Referência de controles do Security Hub - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Referência de controles do Security Hub

Essa referência de controles fornece uma lista dos AWS Security Hub controles disponíveis com links para mais informações sobre cada controle. A tabela de visão geral exibe os controles em ordem alfabética por ID de controle. Apenas os controles em uso ativo pelo Security Hub estão incluídos aqui. Os controles descontinuados são excluídos dessa lista. A tabela fornece as seguintes informações para cada controle:

  • ID de controle de segurança — Essa ID se aplica a todos os padrões AWS service (Serviço da AWS) e indica o recurso ao qual o controle está relacionado. O console do Security Hub exibe o controle de segurança IDs, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. No entanto, as descobertas do Security Hub fazem referência ao controle de segurança IDs somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns controles IDs variam de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurança IDs, consulte. Como a consolidação afeta o controle IDs e os títulos

    Se quiser configurar automações para controles de segurança, recomendamos filtrar com base na ID do controle, e não no título ou na descrição. Embora o Security Hub possa ocasionalmente atualizar títulos ou descrições de controle, o controle IDs permanece o mesmo.

    O controle IDs pode pular números. Esses são espaços reservados para futuros controles.

  • Padrões aplicáveis: indica a quais padrões um controle se aplica. Selecione um controle para ver os requisitos específicos de estruturas de conformidade de terceiros.

  • Título de controle de segurança: esse título se aplica a todos os padrões. O console do Security Hub exibe os títulos de controle de segurança, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. Entretanto, as descobertas do Security Hub fazem referência aos títulos de controle de segurança somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns títulos de controle podem variar de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurança IDs, consulte. Como a consolidação afeta o controle IDs e os títulos

  • Severidade: a severidade de um controle identifica sua importância do ponto de vista da segurança. Para obter informações sobre como o Security Hub determina a severidade do controle, consulte Nível de severidade dos resultados de controle.

  • Tipo de programação: indica quando o controle é avaliado. Para obter mais informações, consulte Programar a execução de verificações de segurança.

  • Oferece suporte a parâmetros personalizados: indica se o controle oferece suporte a valores personalizados para um ou mais parâmetros. Selecione um controle para ver os detalhes dos parâmetros. Para obter mais informações, consulte Compreender os parâmetros de controles no Security Hub.

Selecione uma conexão para visualizar mais detalhes. Os controles são listados em ordem alfabética do nome do serviço.

ID do controle de segurança Título de controle de segurança Padrões aplicáveis Gravidade Oferece suporte a parâmetros personalizados Tipo de programação
Account.1 As informações de contato de segurança devem ser fornecidas para um Conta da AWS CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower MÉDIO Periódico
Account.2 Conta da AWS deve fazer parte de uma AWS Organizations organização NIST SP 800-53 Rev. 5 HIGH (ALTO) Periódico
ACM.1 Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações e periódico
ACM.2 Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Acionado por alterações
ACM.3 Os certificados do ACM devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
APIGateway1. O API Gateway, o WebSocket REST e o registro de execução da API devem estar habilitados AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Sim Acionado por alterações
APIGateway.2 Os estágios da API REST de Gateway devem ser configurados para usar certificados SSL para autenticação de back-end AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
APIGateway.3 API Gateway: os estágios da API REST devem ter AWS X-Ray o rastreamento ativado AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 BAIXO Acionado por alterações
APIGateway.4 O API Gateway deve ser associado a uma ACL da web do WAF AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
APIGateway5. Os dados do cache da API REST de Gateway devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
APIGateway8. As rotas do API de Gateway devem especificar um tipo de autorização AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Sim Periódico
APIGateway9. O registro de acesso deve ser configurado para os estágios V2 do API de Gateway AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
AppConfig1. AWS AppConfig os aplicativos devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
AppConfig.2 AWS AppConfig perfis de configuração devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
AppConfig.3 AWS AppConfig ambientes devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
AppConfig.4 AWS AppConfig associações de extensão devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
AppFlow1. AppFlow Os fluxos da Amazon devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
AppRunner1. Os serviços do App Runner devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
AppRunner.2 Os conectores VPC do App Runner devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
AppSync1. AWS AppSync Os caches de API devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Acionado por alterações
AppSync.2 AWS AppSync deve ter o registro em nível de campo ativado AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações
AppSync.4 AWS AppSync GraphQL APIs deve ser marcado AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
AppSync5. AWS AppSync O GraphQL não APIs deve ser autenticado com chaves de API AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Acionado por alterações
AppSync.6 AWS AppSync Os caches de API devem ser criptografados em trânsito AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Acionado por alterações
Athena.2 Os catálogos de dados do Athena devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Athena.3 Os grupos de trabalho do Athena devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Athena.4 Os grupos de trabalho do Athena devem ter o registro em log habilitado AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Acionado por alterações
AutoScaling1. Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 BAIXO Acionado por alterações
AutoScaling.2 O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Sim Acionado por alterações
AutoScaling.3 As configurações de lançamento em grupo do Auto Scaling devem configurar as EC2 instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2 AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5, PCI DSS v4.0.1 HIGH (ALTO) Acionado por alterações
Auto Scaling EC2 As instâncias da Amazon lançadas usando as configurações de lançamento em grupo do Auto Scaling não devem ter endereços IP públicos AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5, PCI DSS v4.0.1 HIGH (ALTO) Acionado por alterações
AutoScaling.6 Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
AutoScaling9. EC2 Grupos de Auto Scaling devem usar EC2 modelos de lançamento AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
AutoScaling.10 EC2 Grupos de Auto Scaling devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Backup.1 AWS Backup os pontos de recuperação devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
Backup.2 AWS Backup os pontos de recuperação devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Backup.3 AWS Backup cofres devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Backup.4 AWS Backup os planos de relatórios devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Backup.5 AWS Backup planos de backup devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Lote.1 AWS Batch filas de trabalho devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Lote.2 AWS Batch políticas de agendamento devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Lote.3 AWS Batch ambientes computacionais devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Lote.1 AWS Batch filas de trabalho devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
CloudFormation.2 CloudFormation as pilhas devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
CloudFront1. CloudFront as distribuições devem ter um objeto raiz padrão configurado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Acionado por alterações
CloudFront.3 CloudFront as distribuições devem exigir criptografia em trânsito AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
CloudFront.4 CloudFront as distribuições devem ter o failover de origem configurado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Acionado por alterações
CloudFront5. CloudFront as distribuições devem ter o registro ativado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
CloudFront.6 CloudFront as distribuições devem ter o WAF ativado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
CloudFront7. CloudFront as distribuições devem usar certificados SSL/TLS personalizados AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
CloudFront8. CloudFront distribuições devem usar SNI para atender solicitações HTTPS AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Acionado por alterações
CloudFront9. CloudFront as distribuições devem criptografar o tráfego para origens personalizadas AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
CloudFront.10 CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
CloudFront1.2 CloudFront distribuições não devem apontar para origens inexistentes do S3 AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Periódico
CloudFront1.3 CloudFront as distribuições devem usar o controle de acesso de origem AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Acionado por alterações
CloudFront1.4 CloudFront distribuições devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
CloudTrail1. CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower HIGH (ALTO) Periódico
CloudTrail.2 CloudTrail deve ter a criptografia em repouso ativada CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Periódico
CloudTrail.3 Pelo menos uma CloudTrail trilha deve ser ativada PCI DSS v3.2.1, PCI DSS v4.0.1 HIGH (ALTO) Periódico
CloudTrail.4 CloudTrail a validação do arquivo de log deve ser ativada CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, PCI DSS v4.0.1, CIS Foundations Benchmark AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5 AWS BAIXO Periódico
CloudTrail5. CloudTrail as trilhas devem ser integradas ao Amazon CloudWatch Logs CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower BAIXO Periódico
CloudTrail.6 Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público Referência do CIS AWS Foundations v1.2.0, Referência do CIS AWS Foundations v1.4.0, PCI DSS v4.0.1 CRÍTICO Acionado por alterações e periódico
CloudTrail7. Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3 Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0, Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 AWS BAIXO Periódico
CloudTrail9. CloudTrail trilhas devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
CloudWatch1. Um filtro de métrica de log e um alarme devem existir para uso do usuário “raiz” Referência do CIS AWS Foundations v1.2.0, PCI DSS v3.2.1, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch.2 Verificar se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas Referência do CIS AWS Foundations v1.2.0 BAIXO Periódico
CloudWatch.3 Verificar se existe um alarme e um filtro de métrica de log para login do Management Console sem MFA Referência do CIS AWS Foundations v1.2.0 BAIXO Periódico
CloudWatch.4 Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de política do IAM Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch5. Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch.6 Certifique-se de que exista um filtro métrico de registro e um alarme para falhas AWS Management Console de autenticação Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch7. Certifique-se de que exista um filtro métrico de registro e um alarme para desativação ou exclusão programada do cliente criado CMKs Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch8. Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3 Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch9. Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch.10 Verificar se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch1.1 Verificar se existe um alarme e um filtro de métrica de log para alterações em listas de controle de acesso à rede (NACL) Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch1.2 Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch1.3 Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch1.4 Verificar se existe um alarme e um filtro de métrica de log para alterações de VPC Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0 AWS BAIXO Periódico
CloudWatch1.5 CloudWatch os alarmes devem ter ações especificadas configuradas NIST SP 800-53 Rev. 5 HIGH (ALTO) Sim Acionado por alterações
CloudWatch1.6 CloudWatch os grupos de registros devem ser mantidos por um período de tempo especificado NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
CloudWatch1.7 CloudWatch ações de alarme devem ser ativadas NIST SP 800-53 Rev. 5 HIGH (ALTO) Acionado por alterações
CodeArtifact1. CodeArtifact repositórios devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
CodeBuild1. CodeBuild O repositório de origem do Bitbucket não URLs deve conter credenciais confidenciais AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower CRÍTICO Acionado por alterações
CodeBuild.2 CodeBuild as variáveis de ambiente do projeto não devem conter credenciais de texto não criptografado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower CRÍTICO Acionado por alterações
CodeBuild.3 CodeBuild Os registros do S3 devem ser criptografados AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços:, AWS Control Tower BAIXO Acionado por alterações
CodeBuild.4 CodeBuild ambientes de projeto devem ter uma configuração de registro AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
CodeBuild7. CodeBuild as exportações do grupo de relatórios devem ser criptografadas em repouso AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Acionado por alterações
CodeGuruProfiler1. CodeGuru Os grupos de criação de perfil do Profiler devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
CodeGuruReviewer1. CodeGuru As associações do repositório do revisor devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Cognito.1 Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação padrão AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Sim Acionado por alterações
Config.1 AWS Config deve ser habilitado e usar a função vinculada ao serviço para registro de recursos CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Melhores Práticas de Segurança AWS AWS Fundamental v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 CRÍTICO Sim Periódico
Conecte-se. 1 Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
DataFirehose1. Os fluxos de entrega do Firehose devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Periódico
DataSync1. DataSync as tarefas devem ter o registro ativado AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Acionado por alterações
Detetive.1 Gráficos de comportamento do Detective devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
DMS.1 As instâncias de replicação do Database Migration Service não devem ser públicas AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower CRÍTICO Periódico
DMS.2 Os certificados do DMS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
DMS.3 As assinaturas de eventos do DMS devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
DMS.4 As instâncias de replicação do DMS devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
DMS.5 Os grupos de sub-redes de replicação do DMS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
DMS.6 As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
DMS.7 As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
DMS.8 As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
DMS.9 Os endpoints do DMS devem usar SSL AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
DMS.10 Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
DMS.11 Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
DMS.12 Os endpoints do DMS para o Redis OSS devem ter o TLS habitado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
DocumentDB.1 Os clusters do Amazon DocumentDB devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
DocumentDB.2 Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Sim Acionado por alterações
DocumentDB.3 Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 CRÍTICO Acionado por alterações
DocumentDB.4 Os clusters do Amazon DocumentDB devem publicar registros de auditoria em Logs CloudWatch AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
DocumentDB.5 Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
DynamoDB.1 As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Sim Periódico
DynamoDB.2 As tabelas do DynamoDB devem ter a recuperação ativada point-in-time AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
DynamoDB.3 Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Periódico
DynamoDB.4 As tabelas do DynamoDB devem estar presentes em um plano de backup NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
DynamoDB.5 As tabelas do DynamoDB devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
DynamoDB.6 As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
DynamoDB.7 Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Periódico
EC21. [PCI.EC2.1] Os instantâneos do não devem ser restauráveis publicamente AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 CRÍTICO Periódico
EC2.2 Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP AWS Control Tower 800-53 Rev. 5 AWS HIGH (ALTO) Acionado por alterações
EC2.3 Os volumes anexados do EBS devem ser criptografados em repouso. AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
EC2.4 EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Sim Periódico
EC2.6 O registro de fluxo de VPC deve ser ativado em todos VPCs CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP AWS Control Tower 800-53 Rev. 5 AWS MÉDIO Periódico
EC27. A criptografia padrão do EBS deve estar ativada CIS AWS Foundations Benchmark v3.0.0, Melhores práticas de segurança AWS básicas v1.0.0, Padrão gerenciado de serviços:, AWS CIS Foundations Benchmark v1.4.0, NIST SP 800-53 AWS Control Tower Rev. 5 MÉDIO Periódico
EC28. EC2 as instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2 CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Acionado por alterações
EC29. EC2 instâncias não devem ter um IPv4 endereço público AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 HIGH (ALTO) Acionado por alterações
EC2.10 A Amazon EC2 deve ser configurada para usar endpoints VPC que são criados para o serviço Amazon EC2 AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Periódico
EC21.2 Não utilizado EC2 EIPs deve ser removido PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 BAIXO Acionado por alterações
EC21.3 Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 22 Referência do CIS AWS Foundations v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 HIGH (ALTO) Acionado por alterações e periódico
EC21.4 Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 3389 Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 HIGH (ALTO) Acionado por alterações e periódico
EC21.5 EC2 as sub-redes não devem atribuir automaticamente endereços IP públicos AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços:, AWS Control Tower MÉDIO Acionado por alterações
EC21.6 As listas de controle de acesso à rede não utilizadas devem ser removidas AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços:, AWS Control Tower BAIXO Acionado por alterações
EC21.7 EC2 instâncias não devem usar várias ENIs AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 BAIXO Acionado por alterações
EC21.8 Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 HIGH (ALTO) Sim Acionado por alterações
EC21.9 Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 CRÍTICO Acionado por alterações e periódico
EC2.20 Ambos os túneis VPN de uma conexão AWS Site-to-Site VPN devem estar ativos AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
EC22.1 A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389 CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS Control Tower MÉDIO Acionado por alterações
EC22.2 Grupos de EC2 segurança não utilizados devem ser removidos Padrão gerenciado por serviços: AWS Control Tower MÉDIO Periódico
EC22.3 EC2 Os Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Acionado por alterações
EC22.4 EC2 tipos de instância paravirtual não devem ser usados AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
EC22,5 EC2 os modelos de lançamento não devem atribuir interfaces públicas IPs às de rede AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Acionado por alterações
EC22.8 Os volumes do EBS devem estar em um plano de backup NIST SP 800-53 Rev. 5 BAIXO Sim Periódico
EC23.3 EC2 os anexos do gateway de trânsito devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC23.4 EC2 as tabelas de rotas do gateway de trânsito devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC23.5 EC2 interfaces de rede devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC23.6 EC2 os gateways do cliente devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC23.7 EC2 Endereços IP elásticos devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC23,8 EC2 instâncias devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC23.9 EC2 gateways de internet devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC24,0 EC2 Os gateways NAT devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC24.1 EC2 a rede ACLs deve ser marcada AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC24.2 EC2 tabelas de rotas devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC24.3 EC2 grupos de segurança devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC24.4 EC2 as sub-redes devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC24,5 EC2 os volumes devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC24.6 Amazon VPCs deve ser etiquetada AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC24.7 Os serviços de endpoint da Amazon VPC devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC24.8 Os logs de fluxo da Amazon VPC devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC24.9 As conexões de emparelhamento da Amazon VPC devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC25,0 EC2 Os gateways de VPN devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC25.1 EC2 Os endpoints do Client VPN devem ter o registro de conexão do cliente ativado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAIXO Acionado por alterações
EC25.2 EC2 os gateways de trânsito devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EC25.3 EC2 grupos de segurança não devem permitir a entrada de 0.0.0.0/0 nas portas de administração do servidor remoto Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 HIGH (ALTO) Periódico
EC25,4 EC2 grupos de segurança não devem permitir a entrada de: :/0 nas portas de administração do servidor remoto Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 HIGH (ALTO) Periódico
EC25.5 VPCs deve ser configurado com um endpoint de interface para a API ECR AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
EC25,6 VPCs deve ser configurado com um endpoint de interface para Docker Registry AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
EC25,7 VPCs deve ser configurado com um endpoint de interface para Systems Manager AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
EC25,8 VPCs deve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
EC26,0 VPCs deve ser configurado com um endpoint de interface para o Systems Manager Incident Manager AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
EC21.70 EC2 os modelos de lançamento devem usar o Instance Metadata Service versão 2 () IMDSv2 AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 BAIXO Acionado por alterações
EC21.71 EC2 As conexões VPN devem ter o registro ativado AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 MÉDIO Acionado por alterações
EC21.72 EC2 As configurações do VPC Block Public Access devem bloquear o tráfego do gateway da Internet AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Sim Acionado por alterações
ECR.1 Os repositórios privados do ECR devem ter a digitalização de imagens configurada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Periódico
ECR.2 Os repositórios privados do ECR devem ter a imutabilidade de tags configurada AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
ECR.3 Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
ECR.4 Os repositórios públicos do ECR devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
ECS.1 As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário. AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 HIGH (ALTO) Acionado por alterações
ECS.2 Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Acionado por alterações
ECS.3 As definições de tarefas do ECS não devem compartilhar o namespace do processo do host AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 HIGH (ALTO) Acionado por alterações
ECS.4 Os contêineres ECS devem ser executados sem privilégios AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 HIGH (ALTO) Acionado por alterações
ECS.5 Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 HIGH (ALTO) Acionado por alterações
ECS.8 Os segredos não devem ser passados como variáveis de ambiente do contêiner AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Acionado por alterações
ECS.9 As definições de tarefas do ECS devem ter uma configuração de registro em log AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Acionado por alterações
ECS.10 Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
ECS.12 Os clusters do ECS devem usar Container Insights AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
ECS.13 Os serviços do ECS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
ECS.14 Os clusters do ECS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
ECS.15 As definições de tarefa do ECS devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
ECS.16 Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Acionado por alterações
EFS.1 O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower MÉDIO Periódico
EFS.2 Os volumes do Amazon EBS devem estar em um plano de backup AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Periódico
EFS.3 Os pontos de acesso do EFS devem impor um diretório raiz AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
EFS.4 Os pontos de acesso do EFS devem impor uma identidade de usuário AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
EFS.5 Os pontos de acesso do EFS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EFS.6 Os destinos de montagem do EFS não devem ser associados a uma sub-rede pública AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Periódico
EFS.7 Os sistemas de arquivos do EFS devem ter backups automáticos habilitados AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Acionado por alterações
EFS.8 Os sistemas de arquivos do EFS devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Sim Acionado por alterações
EKS.1 Os endpoints do cluster EKS não devem ser acessíveis ao público AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Periódico
EKS.2 Os clusters EKS devem ser executados em uma versão compatível do Kubernetes AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Acionado por alterações
EKS.3 Os clusters do EKS devem usar segredos criptografados do Kubernetes AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Periódico
EKS.6 Os clusters do EKS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EKS.7 As configurações do provedor de identidades do EKS devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EKS.8 Os clusters do EKS devem ter o registro em log de auditoria habilitado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
ElastiCache1. ElastiCache Os clusters (Redis OSS) devem ter backups automáticos habilitados AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Sim Periódico
ElastiCache.2 ElastiCache os clusters devem ter atualizações automáticas de versões secundárias habilitadas AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Periódico
ElastiCache.3 ElastiCache os grupos de replicação devem ter o failover automático ativado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Periódico
ElastiCache.4 ElastiCache grupos de replicação devem ser encrypted-at-rest AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Periódico
ElastiCache5. ElastiCache grupos de replicação devem ser encrypted-in-transit AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Periódico
ElastiCache.6 ElastiCache Grupos de replicação (Redis OSS) de versões anteriores devem ter o Redis OSS AUTH ativado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Periódico
ElastiCache7. ElastiCache os clusters não devem usar o grupo de sub-rede padrão AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Periódico
ElasticBeanstalk1. Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 BAIXO Acionado por alterações
ElasticBeanstalk.2 As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Sim Acionado por alterações
ElasticBeanstalk.3 O Elastic Beanstalk deve transmitir registros para CloudWatch AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Sim Acionado por alterações
ELB.1 O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 MÉDIO Periódico
ELB.2 Os Classic Load Balancers com receptores SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
ELB.3 Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
ELB.4 O Application Load Balancer deve ser configurado para eliminar cabeçalhos http AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
ELB.5 O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
ELB.6 A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
ELB.7 Os Classic Load Balancers devem ter a drenagem da conexão ativada AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
ELB.8 Os Classic Load Balancers com receptores SSL devem usar uma política de segurança predefinida que tenha uma configuração forte AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
ELB.9 Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
ELB.10 O Classic Load Balancer deve abranger várias zonas de disponibilidade AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Sim Acionado por alterações
ELB.12 O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
ELB.13 Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Sim Acionado por alterações
ELB.14 O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
ELB.16 Os balanceadores de carga de aplicativos devem ser associados a uma ACL web do AWS WAF NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
EMR.1 Os nós primários do cluster Amazon EMR não devem ter endereços IP públicos AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Periódico
EMR.2 A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 CRÍTICO Periódico
ES.1 Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 MÉDIO Periódico
ES.2 Os domínios do Elasticsearch não devem ser publicamente acessíveis AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, padrão gerenciado por serviços: AWS Control Tower CRÍTICO Periódico
ES.3 Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços:, AWS Control Tower MÉDIO Acionado por alterações
ES.4 O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
ES.5 Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
ES.6 Os domínios do Elasticsearch devem ter pelo menos três nós de dados AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
ES.7 Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
ES.8 As conexões com os domínios do Elasticsearch devem ser criptografadas com a política de segurança TLS mais recente AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
ES.9 Os domínios do Elasticsearch devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EventBridge.2 EventBridge ônibus de eventos devem ser etiquetados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
EventBridge.3 EventBridge os ônibus de eventos personalizados devem ter uma política baseada em recursos anexada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAIXO Acionado por alterações
EventBridge.4 EventBridge endpoints globais devem ter a replicação de eventos ativada NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
FraudDetector1. Os tipos de entidade do Amazon Fraud Detector devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
FraudDetector.2 Os rótulos do Amazon Fraud Detector devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
FraudDetector.3 Os resultados do Amazon Fraud Detector devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
FraudDetector.4 As variáveis do Amazon Fraud Detector devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
FSx1. FSx para OpenZFS, os sistemas de arquivos devem ser configurados para copiar tags para backups e volumes AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Periódico
FSx.2 FSx para Lustre, os sistemas de arquivos devem ser configurados para copiar tags para backups AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Periódico
Glue.1 AWS Glue os trabalhos devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Glue.3 AWS Glue as transformações de aprendizado de máquina devem ser criptografadas em repouso AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Acionado por alterações
GlobalAccelerator1. Os aceleradores do Global Accelerator devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
GuardDuty1. GuardDuty deve ser habilitado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Periódico
GuardDuty.2 GuardDuty os filtros devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
GuardDuty.3 GuardDuty IPSets deve ser marcado AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
GuardDuty.4 GuardDuty detectores devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
GuardDuty5. GuardDuty O monitoramento do registro de auditoria do EKS deve estar ativado AWS Melhores práticas básicas de segurança v1.0.0 HIGH (ALTO) Periódico
GuardDuty.6 GuardDuty A Proteção Lambda deve estar ativada AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Periódico
GuardDuty7. GuardDuty O monitoramento de tempo de execução do EKS deve estar ativado AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 MÉDIO Periódico
GuardDuty8. GuardDuty A proteção contra malware para EC2 deve estar ativada AWS Melhores práticas básicas de segurança v1.0.0 HIGH (ALTO) Periódico
GuardDuty9. GuardDuty A proteção do RDS deve estar ativada AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Periódico
GuardDuty.10 GuardDuty A proteção S3 deve estar ativada AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Periódico
IAM.1 As políticas do IAM não devem permitir privilégios administrativos completos "*" CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança AWS básicas v1.0.0, Padrão gerenciado por serviços:, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 AWS HIGH (ALTO) Acionado por alterações
IAM.2 Os usuários do IAM não devem ter políticas do IAM anexadas CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS Control Tower BAIXO Acionado por alterações
IAM.3 As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Periódico
IAM.4 A chave de acesso do usuário raiz do IAM não deve existir CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS Control Tower CRÍTICO Periódico
IAM.5 A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Periódico
IAM.6 A MFA de hardware deve estar habilitada para o usuário raiz CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower CRÍTICO Periódico
IAM.7 Políticas de senha para usuários do IAM que devem ter configurações fortes AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Sim Periódico
IAM.8 As credenciais de usuário do IAM não utilizadas devem ser removidas CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança AWS básicas v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Periódico
IAM.9 A MFA deve estar habilitada para o usuário raiz CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. AWS 5, PCI DSS v3.2.1, PCI DSS v4.0.1 CRÍTICO Periódico
IAM.10 Políticas de senha para usuários do IAM que devem ter configurações fortes PCI DSS v3.2.1, PCI DSS v4.0.1 MÉDIO Periódico
IAM.11 Certifique-se que A política de senha do IAM exija pelo menos uma letra maiúscula Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 MÉDIO Periódico
IAM.12 Certifique-se que a política de senha do IAM exija pelo menos uma letra minúscula Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 MÉDIO Periódico
IAM.13 Certifique-se que política de senha do IAM exija pelo menos um símbolo Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 MÉDIO Periódico
IAM.14 Certifique-se que política de senha do IAM exija pelo menos um número Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 MÉDIO Periódico
IAM.15 Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais Referência do CIS AWS Foundations v3.0.0, Referência do CIS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0 AWS MÉDIO Periódico
IAM.16 Certifique-se que a política de senha do IAM impeça a reutilização de senhas Referência do CIS AWS Foundations v3.0.0, Referência do CIS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 AWS BAIXO Periódico
IAM.17 Certifique-se que a política de senha do IAM expire senhas em até 90 dias ou menos Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 BAIXO Periódico
IAM.18 Garanta que uma função de suporte tenha sido criada para gerenciar incidentes com Suporte Referência do CIS AWS Foundations v3.0.0, Referência do CIS Foundations v1.4.0, Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 AWS BAIXO Periódico
IAM.19 A MFA deve estar habilitada para todos os usuários do IAM NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 MÉDIO Periódico
IAM.21 As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços. AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 BAIXO Acionado por alterações
IAM.22 As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas Referência do CIS AWS Foundations v3.0.0, Referência do CIS Foundations v1.4.0 AWS MÉDIO Periódico
IAM.23 Os analisadores do IAM Access Analyzer devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IAM.24 Os perfis do IAM devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IAM.25 Os usuários do IAM devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IAM.26 Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos Referência do CIS AWS Foundations v3.0.0 MÉDIO Periódico
IAM.27 As identidades do IAM não devem ter a AWSCloud ShellFullAccess política anexada Referência do CIS AWS Foundations v3.0.0 MÉDIO Acionado por alterações
IAM.28 O analisador de acesso externo do IAM Access Analyzer deve ser habilitado Referência do CIS AWS Foundations v3.0.0 HIGH (ALTO) Periódico
Inspector.1 O EC2 escaneamento do Amazon Inspector deve estar ativado AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Periódico
Inspector.2 A varredura do ECR pelo Amazon Inspector deve estar habilitada AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Periódico
Inspector.3 A varredura de código do Lambda pelo Amazon Inspector deve estar habilitada AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Periódico
Inspector.4 A varredura padrão do Lambda pelo Amazon Inspector deve estar habilitada AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Periódico
IoT.1 AWS IoT Device Defender perfis de segurança devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT.2 AWS IoT Core ações de mitigação devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT.3 AWS IoT Core as dimensões devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT.4 AWS IoT Core os autorizadores devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT.5 AWS IoT Core aliases de função devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT.6 AWS IoT Core as políticas devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT TEvents 1.1 AWS IoT Events as entradas devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT TEvents 1.2 AWS IoT Events modelos de detectores devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT TEvents 3.3 AWS IoT Events modelos de alarme devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Eu sou TSite sábio.1 AWS IoT SiteWise modelos de ativos devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Eu sou TSite sábio.2 AWS IoT SiteWise os painéis devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Eu sou TSite sábio.3 AWS IoT SiteWise gateways devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Eu sou TSite sábio.4 AWS IoT SiteWise portais devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Eu sou TSite sábio.5 AWS IoT SiteWise projetos devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Io TTwin Maker. 1 AWS Os trabalhos de TwinMaker sincronização de IoT devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Io TTwin Maker.2 AWS Os TwinMaker espaços de trabalho de IoT devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Io TTwin Maker.3 AWS As TwinMaker cenas de IoT devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Io TTwin Maker.4 AWS As TwinMaker entidades de IoT devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT TWireless 1.1 AWS Os grupos multicast do IoT Wireless devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT TWireless 1.2 AWS Os perfis de serviço IoT Wireless devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT TWireless 3.3 AWS As tarefas do IoT Wireless FUOTA devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IVS.1 Os pares de teclas de reprodução do IVS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IV.2 As configurações de gravação IVS devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
IV.3 Os canais IVS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Espaços-chave. 1 Os keyspaces do Amazon Keyspaces devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Kinesis.1 Os fluxos do Kinesis devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
Kinesis.2 Os fluxos do Kinesis devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Kinesis.3 Os fluxos do Kinesis devem ter um período de retenção de dados adequado AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Sim Acionado por alterações
KMS.1 As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
KMS.2 As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
KMS.3 AWS KMS keys não deve ser excluído acidentalmente AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 CRÍTICO Acionado por alterações
KMS.4 AWS KMS key a rotação deve ser ativada CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. AWS 5, PCI DSS v3.2.1, PCI DSS v4.0.1 MÉDIO Periódico
KMS.5 As chaves do KMS não devem ser acessíveis publicamente AWS Melhores práticas básicas de segurança v1.0.0 CRÍTICO Acionado por alterações
Lambda.1 As funções do Lambda devem proibir o acesso público AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower CRÍTICO Acionado por alterações
Lambda.2 As funções do Lambda devem usar os tempos de execução compatíveis AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
Lambda.3 As funções do Lambda devem estar em uma VPC PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 BAIXO Acionado por alterações
Lambda.5 As funções do Lambda da VPC devem operar em várias zonas de disponibilidade AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Sim Acionado por alterações
Lambda.6 As funções do Lambda devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Macie.1 O Amazon Macie deve ser habilitado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Periódico
Macie.2 A descoberta automatizada de dados confidenciais do Macie deve estar habilitada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Periódico
MSK.1 Os clusters MSK devem ser criptografados em trânsito entre os nós do agente AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
MSK.2 Os clusters do MSK devem ter um monitoramento aprimorado configurado NIST SP 800-53 Rev. 5 BAIXO Acionado por alterações
MSK.3 Os conectores da MSK Connect devem ser criptografados em trânsito AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 MÉDIO N Acionado por alterações
MQ.2 Os corretores ActiveMQ devem transmitir os registros de auditoria para CloudWatch AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
MQ.3 Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAIXO Acionado por alterações
MQ.4 Os agentes do Amazon MQ devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
MQ.5 Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera NIST SP 800-53 Rev. 5, padrão gerenciado por serviços: AWS Control Tower BAIXO Acionado por alterações
MQ.6 Os agentes do RabbitMQ devem usar o modo de implantação de cluster NIST SP 800-53 Rev. 5, padrão gerenciado por serviços: AWS Control Tower BAIXO Acionado por alterações
Neptune.1 Os clusters de banco de dados Neptune devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
Neptune.2 Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
Neptune.3 Os instantâneos do cluster de banco de dados Neptune não devem ser públicos AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower CRÍTICO Acionado por alterações
Neptune.4 O cluster de banco de dados do Neptune deve ter a proteção contra exclusão habilitada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower BAIXO Acionado por alterações
Neptune.5 Os clusters de banco de dados Neptune devem ter backups automatizados habilitados AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Sim Acionado por alterações
Neptune.6 Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
Neptune.7 Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
Neptune.8 Os clusters de banco de dados Neptune devem ser configurados para copiar tags para instantâneos AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower BAIXO Acionado por alterações
Neptune.9 Os clusters de banco de dados Neptune devem ser implantados em várias zonas de disponibilidade NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
NetworkFirewall1. Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
NetworkFirewall.2 O registro em log do Network Firewall deve ser habilitado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Periódico
NetworkFirewall.3 As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
NetworkFirewall.4 A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos. AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
NetworkFirewall5. A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes fragmentados. AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
NetworkFirewall.6 O grupo de regras de firewall de rede sem estado não deve estar vazio AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
NetworkFirewall7. Os firewalls do Network Firewall devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
NetworkFirewall8. As políticas de firewall do Network Firewall devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
NetworkFirewall9. Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
Opensearch.1 OpenSearch os domínios devem ter a criptografia em repouso ativada AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
Opensearch.2 OpenSearch domínios não devem ser acessíveis ao público AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 CRÍTICO Acionado por alterações
Opensearch.3 OpenSearch os domínios devem criptografar os dados enviados entre os nós AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
Opensearch.4 OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
Opensearch.5 OpenSearch os domínios devem ter o registro de auditoria ativado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
Opensearch.6 OpenSearch os domínios devem ter pelo menos três nós de dados AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
Opensearch.7 OpenSearch os domínios devem ter um controle de acesso refinado ativado AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 HIGH (ALTO) Acionado por alterações
Opensearch.8 As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
Opensearch.9 OpenSearch domínios devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Opensearch.10 OpenSearch os domínios devem ter a atualização de software mais recente instalada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAIXO Acionado por alterações
Opensearch.11 OpenSearch os domínios devem ter pelo menos três nós primários dedicados NIST SP 800-53 Rev. 5 BAIXO Periódico
PCA.1 AWS Private CA a autoridade de certificação raiz deve ser desativada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Periódico
PCA.2 AWS As autoridades certificadoras privadas da CA devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.1 [RDS.1] Os instantâneos do RDS devem ser privados AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 CRÍTICO Acionado por alterações
RDS.2 As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible CIS AWS Foundations Benchmark v3.0.0, Melhores práticas de segurança AWS básicas v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. 5, PCI DSS AWS Control Tower v3.2.1, PCI DSS v4.0.1 CRÍTICO Acionado por alterações
RDS.3 As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada. CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, NIST SP 800-53 Rev. 5 AWS Control Tower MÉDIO Acionado por alterações
RDS.4 Os instantâneos do cluster do RDS e os instantâneos do banco de dados devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
RDS.5 As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
RDS.6 O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 BAIXO Sim Acionado por alterações
RDS.7 O cluster de banco de dados do RDS deve ter a proteção contra exclusão habilitada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Acionado por alterações
RDS.8 As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 BAIXO Acionado por alterações
RDS.9 As instâncias de banco de dados do RDS devem publicar registros em Logs CloudWatch AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
RDS.10 A autenticação do IAM deve ser configurada para instâncias do RDS AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
RDS.11 As instâncias do RDS devem ter backups automáticos habilitados AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Sim Acionado por alterações
RDS.12 A autenticação do IAM deve ser configurada para clusters do RDS AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
RDS.13 As atualizações automáticas de versões secundárias do RDS devem estar habilitadas CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Acionado por alterações
RDS.14 Os clusters Amazon Aurora devem ter o backtracking habilitado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
RDS.15 Os clusters de banco de dados do RDS devem ser configurados com várias zonas de disponibilidade AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
RDS.16 Os clusters de banco de dados do RDS devem ser configurados para copiar tags para instantâneos AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Acionado por alterações
RDS.17 As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para instantâneos AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 BAIXO Acionado por alterações
RDS.18 As instâncias do RDS devem ser implantadas em uma VPC AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 HIGH (ALTO) Acionado por alterações
RDS.19 As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 BAIXO Acionado por alterações
RDS.20 As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower BAIXO Acionado por alterações
RDS.21 Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower BAIXO Acionado por alterações
RDS.22 Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower BAIXO Acionado por alterações
RDS.23 As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 BAIXO Acionado por alterações
RDS.24 Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
RDS.25 As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
RDS.26 As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
RDS.27 Os clusters de banco de dados do RDS devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
RDS.28 Os clusters de bancos de dados do RDS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.29 Os snapshots de cluster de bancos de dados do RDS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.30 As instâncias de bancos de dados do RDS devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.31 Os grupos de segurança de bancos de dados do RDS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.32 Os snapshots de bancos de dados do RDS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.33 Os grupos de sub-redes de bancos de dados do RDS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.34 Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
RDS.35 Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
RDS.36 O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações
RDS.37 Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 MÉDIO Acionado por alterações
RDS. 38 O RDS para instâncias de banco de dados PostgreSQL deve ser criptografado em trânsito AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Periódico
RDS. 39 O RDS para instâncias de banco de dados MySQL deve ser criptografado em trânsito AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Periódico
Redshift.1 Os clusters do Amazon Redshift devem proibir o acesso público AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower CRÍTICO Acionado por alterações
Redshift.2 As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
Redshift.3 Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
Redshift.4 Os clusters do Amazon Redshift devem ter o registro de auditoria ativado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
Redshift.6 O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
Redshift.7 Os clusters do Redshift devem usar roteamento de VPC aprimorado AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
Redshift.8 Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
Redshift.9 Os clusters do Redshift não devem usar o nome do banco de dados padrão AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
Redshift.10 Os clusters do Redshift devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
Redshift.11 Os clusters do Redshift devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Redshift.12 As notificações de assinatura de eventos do Redshift devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Redshift.13 Os snapshots de clusters do Redshift devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Redshift.14 Os grupos de sub-redes de clusters do Redshift devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Redshift.15 Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster de origens restritas AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Periódico
Desvio para o vermelho.16 Os grupos de sub-redes do cluster do Redshift devem ter sub-redes de várias zonas de disponibilidade NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
Route53.1 As verificações de integridade do Route 53 devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Route53.2 As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Acionado por alterações
S3.1 Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Periódico
S3.2 Os buckets de uso geral do S3 devem bloquear o acesso público para leitura AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 CRÍTICO Acionado por alterações e periódico
S3.3 Os buckets de uso geral do S3 devem bloquear o acesso público para gravação AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 CRÍTICO Acionado por alterações e periódico
S3.5 Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
S3.6 As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 HIGH (ALTO) Acionado por alterações
S3.7 Os buckets de uso geral do S3 devem usar replicação entre regiões PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 BAIXO Acionado por alterações
S3.8 Os buckets de uso geral do S3 devem bloquear o acesso público CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Acionado por alterações
S3.9 Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
S3.10 Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
S3.11 Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
S3.12 ACLs não deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3 AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
S3.13 Os buckets de uso geral do S3 devem ter configurações de ciclo de vida AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 BAIXO Sim Acionado por alterações
S3.14 Os buckets de uso geral do S3 devem ter o versionamento habilitado NIST SP 800-53 Rev. 5 BAIXO Acionado por alterações
S3.15 Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações
S3.17 Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
S3.19 Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 CRÍTICO Acionado por alterações
S3.20 Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada Referência do CIS AWS Foundations v3.0.0, Referência do CIS AWS Foundations v1.4.0, NIST SP 800-53 Rev. 5 BAIXO Acionado por alterações
S3.22 Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 MÉDIO Periódico
S3.23 Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto Referência do CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 MÉDIO Periódico
S3.24 Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Acionado por alterações
SageMaker1. As instâncias do notebook Amazon SageMaker AI não devem ter acesso direto à Internet AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Periódico
SageMaker.2 SageMaker instâncias de notebook devem ser lançadas em uma VPC personalizada AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 HIGH (ALTO) Acionado por alterações
SageMaker.3 Os usuários não devem ter acesso root às instâncias do SageMaker notebook AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 HIGH (ALTO) Acionado por alterações
SageMaker.4 SageMaker as variantes de produção de endpoints devem ter uma contagem inicial de instâncias maior que 1 AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Periódico
SageMaker5. SageMaker os modelos devem bloquear o tráfego de entrada AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Acionado por alterações
SecretsManager1. Os segredos do Secrets Manager devem ter a alternância automática ativada AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Sim Acionado por alterações
SecretsManager.2 Os segredos do Secrets Manager configurados com alternância automática devem girar com sucesso AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Acionado por alterações
SecretsManager.3 Remover segredos do Secrets Manager não utilizados AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Sim Periódico
SecretsManager.4 Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower MÉDIO Sim Periódico
SecretsManager5. Os segredos do Secrets Manager devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
ServiceCatalog1. Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma AWS organização AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Periódico
SES.1 As listas de contatos do SES devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
SES.2 Os conjuntos de configuração do SES devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
SNS.1 Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
SNS.3 Os tópicos do SNS devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
SNS.4 As políticas de acesso a tópicos do SNS não devem permitir o acesso público AWS Melhores práticas básicas de segurança v1.0.0 HIGH (ALTO) Acionado por alterações
SQS.1 As filas do Amazon SQS devem ser criptografadas em repouso AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
SQS.2 As filas do SQS devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
SSM.1 EC2 as instâncias devem ser gerenciadas por AWS Systems Manager AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
SSM.2 EC2 as instâncias gerenciadas pelo Systems Manager devem ter um status de conformidade de patch de COMPATÍVEL após a instalação de um patch AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower HIGH (ALTO) Acionado por alterações
SSM.3 EC2 as instâncias gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, Padrão gerenciado por serviços: AWS Control Tower BAIXO Acionado por alterações
SSM.4 Os documentos SSM não devem ser públicos AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 CRÍTICO Periódico
StepFunctions1. As máquinas de estado do Step Functions devem ter o registro ativado AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações
StepFunctions.2 As atividades do Step Functions devem ser marcadas AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Transfer.1 Os fluxos de trabalho do Transfer Family devem ser marcados AWS Padrão de marcação de recursos BAIXO Sim Acionado por alterações
Transfer.2 Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Periódico
WAF.1 AWS O registro do WAF Classic Global Web ACL deve estar ativado AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Periódico
WAF.2 AWS As regras regionais clássicas do WAF devem ter pelo menos uma condição AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
WAF.3 AWS Os grupos de regras regionais clássicos do WAF devem ter pelo menos uma regra AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
WAF.4 AWS A web regional clássica do WAF ACLs deve ter pelo menos uma regra ou grupo de regras AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
WAF.6 AWS As regras globais do WAF Classic devem ter pelo menos uma condição AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
WAF.7 AWS Os grupos de regras globais do WAF Classic devem ter pelo menos uma regra AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
WAF.8 AWS A web global do WAF Classic ACLs deve ter pelo menos uma regra ou grupo de regras AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
WAF.10 AWS A web do WAF ACLs deve ter pelo menos uma regra ou grupo de regras AWS Melhores práticas básicas de segurança v1.0.0, padrão gerenciado por serviços:, NIST SP 800-53 Rev. AWS Control Tower 5 MÉDIO Acionado por alterações
WAF.11 AWS O registro de WAF web ACL deve estar ativado NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAIXO Periódico
WAF.12 AWS As regras do WAF devem ter CloudWatch métricas ativadas AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Acionado por alterações
WorkSpaces1. WorkSpaces os volumes do usuário devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Acionado por alterações
WorkSpaces.2 WorkSpaces os volumes raiz devem ser criptografados em repouso AWS Melhores práticas básicas de segurança v1.0.0 MÉDIO Acionado por alterações
Tópicos