As funções VPC Lambda devem operar em várias zonas de disponibilidade
-
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
-
[MQ.3] Os corretores do Amazon MQ devem ter a atualização automática de versões secundárias ativada
-
[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera
-
[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
-
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
-
[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados
-
[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas
-
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas
-
[RDS.14] Os clusters do Amazon Aurora devem ter o retrocesso ativado
-
[RDS.26] As instâncias de RDS banco de dados devem ser protegidas por um plano de backup
-
[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso
-
[RDS.28] Os clusters de RDS banco de dados devem ser marcados
-
[RDS.29] Os instantâneos do RDS cluster de banco de dados devem ser marcados
-
[RDS.30] As instâncias de RDS banco de dados devem ser marcadas
-
[RDS.31] Grupos de segurança de RDS banco de dados devem ser marcados
-
[RDS.32] Os instantâneos de RDS banco de dados devem ser marcados
-
[RDS.33] Grupos de sub-redes de RDS banco de dados devem ser marcados
-
[RDS.34] Aurora SQL My DB clusters devem publicar registros de auditoria no Logs CloudWatch
-
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Redshift.13] Os instantâneos do cluster do Redshift devem ser marcados
-
[Redshift.14] Os grupos de sub-redes do cluster Redshift devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
-
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado
-
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão ativada MFA
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
-
[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados
-
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
-
[StepFunctions.2] As atividades do Step Functions devem ser marcadas
-
Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados
-
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
-
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.12] AWS WAF as regras devem ter CloudWatch métricas ativadas