As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Referência de controles do Security Hub
Essa referência de controles fornece uma lista dos AWS Security Hub controles disponíveis com links para mais informações sobre cada controle. A tabela de visão geral exibe os controles em ordem alfabética por ID de controle. Apenas os controles em uso ativo pelo Security Hub estão incluídos aqui. Os controles descontinuados são excluídos dessa lista. A tabela fornece as seguintes informações para cada controle:
-
ID de controle de segurança — Essa ID se aplica a todos os padrões AWS service (Serviço da AWS) e indica o recurso ao qual o controle está relacionado. O console do Security Hub exibe o controle de segurançaIDs, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. No entanto, as descobertas do Security Hub fazem referência ao controle de segurança IDs somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns controles IDs variam de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurançaIDs, consulte. Como a consolidação afeta o controle IDs e os títulos
Se quiser configurar automações para controles de segurança, recomendamos filtrar com base na ID do controle, e não no título ou na descrição. Embora o Security Hub possa ocasionalmente atualizar títulos ou descrições de controle, o controle IDs permanece o mesmo.
O controle IDs pode pular números. Esses são espaços reservados para futuros controles.
-
Padrões aplicáveis: indica a quais padrões um controle se aplica. Selecione um controle para ver os requisitos específicos de estruturas de conformidade de terceiros.
-
Título de controle de segurança: esse título se aplica a todos os padrões. O console do Security Hub exibe os títulos de controle de segurança, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. Entretanto, as descobertas do Security Hub fazem referência aos títulos de controle de segurança somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns títulos de controle podem variar de acordo com o padrão em suas descobertas de controle. Para um mapeamento do controle específico do padrão IDs para o controle de segurançaIDs, consulte. Como a consolidação afeta o controle IDs e os títulos
-
Severidade: a severidade de um controle identifica sua importância do ponto de vista da segurança. Para obter informações sobre como o Security Hub determina a severidade do controle, consulte Nível de severidade dos resultados de controle.
-
Tipo de programação: indica quando o controle é avaliado. Para obter mais informações, consulte Programar a execução de verificações de segurança.
-
Oferece suporte a parâmetros personalizados: indica se o controle oferece suporte a valores personalizados para um ou mais parâmetros. Selecione um controle para ver os detalhes dos parâmetros. Para obter mais informações, consulte Compreender os parâmetros de controles no Security Hub.
Selecione uma conexão para visualizar mais detalhes. Os controles são listados em ordem alfabética do nome do serviço.
ID do controle de segurança | Título de controle de segurança | Padrões aplicáveis | Gravidade | Oferece suporte a parâmetros personalizados | Tipo de programação |
---|---|---|---|---|---|
Account.1 | As informações de contato de segurança devem ser fornecidas para um Conta da AWS | CIS AWS Foundations Benchmark v3.0.0, Melhores práticas AWS básicas de segurança v1.0.0, Padrão gerenciado por serviços: SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | Periódico | |
Account.2 | Conta da AWS deve fazer parte de uma AWS Organizations organização | NISTSP 800-53 Rev. 5 | HIGH | |
Periódico |
ACM1. | Os certificados ACM importados e emitidos devem ser renovados após um período de tempo especificado | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: NIST SP 800-53 Rev. 5 AWS Control Tower, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações e periódico |
ACM.2 | RSAcertificados gerenciados por ACM devem usar um comprimento de chave de pelo menos 2.048 bits | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | |
Acionado por alterações |
ACM.3 | ACMcertificados devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
APIGateway1. | APIO gateway REST e o registro de WebSocket API execução devem estar habilitados | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
APIGateway.2 | APIOs REST API estágios do gateway devem ser configurados para usar SSL certificados para autenticação de back-end | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
APIGateway.3 | APIOs REST API estágios do gateway devem ter o AWS X-Ray rastreamento ativado | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Acionado por alterações |
APIGateway.4 | APIO gateway deve ser associado a uma WAF Web ACL | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
APIGateway5. | APIOs dados REST API do cache do gateway devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
APIGateway8. | APIAs rotas de gateway devem especificar um tipo de autorização | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Periódico |
APIGateway9. | O registro de acesso deve ser configurado para os estágios do API Gateway V2 | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: NIST SP 800-53 Rev. 5 AWS Control Tower, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
AppSync1. | AWS AppSync APIos caches devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações | |
AppSync.2 | AWS AppSync deve ter o registro em nível de campo ativado | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
AppSync.4 | AWS AppSync GraphQL APIs deve ser marcado | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
AppSync5. | AWS AppSync O GraphQL não APIs deve ser autenticado com chaves API | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Acionado por alterações |
AppSync.6 | AWS AppSync APIos caches devem ser criptografados em trânsito | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações | |
Athena.2 | Os catálogos de dados do Athena devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Athena.3 | Os grupos de trabalho do Athena devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Athena.4 | Os grupos de trabalho do Athena devem ter o registro em log habilitado | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações | |
AutoScaling1. | Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade ELB | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços:, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | LOW | Acionado por alterações | |
AutoScaling.2 | O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
AutoScaling.3 | As configurações de lançamento em grupo do Auto Scaling devem configurar as EC2 instâncias para exigir o Instance Metadata Service versão 2 () IMDSv2 | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: NIST SP 800-53 Rev. 5 AWS Control Tower, v4.0.1 PCI DSS | HIGH | |
Acionado por alterações |
Auto Scaling | EC2As instâncias da Amazon lançadas usando as configurações de lançamento em grupo do Auto Scaling não devem ter endereços IP públicos | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: NIST SP 800-53 Rev. 5 AWS Control Tower, v4.0.1 PCI DSS | HIGH | |
Acionado por alterações |
AutoScaling.6 | Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
AutoScaling9. | EC2Grupos de Auto Scaling devem usar EC2 modelos de lançamento | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
AutoScaling.10 | EC2Grupos de Auto Scaling devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Backup.1 | AWS Backup os pontos de recuperação devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
Backup.2 | AWS Backup pontos de recuperação devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Backup.3 | AWS Backup cofres devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Backup.4 | AWS Backup os planos de relatórios devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Backup.5 | AWS Backup planos de backup devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
CloudFormation.2 | CloudFormation as pilhas devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
CloudFront1. | CloudFront as distribuições devem ter um objeto raiz padrão configurado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | Acionado por alterações | |
CloudFront.3 | CloudFront as distribuições devem exigir criptografia em trânsito | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
CloudFront.4 | CloudFront as distribuições devem ter o failover de origem configurado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Acionado por alterações |
CloudFront5. | CloudFront as distribuições devem ter o registro ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
CloudFront.6 | CloudFront as distribuições deveriam ter habilitado WAF | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
CloudFront7. | CloudFront distribuições devem usar certificadosSSL/TLSpersonalizados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
CloudFront8. | CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Acionado por alterações |
CloudFront9. | CloudFront as distribuições devem criptografar o tráfego para origens personalizadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
CloudFront.10 | CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
CloudFront1.2 | CloudFront distribuições não devem apontar para origens inexistentes do S3 | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | |
Periódico |
CloudFront1.3 | CloudFront as distribuições devem usar o controle de acesso de origem | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | |
Acionado por alterações |
CloudFront1.4 | CloudFront distribuições devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
CloudTrail1. | CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | Periódico | |
CloudTrail.2 | CloudTrail deve ter a criptografia em repouso ativada | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0 CIS AWS AWS Foundational Security Best Practices v1.0.0, SP 800-53 Rev. 5, v3.2.1, v4.0.1, NIST Padrão gerenciado por serviços: PCI DSS PCI DSS AWS Control Tower | MEDIUM | |
Periódico |
CloudTrail.3 | Pelo menos uma CloudTrail trilha deve ser ativada | PCIDSSv3.2.1, v4.0.1 PCI DSS | HIGH | Periódico | |
CloudTrail.4 | CloudTrail a validação do arquivo de log deve estar ativada | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, v4.0.1, Foundations Benchmark PCI DSS v1.4.0 AWS Control Tower, SP 800-53 Rev. 5 PCI DSS CIS AWS NIST | LOW | |
Periódico |
CloudTrail5. | CloudTrail as trilhas devem ser integradas ao Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, Padrão gerenciado por serviços: PCI DSS PCI DSS AWS Control Tower | LOW | |
Periódico |
CloudTrail.6 | Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público | CIS AWS Benchmark de fundamentos v1.2.0, Benchmark de CIS AWS fundamentos v1.4.0, v4.0.1 PCI DSS | CRITICAL | |
Acionado por alterações e periódico |
CloudTrail7. | Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3 | CIS AWS Foundations Benchmark v1.2.0, Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, v4.0.1 CIS AWS PCI DSS | LOW | |
Periódico |
CloudTrail9. | CloudTrail trilhas devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
CloudWatch1. | Um filtro de métrica de log e um alarme devem existir para uso do usuário “raiz” | CIS AWS Benchmark de fundamentos v1.2.0, PCI DSS v3.2.1, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch.2 | Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas não autorizadas API | CIS AWS Benchmark de fundações v1.2.0 | LOW | |
Periódico |
CloudWatch.3 | Certifique-se de que exista um filtro métrico de registro e um alarme para o login no Management Console sem MFA | CIS AWS Benchmark de fundações v1.2.0 | LOW | |
Periódico |
CloudWatch.4 | Certifique-se de que exista um filtro métrico de log e um alarme para mudanças na IAM política | CIS AWS Benchmark de fundações v1.2.0, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch5. | Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração | CIS AWS Benchmark de fundações v1.2.0, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch.6 | Certifique-se de que exista um filtro métrico de registro e um alarme para falhas AWS Management Console de autenticação | CIS AWS Benchmark de fundações v1.2.0, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch7. | Certifique-se de que exista um filtro métrico de registro e um alarme para desativação ou exclusão programada do cliente criado CMKs | CIS AWS Benchmark de fundações v1.2.0, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch8. | Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3 | CIS AWS Benchmark de fundações v1.2.0, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch9. | Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração | CIS AWS Benchmark de fundações v1.2.0, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch.10 | Verificar se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança | CIS AWS Benchmark de fundações v1.2.0, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch1.1 | Verifique se existe um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL) | CIS AWS Benchmark de fundações v1.2.0, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch1.2 | Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede | CIS AWS Benchmark de fundações v1.2.0, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch1.3 | Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas | CIS AWS Benchmark de fundações v1.2.0, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch1.4 | Certifique-se de que exista um filtro métrico de registro e um alarme para VPC alterações | CIS AWS Benchmark de fundações v1.2.0, Benchmark de fundamentos v1.4.0 CIS AWS | LOW | |
Periódico |
CloudWatch1.5 | CloudWatch os alarmes devem ter ações especificadas configuradas | NISTSP 800-53 Rev. 5 | HIGH | |
Acionado por alterações |
CloudWatch1.6 | CloudWatch os grupos de registros devem ser mantidos por um período de tempo especificado | NISTSP 800-53 Rev. 5 | MEDIUM | |
Periódico |
CloudWatch1.7 | CloudWatch ações de alarme devem ser ativadas | NISTSP 800-53 Rev. 5 | HIGH | |
Acionado por alterações |
CodeArtifact1. | CodeArtifact repositórios devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
CodeBuild1. | CodeBuild O repositório de origem do Bitbucket não URLs deve conter credenciais confidenciais | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviços: PCI DSS AWS Control Tower | CRITICAL | Acionado por alterações | |
CodeBuild.2 | CodeBuild as variáveis de ambiente do projeto não devem conter credenciais de texto não criptografado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviços: PCI DSS AWS Control Tower | CRITICAL | |
Acionado por alterações |
CodeBuild.3 | CodeBuild Os registros do S3 devem ser criptografados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços:, PCI DSS AWS Control Tower | LOW | |
Acionado por alterações |
CodeBuild.4 | CodeBuild ambientes de projeto devem ter uma configuração de registro | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
CodeBuild7. | CodeBuild as exportações do grupo de relatórios devem ser criptografadas em repouso | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações | |
Config.1 | AWS Config deve ser habilitado e usar a função vinculada ao serviço para registro de recursos | CIS AWS Foundations Benchmark v3.0.0, Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, SP 800-53 Rev. 5, v3.2.1 NIST PCI DSS | CRITICAL | Periódico | |
DataFirehose1. | Os fluxos de entrega do Firehose devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Periódico |
DataSync1. | DataSync as tarefas devem ter o registro ativado | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações | |
Detetive.1 | Gráficos de comportamento do Detective devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
DMS1. | As instâncias de replicação do Database Migration Service não devem ser públicas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviços: PCI DSS AWS Control Tower | CRITICAL | |
Periódico |
DMS.2 | DMScertificados devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
DMS.3 | DMSas assinaturas de eventos devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
DMS.4 | DMSinstâncias de replicação devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
DMS5. | DMSgrupos de sub-redes de replicação devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
DMS.6 | DMSas instâncias de replicação devem ter a atualização automática de versões secundárias ativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
DMS7. | DMSas tarefas de replicação para o banco de dados de destino devem ter o registro ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
DMS8. | DMSas tarefas de replicação para o banco de dados de origem devem ter o registro ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
DMS9. | DMSos endpoints devem usar SSL | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
DMS.10 | DMSendpoints para bancos de dados Neptune devem ter a autorização habilitada IAM | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Acionado por alterações | |
DMS1.1 | DMSendpoints para MongoDB devem ter um mecanismo de autenticação habilitado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Acionado por alterações | |
DMS1.2 | DMSendpoints para Redis OSS deveriam estar habilitados TLS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Acionado por alterações | |
DocumentDB.1 | Os clusters do Amazon DocumentDB devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MEDIUM | |
Acionado por alterações |
DocumentDB.2 | Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
DocumentDB.3 | Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | CRITICAL | |
Acionado por alterações |
DocumentDB.4 | Os clusters do Amazon DocumentDB devem publicar registros de auditoria em Logs CloudWatch | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
DocumentDB.5 | Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
DynamoDB.1 | As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Periódico |
DynamoDB.2 | As tabelas do DynamoDB devem ter a recuperação ativada point-in-time | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
DynamoDB.3 | Os clusters do DynamoDB Accelerator DAX () devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Periódico |
DynamoDB.4 | As tabelas do DynamoDB devem estar presentes em um plano de backup | NISTSP 800-53 Rev. 5 | MEDIUM | |
Periódico |
DynamoDB.5 | As tabelas do DynamoDB devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
DynamoDB.6 | As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
DynamoDB.7 | Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Periódico | |
EC21. | EBSos instantâneos não devem ser restauráveis publicamente | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços:, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | CRITICAL | |
Periódico |
EC2.2 | VPCgrupos de segurança padrão não devem permitir tráfego de entrada ou saída | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: AWS Control Tower, v3.2.1, Foundations Benchmark v1.4.0, SP 800-53 Rev. 5 PCI DSS CIS AWS NIST | HIGH | |
Acionado por alterações |
EC2.3 | EBSOs volumes anexados devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
EC2.4 | EC2As instâncias interrompidas devem ser removidas após um período de tempo especificado | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Periódico |
EC2.6 | VPCo registro de fluxo deve ser ativado em todos VPCs | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: AWS Control Tower, v3.2.1, Foundations Benchmark v1.4.0, SP 800-53 Rev. 5 PCI DSS CIS AWS NIST | MEDIUM | |
Periódico |
EC27. | EBSa criptografia padrão deve estar ativada | CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, Foundations Benchmark v1.4.0, SP 800-53 Rev. AWS Control Tower 5 CIS AWS NIST | MEDIUM | |
Periódico |
EC28. | EC2as instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2 | CIS AWS Foundations Benchmark v3.0.0, Melhores práticas AWS básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Acionado por alterações |
EC29. | EC2instâncias não devem ter um IPv4 endereço público | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Acionado por alterações |
EC2.10 | A Amazon EC2 deve ser configurada para usar VPC endpoints criados para o serviço Amazon EC2 | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Periódico |
EC21.2 | Não utilizado EC2 EIPs deve ser removido | PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 | LOW | |
Acionado por alterações |
EC21.3 | Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 22 | CIS AWS Benchmark de fundamentos v1.2.0, PCI DSS v3.2.1, v4.0.1, SP 800-53 Rev. PCI DSS 5 NIST | HIGH | Acionado por alterações e periódico | |
EC21.4 | Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou de ::/0 na porta 3389 | CIS AWS Benchmark de fundamentos v1.2.0, v4.0.1 PCI DSS | HIGH | Acionado por alterações e periódico | |
EC21.5 | EC2as sub-redes não devem atribuir automaticamente endereços IP públicos | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços:, PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
EC21.6 | As listas de controle de acesso à rede não utilizadas devem ser removidas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços:, PCI DSS AWS Control Tower | LOW | |
Acionado por alterações |
EC21.7 | EC2instâncias não devem usar várias ENIs | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Acionado por alterações |
EC21.8 | Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Acionado por alterações |
EC21.9 | Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | CRITICAL | Acionado por alterações e periódico | |
EC2.20 | Ambos os VPN túneis de uma AWS Site-to-Site VPN conexão devem estar ativos | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
EC22.1 | A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389 | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: SP 800-53 Rev. 5, v4.0.1 AWS Control Tower NIST PCI DSS | MEDIUM | |
Acionado por alterações |
EC22.2 | Grupos de EC2 segurança não utilizados devem ser removidos | Padrão gerenciado por serviços: AWS Control Tower | MEDIUM | Periódico | |
EC22.3 | EC2Os Transit Gateways não devem aceitar automaticamente solicitações de VPC anexos | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Acionado por alterações |
EC22.4 | EC2tipos de instância paravirtual não devem ser usados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
EC22,5 | EC2os modelos de lançamento não devem atribuir interfaces públicas IPs às de rede | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Acionado por alterações |
EC22.8 | EBSos volumes devem estar em um plano de backup | NISTSP 800-53 Rev. 5 | LOW | |
Periódico |
EC23.3 | EC2os anexos do gateway de trânsito devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC23.4 | EC2as tabelas de rotas do gateway de trânsito devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC23.5 | EC2interfaces de rede devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC23.6 | EC2os gateways do cliente devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC23.7 | EC2Endereços IP elásticos devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC23,8 | EC2instâncias devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC23.9 | EC2gateways de internet devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC24,0 | EC2NATgateways devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC24.1 | EC2a rede ACLs deve ser marcada | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC24.2 | EC2tabelas de rotas devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC24.3 | EC2grupos de segurança devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC24.4 | EC2as sub-redes devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC24,5 | EC2os volumes devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC24.6 | Amazon VPCs deve ser etiquetada | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC24.7 | Os serviços VPC de endpoint da Amazon devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC24.8 | Os registros VPC de fluxo da Amazon devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC24.9 | As conexões de VPC peering da Amazon devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC25,0 | EC2VPNgateways devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC25.1 | EC2VPNOs endpoints do cliente devem ter o registro de conexão do cliente ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | |
Acionado por alterações |
EC25.2 | EC2os gateways de trânsito devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EC25.3 | EC2grupos de segurança não devem permitir a entrada de 0.0.0.0/0 nas portas de administração do servidor remoto | CIS AWS Benchmark de fundações v3.0.0, v4.0.1 PCI DSS | HIGH | Periódico | |
EC25,4 | EC2grupos de segurança não devem permitir a entrada de: :/0 nas portas de administração do servidor remoto | CIS AWS Benchmark de fundações v3.0.0, v4.0.1 PCI DSS | HIGH | Periódico | |
EC25.5 | VPCsdeve ser configurado com um endpoint de interface para ECR API | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC25,6 | VPCsdeve ser configurado com um endpoint de interface para o Docker Registry | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC25,7 | VPCsdeve ser configurado com um endpoint de interface para Systems Manager | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC25,8 | VPCsdeve ser configurado com um endpoint de interface para Systems Manager Incident Manager Contacts | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC26,0 | VPCsdeve ser configurado com um endpoint de interface para o Systems Manager Incident Manager | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC26.1 | VPCsdeve ser configurado com um endpoint de interface para Systems Manager Quick Setup | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC26.2 | VPCsdeve ser configurado com um endpoint de interface para Logs CloudWatch | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC26.3 | VPCsdeve ser configurado com um endpoint de interface para Systems Manager Messages | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC26,4 | VPCsdeve ser configurado com um endpoint de interface para o Serviço de Entrega de Mensagens | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC26,5 | VPCsdeve ser configurado com um endpoint de interface para o Secrets Manager | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC26,6 | VPCsdeve ser configurado com um endpoint de interface para API o Gateway | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC26,7 | VPCsdeve ser configurado com um endpoint de interface para CloudWatch | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC26,8 | VPCsdeve ser configurado com um endpoint de interface para AWS KMS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC26,9 | VPCsdeve ser configurado com um endpoint de interface para SQS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC27,0 | VPCsdeve ser configurado com um endpoint de interface para STS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC27.1 | VPCsdeve ser configurado com um endpoint de interface para SNS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC27,2 | VPCsdeve ser configurado com um endpoint de interface para S3 | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC27.3 | VPCsdeve ser configurado com um endpoint de interface para Lambda | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC27,4 | VPCsdeve ser configurado com um endpoint de interface para ECS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC27,5 | VPCsdeve ser configurado com um endpoint de interface para o Elastic Load Balancing | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC27,6 | VPCsdeve ser configurado com um endpoint de interface para CloudFormation | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC27,7 | VPCsdeve ser configurado com um endpoint de interface para EventBridge | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC27,8 | VPCsdeve ser configurado com um endpoint de interface para EC2 Auto Scaling | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC27,9 | VPCsdeve ser configurado com um endpoint de interface para IA SageMaker API | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC28,0 | VPCsdeve ser configurado com um endpoint de interface para o SageMaker AI Feature Store Runtime | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC28,1 | VPCsdeve ser configurado com um endpoint de interface para o SageMaker AI Metrics Service | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC28,2 | VPCsdeve ser configurado com um endpoint de interface para SageMaker AI Runtime | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC28,3 | VPCsdeve ser configurado com um endpoint de interface para o SageMaker AI Runtime para FIPS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC28,4 | VPCsdeve ser configurado com um endpoint de interface para notebook SageMaker AI | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC28,5 | VPCsdeve ser configurado com um endpoint de interface para o SageMaker AI Studio | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC28,6 | VPCsdeve ser configurado com um endpoint de interface para AWS Glue | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC28,7 | VPCsdeve ser configurado com um endpoint de interface para o Kinesis Data Streams | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC28,8 | VPCsdeve ser configurado com um endpoint de interface para Transfer Family para SFTP | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC28,9 | VPCsdeve ser configurado com um endpoint de interface para CloudTrail | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC29,0 | VPCsdeve ser configurado com um endpoint de interface para RDS | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC29.1 | VPCsdeve ser configurado com um endpoint de interface para ECS o Agente | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC29.2 | VPCsdeve ser configurado com um endpoint de interface para telemetria ECS | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC29.3 | VPCsdeve ser configurado com um endpoint de interface para GuardDuty | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC29,4 | VPCsdeve ser configurado com um endpoint de interface para SES | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC29,5 | VPCsdeve ser configurado com um endpoint de interface para EFS | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC29,6 | VPCsdeve ser configurado com um endpoint de interface para Athena | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC29,7 | VPCsdeve ser configurado com um endpoint de interface para Firehose | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC29,8 | VPCsdeve ser configurado com um endpoint de interface para Step Functions | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC29,9 | VPCsdeve ser configurado com um endpoint de interface para Storage Gateway | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC2.100 | VPCsdeve ser configurado com um endpoint de interface para a Amazon MWAA | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.01 | VPCsdeve ser configurado com um endpoint de interface para a Amazon MWAA para FIPS | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.02 | VPCsdeve ser configurado com um endpoint de interface para o ambiente Amazon MWAA | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.03 | VPCsdeve ser configurado com um endpoint de interface para o ambiente Amazon MWAA FIPS | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.04 | VPCsdeve ser configurado com um endpoint de interface para a operadora Amazon MWAA | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC2.105 | VPCsdeve ser configurado com um endpoint de interface para DataSync | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.06 | VPCsdeve ser configurado com um endpoint de interface para CodePipeline | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.07 | VPCsdeve ser configurado com um endpoint de interface para EKS | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.08 | VPCsdeve ser configurado com um endpoint de interface para EBS uso direto APIs | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.09 | VPCsdeve ser configurado com um endpoint de interface para CodeCommit | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.10 | VPCsdeve ser configurado com um endpoint de interface para X-Ray | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.11 | VPCsdeve ser configurado com um endpoint de interface para CodeBuild | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.12 | VPCsdeve ser configurado com um endpoint de interface para AWS Config | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.13 | VPCsdeve ser configurado com um endpoint de interface para dados RDS API | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.14 | VPCsdeve ser configurado com um endpoint de interface para Service Catalog | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.15 | VPCsdeve ser configurado com um endpoint de interface para a Amazon EMR | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.16 | VPCsdeve ser configurado com um endpoint de interface para CodeCommit | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.17 | VPCsdeve ser configurado com um endpoint de interface para o App Mesh | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.18 | VPCsdeve ser configurado com um endpoint de interface para o Elastic Beanstalk | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.19 | VPCsdeve ser configurado com um endpoint de interface para AWS Private CA | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.20 | VPCsdeve ser configurado com um endpoint de interface para ElastiCache | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.21 | VPCsdeve ser configurado com um endpoint de interface para CodeArtifact API | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.22 | VPCsdeve ser configurado com um endpoint de interface para repositórios CodeArtifact | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.23 | VPCsdeve ser configurado com um endpoint de interface para o Amazon Redshift | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.24 | VPCsdeve ser configurado com um endpoint de interface para CodeDeploy | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.25 | VPCsdeve ser configurado com um endpoint de interface para o Amazon Managed Service for Prometheus | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.26 | VPCsdeve ser configurado com um endpoint de interface para Application Auto Scaling | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.27 | VPCsdeve ser configurado com um endpoint de interface para pontos de acesso multirregionais S3 | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.28 | VPCsdeve ser configurado com um endpoint de interface para Query AMB | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.29 | VPCsdeve ser configurado com um endpoint de interface para AMB Access Bitcoin | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.30 | VPCsdeve ser configurado com um endpoint de interface para AMB Bitcoin Testnet | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.31 | VPCsdeve ser configurado com um endpoint de interface para EFS | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.32 | VPCsdeve ser configurado com um endpoint de interface para AWS Backup | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.33 | VPCsdeve ser configurado com um endpoint de interface para DMS | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.34 | VPCsdeve ser configurado com um endpoint de interface para CodeDeploy | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.35 | VPCsdeve ser configurado com um endpoint de interface para a Amazon AppStream API | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.36 | VPCsdeve ser configurado com um endpoint de interface para Amazon Streaming AppStream | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.37 | VPCsdeve ser configurado com um endpoint de interface para o Elastic Beanstalk | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.38 | VPCsdeve ser configurado com um endpoint de interface para Conexões de código da AWS API | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.39 | VPCsdeve ser configurado com um endpoint de interface para conexões AWS CodeStar API | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.40 | VPCsdeve ser configurado com um endpoint de interface para Amazon Redshift Data API | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.41 | VPCsdeve ser configurado com um endpoint de interface para o Amazon Textract | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.42 | VPCsdeve ser configurado com um endpoint de interface para Keyspaces | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.43 | VPCsdeve ser configurado com um endpoint de interface para AWS MGN | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.44 | VPCsdeve ser configurado com um endpoint de interface para o Image Builder | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.45 | VPCsdeve ser configurado com um endpoint de interface para Step Functions | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.46 | VPCsdeve ser configurado com um endpoint de interface para Auto Scaling | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.47 | VPCsdeve ser configurado com um endpoint de interface para o Amazon Bedrock | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.48 | VPCsdeve ser configurado com um endpoint de interface para Batch | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.49 | VPCsdeve ser configurado com um endpoint de interface para a Amazon EKS | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.50 | VPCsdeve ser configurado com um endpoint de interface para o Amazon Comprehend | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.51 | VPCsdeve ser configurado com um endpoint de interface para o App Runner | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.52 | VPCsdeve ser configurado com um endpoint de interface para EMR Serverless | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.53 | VPCsdeve ser configurado com um endpoint de interface para Lake Formation | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.54 | VPCsdeve ser configurado com um endpoint de interface para a Amazon FSx | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.55 | VPCsdeve ser configurado com um endpoint de interface para a Amazon EMR em EKS | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.56 | VPCsdeve ser configurado com um endpoint de interface para IoT Core Data | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.57 | VPCsdeve ser configurado com um endpoint de interface para as credenciais principais de IoT | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.58 | VPCsdeve ser configurado com um endpoint de interface para o IoT Core Fleet Hub | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.59 | VPCsdeve ser configurado com um endpoint de interface para Elastic Disaster Recovery | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.60 | VPCsdeve ser configurado com um endpoint de interface para o Cloud HSM | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.61 | VPCsdeve ser configurado com um endpoint de interface para o Amazon Rekognition | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.62 | VPCsdeve ser configurado com um endpoint de interface para o Amazon Managed Service for Prometheus | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.63 | VPCsdeve ser configurado com um endpoint de interface para o Elastic Inference Runtime | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.64 | VPCsdeve ser configurado com um endpoint de interface para CloudWatch | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.65 | VPCsdeve ser configurado com um endpoint de interface para o Amazon Bedrock | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.66 | VPCsdeve ser configurado com um endpoint de interface para o Security Hub | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.67 | VPCsdeve ser configurado com um endpoint de interface para o DynamoDB | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.68 | VPCsdeve ser configurado com um endpoint de interface para o Access Analyzer | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.69 | VPCsdeve ser configurado com um endpoint de interface para o Amazon Transcribe Medical | NISTSP 800-53 Rev. 5 | MEDIUM | Periódico | |
EC21.70 | EC2os modelos de lançamento devem usar o Instance Metadata Service versão 2 () IMDSv2 | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | LOW | Acionado por alterações | |
EC21.71 | EC2VPNas conexões devem ter o registro ativado | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | MEDIUM | Acionado por alterações | |
ECR1. | ECRrepositórios privados devem ter a digitalização de imagens configurada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Periódico |
ECR.2 | ECRrepositórios privados devem ter a imutabilidade da tag configurada | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ECR.3 | ECRos repositórios devem ter pelo menos uma política de ciclo de vida configurada | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ECR.4 | ECRrepositórios públicos devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
ECS1. | As definições de ECS tarefas da Amazon devem ter modos de rede seguros e definições de usuário. | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Acionado por alterações |
ECS.2 | ECSos serviços não devem ter endereços IP públicos atribuídos a eles automaticamente | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Acionado por alterações |
ECS.3 | ECSas definições de tarefas não devem compartilhar o namespace do processo do host | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Acionado por alterações |
ECS.4 | ECSos contêineres devem ser executados sem privilégios | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Acionado por alterações |
ECS5. | ECSos contêineres devem ser limitados ao acesso somente de leitura aos sistemas de arquivos raiz | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Acionado por alterações |
ECS8. | Os segredos não devem ser passados como variáveis de ambiente do contêiner | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Acionado por alterações |
ECS9. | ECSas definições de tarefas devem ter uma configuração de registro | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Acionado por alterações |
ECS.10 | ECSOs serviços do Fargate devem ser executados na versão mais recente da plataforma Fargate | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
ECS1.2 | ECSos clusters devem usar o Container Insights | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ECS1.3 | ECSserviços devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
ECS1.4 | ECSclusters devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
ECS1.5 | ECSas definições de tarefas devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
ECS1.6 | ECSconjuntos de tarefas não devem atribuir automaticamente endereços IP públicos | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | Acionado por alterações | |
EFS1. | O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS | CIS AWS Foundations Benchmark v3.0.0, Melhores práticas AWS básicas de segurança v1.0.0, Padrão gerenciado por serviços: SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Periódico |
EFS.2 | EFSOs volumes da Amazon devem estar em planos de backup | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Periódico |
EFS.3 | EFSos pontos de acesso devem impor um diretório raiz | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
EFS.4 | EFSos pontos de acesso devem impor uma identidade de usuário | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
EFS5. | EFSpontos de acesso devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EFS.6 | EFSos destinos de montagem não devem ser associados a uma sub-rede pública | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Periódico | |
EFS7. | EFSos sistemas de arquivos devem ter os backups automáticos ativados | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações | |
EFS8. | EFSos sistemas de arquivos devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações | |
EKS1. | EKSos endpoints do cluster não devem ser acessíveis ao público | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | |
Periódico |
EKS.2 | EKSos clusters devem ser executados em uma versão compatível do Kubernetes | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Acionado por alterações |
EKS.3 | EKSclusters devem usar segredos criptografados do Kubernetes | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Periódico | |
EKS.6 | EKSclusters devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EKS7. | EKSas configurações do provedor de identidade devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EKS8. | EKSos clusters devem ter o registro de auditoria ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
ElastiCache1. | ElastiCache Os clusters (RedisOSS) devem ter backups automáticos ativados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Periódico |
ElastiCache.2 | ElastiCache Os clusters (RedisOSS) devem ter atualizações automáticas de versões secundárias habilitadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | |
Periódico |
ElastiCache.3 | ElastiCache os grupos de replicação devem ter o failover automático ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Periódico |
ElastiCache.4 | ElastiCache grupos de replicação devem ser encrypted-at-rest | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Periódico |
ElastiCache5. | ElastiCache grupos de replicação devem ser encrypted-in-transit | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Periódico |
ElastiCache.6 | ElastiCache Grupos de replicação (RedisOSS) de versões anteriores devem ter o Redis ativado OSS AUTH | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Periódico |
ElastiCache7. | ElastiCache os clusters não devem usar o grupo de sub-rede padrão | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Periódico |
ElasticBeanstalk1. | Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Acionado por alterações |
ElasticBeanstalk.2 | As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Acionado por alterações |
ElasticBeanstalk.3 | O Elastic Beanstalk deve transmitir registros para CloudWatch | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | |
Acionado por alterações |
ELB1. | O Application Load Balancer deve ser configurado para redirecionar todas as solicitações para HTTP HTTPS | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços:, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | MEDIUM | |
Periódico |
ELB.2 | Os balanceadores de carga clássicos comSSL/HTTPSouvintes devem usar um certificado fornecido por AWS Certificate Manager | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ELB.3 | Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
ELB.4 | O Application Load Balancer deve ser configurado para eliminar cabeçalhos http | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
ELB5. | O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ELB.6 | A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | Acionado por alterações | |
ELB7. | Os Classic Load Balancers devem ter a drenagem da conexão ativada | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ELB8. | Os balanceadores de carga clássicos com SSL ouvintes devem usar uma política de segurança predefinida que tenha uma configuração forte | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
ELB9. | Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ELB.10 | O Classic Load Balancer deve abranger várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ELB1.2 | O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
ELB1.3 | Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ELB1.4 | O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
ELB1.6 | Os balanceadores de carga de aplicativos devem estar associados a uma web AWS WAF ACL | NISTSP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
EMR1. | Os nós primários do EMR cluster Amazon não devem ter endereços IP públicos | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Periódico |
EMR.2 | A configuração de EMR bloqueio de acesso público da Amazon deve estar ativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | CRITICAL | |
Periódico |
ES.1 | Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços:, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | MEDIUM | |
Periódico |
ES.2 | Os domínios do Elasticsearch não devem ser publicamente acessíveis | AWS Melhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | CRITICAL | |
Periódico |
ES.3 | Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços:, PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
ES.4 | O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ES.5 | Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MEDIUM | |
Acionado por alterações |
ES.6 | Os domínios do Elasticsearch devem ter pelo menos três nós de dados | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ES.7 | Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
ES.8 | As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança mais recente TLS | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | Acionado por alterações | |
ES.9 | Os domínios do Elasticsearch devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EventBridge.2 | EventBridge ônibus de eventos devem ser etiquetados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
EventBridge.3 | EventBridge os ônibus de eventos personalizados devem ter uma política baseada em recursos anexada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | |
Acionado por alterações |
EventBridge.4 | EventBridge endpoints globais devem ter a replicação de eventos ativada | NISTSP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
FSx1. | FSxpara sistemas de ZFS arquivos abertos, devem ser configurados para copiar tags para backups e volumes | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Periódico |
FSx.2 | FSxpara Lustre, os sistemas de arquivos devem ser configurados para copiar tags para backups | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | LOW | Periódico | |
Glue.1 | AWS Glue os trabalhos devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Glue.2 | AWS Glue os trabalhos devem ter o registro ativado | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações | |
Glue.3 | AWS Glue as transformações de aprendizado de máquina devem ser criptografadas em repouso | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações | |
GlobalAccelerator1. | Os aceleradores do Global Accelerator devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
GuardDuty1. | GuardDuty deve ser habilitado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Periódico |
GuardDuty.2 | GuardDuty os filtros devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
GuardDuty.3 | GuardDuty IPSetsdeve ser marcado | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
GuardDuty.4 | GuardDuty detectores devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
GuardDuty5. | GuardDuty EKSO monitoramento do registro de auditoria deve estar ativado | AWS Melhores práticas básicas de segurança v1.0.0 | HIGH | Periódico | |
GuardDuty.6 | GuardDuty A Proteção Lambda deve estar ativada | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | Periódico | |
GuardDuty7. | GuardDuty EKSO monitoramento de tempo de execução deve estar ativado | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | MEDIUM | Periódico | |
GuardDuty8. | GuardDuty A proteção contra malware para EC2 deve estar ativada | AWS Melhores práticas básicas de segurança v1.0.0 | HIGH | Periódico | |
GuardDuty9. | GuardDuty RDSA proteção deve estar ativada | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | Periódico | |
GuardDuty.10 | GuardDuty A proteção S3 deve estar ativada | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | Periódico | |
IAM1. | IAMas políticas não devem permitir privilégios administrativos “*” completos | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, PCI DSS v3.2.1, Foundations Benchmark v1.4.0 AWS Control Tower, SP 800-53 Rev. 5 CIS AWS NIST | HIGH | |
Acionado por alterações |
IAM.2 | IAMos usuários não devem ter IAM políticas anexadas | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | LOW | |
Acionado por alterações |
IAM.3 | IAMas chaves de acesso dos usuários devem ser trocadas a cada 90 dias ou menos | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: NIST PCI DSS AWS Control Tower | MEDIUM | |
Periódico |
IAM.4 | IAMa chave de acesso do usuário root não deve existir | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, Service Managed Standard:, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | |
Periódico |
IAM5. | MFAdeve ser habilitado para todos os IAM usuários que tenham uma senha de console | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: NIST PCI DSS AWS Control Tower | MEDIUM | |
Periódico |
IAM.6 | O hardware MFA deve estar habilitado para o usuário root | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, SP 800-53 Rev. 5, v3.2.1, v4.0.1, NIST Padrão gerenciado por serviços: PCI DSS PCI DSS AWS Control Tower | CRITICAL | |
Periódico |
IAM7. | As políticas de senha para IAM usuários devem ter configurações fortes | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Periódico |
IAM8. | As credenciais de IAM usuário não utilizadas devem ser removidas | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, Padrão gerenciado por serviços: PCI DSS PCI DSS AWS Control Tower | MEDIUM | |
Periódico |
IAM9. | MFAdeve ser habilitado para o usuário root | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, SP CIS AWS 800-53 Rev. 5, v3.2.1, v4.0.1 NIST PCI DSS PCI DSS | CRITICAL | |
Periódico |
IAM.10 | As políticas de senha para IAM usuários devem ter configurações fortes | PCIDSSv3.2.1, v4.0.1 PCI DSS | MEDIUM | |
Periódico |
IAM1.1 | Certifique-se de que IAM a política de senha exija pelo menos uma letra maiúscula | CIS AWS Benchmark de fundamentos v1.2.0, v4.0.1 PCI DSS | MEDIUM | |
Periódico |
IAM1.2 | Certifique-se de que IAM a política de senha exija pelo menos uma letra minúscula | CIS AWS Benchmark de fundamentos v1.2.0, v4.0.1 PCI DSS | MEDIUM | |
Periódico |
IAM1.3 | Certifique-se de que IAM a política de senha exija pelo menos um símbolo | CIS AWS Benchmark de fundamentos v1.2.0, v4.0.1 PCI DSS | MEDIUM | |
Periódico |
IAM1.4 | Certifique-se de que IAM a política de senha exija pelo menos um número | CIS AWS Benchmark de fundamentos v1.2.0, v4.0.1 PCI DSS | MEDIUM | |
Periódico |
IAM1.5 | Certifique-se de que IAM a política de senha exija um tamanho mínimo de senha de 14 ou mais | CIS AWS Benchmark de fundamentos v3.0.0, Benchmark de fundamentos v1.4.0, Benchmark de CIS AWS fundamentos v1.2.0 CIS AWS | MEDIUM | |
Periódico |
IAM1.6 | Certifique-se de que IAM a política de senha impeça a reutilização de senhas | CIS AWS Benchmark de fundamentos v3.0.0, Benchmark de fundamentos v1.4.0, Benchmark de CIS AWS fundamentos v1.2.0, v4.0.1 CIS AWS PCI DSS | LOW | |
Periódico |
IAM1.7 | Garanta que IAM a política de senhas expire as senhas em 90 dias ou menos | CIS AWS Benchmark de fundamentos v1.2.0, v4.0.1 PCI DSS | LOW | |
Periódico |
IAM1.8 | Garanta que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support | CIS AWS Benchmark de fundamentos v3.0.0, Benchmark de fundamentos v1.4.0, Benchmark de CIS AWS fundamentos v1.2.0, v4.0.1 CIS AWS PCI DSS | LOW | |
Periódico |
IAM1.9 | MFAdeve ser habilitado para todos os IAM usuários | NISTSP 800-53 Rev. 5, v3.2.1, v4.0.1 PCI DSS PCI DSS | MEDIUM | |
Periódico |
IAM2.1 | IAMas políticas gerenciadas pelo cliente que você cria não devem permitir ações curinga para serviços | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Acionado por alterações |
IAM2.2 | IAMcredenciais de usuário não utilizadas por 45 dias devem ser removidas | CIS AWS Benchmark de fundações v3.0.0, Benchmark de fundamentos v1.4.0 CIS AWS | MEDIUM | |
Periódico |
IAM2.3 | IAMOs analisadores do Access Analyzer devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
IAM2.4 | IAMas funções devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
IAM2,5 | IAMos usuários devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
IAM2,6 | ExpiradosSSL/TLScertificados gerenciados em IAM devem ser removidos | CIS AWS Benchmark de fundações v3.0.0 | MEDIUM | Periódico | |
IAM2.7 | IAMidentidades não devem ter a AWSCloudShellFullAccess política anexada | CIS AWS Benchmark de fundações v3.0.0 | MEDIUM | Acionado por alterações | |
IAM2.8 | IAMAnalisador de acesso: o analisador de acesso externo deve estar ativado | CIS AWS Benchmark de fundações v3.0.0 | HIGH | Periódico | |
Inspector.1 | O EC2 escaneamento do Amazon Inspector deve estar ativado | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | Periódico | |
Inspector.2 | O ECR escaneamento do Amazon Inspector deve estar ativado | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | Periódico | |
Inspector.3 | A varredura de código do Lambda pelo Amazon Inspector deve estar habilitada | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | Periódico | |
Inspector.4 | A varredura padrão do Lambda pelo Amazon Inspector deve estar habilitada | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | Periódico | |
IoT.1 | AWS IoT Device Defender perfis de segurança devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
IoT.2 | AWS IoT Core ações de mitigação devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
IoT.3 | AWS IoT Core as dimensões devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
IoT.4 | AWS IoT Core os autorizadores devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
IoT.5 | AWS IoT Core aliases de função devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
IoT.6 | AWS IoT Core as políticas devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Kinesis.1 | Os fluxos do Kinesis devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
Kinesis.2 | Os fluxos do Kinesis devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Kinesis.3 | Os fluxos do Kinesis devem ter um período de retenção de dados adequado | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações | |
KMS1. | IAMas políticas gerenciadas pelo cliente não devem permitir ações de descriptografia em todas as chaves KMS | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
KMS.2 | IAMos diretores não devem ter políticas IAM embutidas que permitam ações de descriptografia em todas as chaves KMS | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
KMS.3 | AWS KMS keys não deve ser excluído acidentalmente | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | CRITICAL | |
Acionado por alterações |
KMS.4 | AWS KMS key a rotação deve ser ativada | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, SP CIS AWS 800-53 Rev. 5, v3.2.1, v4.0.1 NIST PCI DSS PCI DSS | MEDIUM | |
Periódico |
KMS5. | KMSas chaves não devem estar acessíveis ao público | AWS Melhores práticas básicas de segurança v1.0.0 | CRITICAL | Acionado por alterações | |
Lambda.1 | As funções do Lambda devem proibir o acesso público | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviços: PCI DSS AWS Control Tower | CRITICAL | |
Acionado por alterações |
Lambda.2 | As funções do Lambda devem usar os tempos de execução compatíveis | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
Lambda.3 | As funções Lambda devem estar em um VPC | PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 | LOW | |
Acionado por alterações |
Lambda.5 | VPCAs funções Lambda devem operar em várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
Lambda.6 | As funções do Lambda devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Macie.1 | O Amazon Macie deve ser habilitado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Periódico |
Macie.2 | A descoberta automatizada de dados confidenciais do Macie deve estar habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | Periódico | |
MSK1. | MSKos clusters devem ser criptografados em trânsito entre os nós do corretor | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
MSK.2 | MSKos clusters devem ter um monitoramento aprimorado configurado | NISTSP 800-53 Rev. 5 | LOW | |
Acionado por alterações |
MSK.3 | MSKOs conectores Connect devem ser criptografados em trânsito | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | MEDIUM | Acionado por alterações | |
MQ.2 | Os corretores ActiveMQ devem transmitir os registros de auditoria para CloudWatch | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Acionado por alterações | |
MQ.3 | Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | Acionado por alterações | |
MQ.4 | Os agentes do Amazon MQ devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
MQ.5 | Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera | NISTSP 800-53 Rev. 5, padrão gerenciado por serviços: AWS Control Tower | LOW | |
Acionado por alterações |
MQ.6 | Os agentes do RabbitMQ devem usar o modo de implantação de cluster | NISTSP 800-53 Rev. 5, padrão gerenciado por serviços: AWS Control Tower | LOW | |
Acionado por alterações |
Neptune.1 | Os clusters de banco de dados Neptune devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MEDIUM | |
Acionado por alterações |
Neptune.2 | Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
Neptune.3 | Os instantâneos do cluster de banco de dados Neptune não devem ser públicos | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | CRITICAL | |
Acionado por alterações |
Neptune.4 | O cluster de banco de dados do Neptune deve ter a proteção contra exclusão habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | LOW | |
Acionado por alterações |
Neptune.5 | Os clusters de banco de dados Neptune devem ter backups automatizados habilitados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MEDIUM | |
Acionado por alterações |
Neptune.6 | Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MEDIUM | |
Acionado por alterações |
Neptune.7 | Os clusters de banco de dados Neptune devem ter IAM a autenticação de banco de dados ativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MEDIUM | |
Acionado por alterações |
Neptune.8 | Os clusters de banco de dados Neptune devem ser configurados para copiar tags para instantâneos | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | LOW | |
Acionado por alterações |
Neptune.9 | Os clusters de banco de dados Neptune devem ser implantados em várias zonas de disponibilidade | NISTSP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
NetworkFirewall1. | Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade | NISTSP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
NetworkFirewall.2 | O registro em log do Network Firewall deve ser habilitado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Periódico |
NetworkFirewall.3 | As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
NetworkFirewall.4 | A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos. | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
NetworkFirewall5. | A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes fragmentados. | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
NetworkFirewall.6 | O grupo de regras de firewall de rede sem estado não deve estar vazio | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
NetworkFirewall7. | Os firewalls do Network Firewall devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
NetworkFirewall8. | As políticas de firewall do Network Firewall devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
NetworkFirewall9. | Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
Opensearch.1 | OpenSearch os domínios devem ter a criptografia em repouso ativada | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços:, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | MEDIUM | |
Acionado por alterações |
Opensearch.2 | OpenSearch os domínios não devem ser acessíveis ao público | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços:, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | CRITICAL | |
Acionado por alterações |
Opensearch.3 | OpenSearch os domínios devem criptografar os dados enviados entre os nós | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
Opensearch.4 | OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
Opensearch.5 | OpenSearch os domínios devem ter o registro de auditoria ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
Opensearch.6 | OpenSearch os domínios devem ter pelo menos três nós de dados | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
Opensearch.7 | OpenSearch os domínios devem ter um controle de acesso refinado ativado | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Acionado por alterações |
Opensearch.8 | As conexões com OpenSearch domínios devem ser criptografadas usando a política de TLS segurança mais recente | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | Acionado por alterações | |
Opensearch.9 | OpenSearch domínios devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Opensearch.10 | OpenSearch os domínios devem ter a atualização de software mais recente instalada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | |
Acionado por alterações |
Opensearch.11 | OpenSearch os domínios devem ter pelo menos três nós primários dedicados | NISTSP 800-53 Rev. 5 | LOW | Periódico | |
PCA1. | AWS Private CA a autoridade de certificação raiz deve ser desativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Periódico |
RDS1. | RDSo instantâneo deve ser privado | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços:, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | CRITICAL | |
Acionado por alterações |
RDS.2 | RDSAs instâncias de banco de dados devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible | CIS AWS Foundations Benchmark v3.0.0, Melhores práticas AWS básicas de segurança v1.0.0, Padrão gerenciado por serviços: SP 800-53 Rev. 5, v3.2.1 AWS Control Tower, NIST v4.0.1 PCI DSS PCI DSS | CRITICAL | |
Acionado por alterações |
RDS.3 | RDSAs instâncias de banco de dados devem ter a criptografia em repouso ativada | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Acionado por alterações |
RDS.4 | RDSos instantâneos do cluster e os instantâneos do banco de dados devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
RDS5. | RDSAs instâncias de banco de dados devem ser configuradas com várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
RDS.6 | O monitoramento aprimorado deve ser configurado para instâncias de RDS banco de dados | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Acionado por alterações |
RDS7. | RDSos clusters devem ter a proteção contra exclusão ativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Acionado por alterações |
RDS8. | RDSAs instâncias de banco de dados devem ter a proteção contra exclusão ativada | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Acionado por alterações |
RDS9. | RDSAs instâncias de banco de dados devem publicar registros no CloudWatch Logs | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
RDS.10 | IAMa autenticação deve ser configurada para RDS instâncias | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
RDS1.1 | RDSas instâncias devem ter backups automáticos ativados | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
RDS1.2 | IAMa autenticação deve ser configurada para RDS clusters | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
RDS1.3 | RDSatualizações automáticas de versões secundárias devem ser habilitadas | CIS AWS Foundations Benchmark v3.0.0, Melhores práticas AWS básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Acionado por alterações |
RDS1.4 | Os clusters Amazon Aurora devem ter o backtracking habilitado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
RDS1.5 | RDSOs clusters de banco de dados devem ser configurados para várias zonas de disponibilidade | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
RDS1.6 | RDSOs clusters de banco de dados devem ser configurados para copiar tags para snapshots | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Acionado por alterações |
RDS1.7 | RDSAs instâncias de banco de dados devem ser configuradas para copiar tags para snapshots | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Acionado por alterações |
RDS1.8 | RDSas instâncias devem ser implantadas em um VPC | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Acionado por alterações |
RDS1.9 | As assinaturas de notificação de RDS eventos existentes devem ser configuradas para eventos críticos do cluster | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Acionado por alterações |
RDS.20 | As assinaturas de notificação de RDS eventos existentes devem ser configuradas para eventos críticos de instâncias de banco de dados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | LOW | |
Acionado por alterações |
RDS2.1 | Uma assinatura de notificações de RDS eventos deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | LOW | |
Acionado por alterações |
RDS2.2 | Uma assinatura de notificações de RDS eventos deve ser configurada para eventos críticos do grupo de segurança do banco de dados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | LOW | |
Acionado por alterações |
RDS2.3 | RDSinstâncias não devem usar uma porta padrão do mecanismo de banco de dados | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Acionado por alterações |
RDS2.4 | RDSOs clusters de banco de dados devem usar um nome de usuário de administrador personalizado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
RDS2,5 | RDSinstâncias de banco de dados devem usar um nome de usuário de administrador personalizado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
RDS2.6 | RDSAs instâncias de banco de dados devem ser protegidas por um plano de backup | NISTSP 800-53 Rev. 5 | MEDIUM | |
Periódico |
RDS2.7 | RDSOs clusters de banco de dados devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MEDIUM | |
Acionado por alterações |
RDS2.8 | RDSOs clusters de banco de dados devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
RDS2,9 | RDSOs snapshots do cluster de banco de dados devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
RDS3.0 | RDSAs instâncias de banco de dados devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
RDS3.1 | RDSGrupos de segurança de banco de dados devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
RDS3.2 | RDSOs snapshots de banco de dados devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
RDS3.3 | RDSGrupos de sub-redes de banco de dados devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
RDS3.4 | Os clusters do Aurora My SQL DB devem publicar registros de auditoria no Logs CloudWatch | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
RDS3.5 | RDSOs clusters de banco de dados devem ter a atualização automática de versões secundárias habilitada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
RDS3.6 | RDSpara instâncias de SQL banco de dados Postgre, deve publicar registros em Logs CloudWatch | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | MEDIUM | Acionado por alterações | |
RDS3.7 | Os clusters de SQL banco de dados Aurora Postgre devem publicar registros em Logs CloudWatch | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | MEDIUM | Acionado por alterações | |
Redshift.1 | Os clusters do Amazon Redshift devem proibir o acesso público | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviços: PCI DSS AWS Control Tower | CRITICAL | |
Acionado por alterações |
Redshift.2 | As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
Redshift.3 | Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
Redshift.4 | Os clusters do Amazon Redshift devem ter o registro de auditoria ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
Redshift.6 | O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
Redshift.7 | Os clusters do Redshift devem usar roteamento aprimorado VPC | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
Redshift.8 | Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
Redshift.9 | Os clusters do Redshift não devem usar o nome do banco de dados padrão | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
Redshift.10 | Os clusters do Redshift devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
Redshift.11 | Os clusters do Redshift devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Redshift.12 | As notificações de assinatura de eventos do Redshift devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Redshift.13 | Os snapshots de clusters do Redshift devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Redshift.14 | Os grupos de sub-redes de clusters do Redshift devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Redshift.15 | Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster de origens restritas | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | Periódico | |
Route53.1 | As verificações de integridade do Route 53 devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Route53.2 | As zonas hospedadas públicas do Route 53 devem registrar DNS consultas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
S3.1 | Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, Padrão gerenciado por serviços: PCI DSS PCI DSS AWS Control Tower | MEDIUM | Periódico | |
S3.2 | Os buckets de uso geral do S3 devem bloquear o acesso público para leitura | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços:, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | CRITICAL | Acionado por alterações e periódico | |
S3.3 | Os buckets de uso geral do S3 devem bloquear o acesso público para gravação | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços:, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | CRITICAL | Acionado por alterações e periódico | |
S3.5 | Os buckets de uso geral do S3 devem exigir solicitações de uso SSL | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, Padrão gerenciado por serviços: PCI DSS PCI DSS AWS Control Tower | MEDIUM | Acionado por alterações | |
S3.6 | As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | Acionado por alterações | |
S3.7 | Os buckets de uso geral do S3 devem usar replicação entre regiões | PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 | LOW | Acionado por alterações | |
S3.8 | Os buckets de uso geral do S3 devem bloquear o acesso público | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | Acionado por alterações | |
S3.9 | Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | Acionado por alterações | |
S3.10 | Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida | NISTSP 800-53 Rev. 5 | MEDIUM | Acionado por alterações | |
S3.11 | Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas | NISTSP 800-53 Rev. 5 | MEDIUM | Acionado por alterações | |
S3.12 | ACLsnão deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3 | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | Acionado por alterações | |
S3.13 | Os buckets de uso geral do S3 devem ter configurações de ciclo de vida | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | Acionado por alterações | |
S3.14 | Os buckets de uso geral do S3 devem ter o versionamento habilitado | NISTSP 800-53 Rev. 5 | LOW | Acionado por alterações | |
S3.15 | Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado | NISTSP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Acionado por alterações | |
S3.17 | Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys | NISTSP 800-53 Rev. 5, PCI DSS v4.0.1, padrão gerenciado por serviços: AWS Control Tower | MEDIUM | Acionado por alterações | |
S3.19 | Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | CRITICAL | Acionado por alterações | |
S3.20 | Os buckets de uso geral do S3 devem ter MFA a exclusão ativada | CIS AWS Benchmark de fundações v3.0.0, Benchmark de CIS AWS fundamentos v1.4.0, SP 800-53 Rev. 5 NIST | LOW | Acionado por alterações | |
S3.22 | Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto | CIS AWS Benchmark de fundações v3.0.0, v4.0.1 PCI DSS | MEDIUM | Periódico | |
S3.23 | Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto | CIS AWS Benchmark de fundações v3.0.0, v4.0.1 PCI DSS | MEDIUM | Periódico | |
S3.24 | Os pontos de acesso multirregionais do S3 devem ter as configurações de bloqueio do acesso público habilitadas | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | HIGH | Acionado por alterações | |
SageMaker IA. 1 | As instâncias do notebook Amazon SageMaker AI não devem ter acesso direto à Internet | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Periódico |
SageMaker IA.2 | SageMaker As instâncias do notebook AI devem ser lançadas de forma personalizada VPC | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Acionado por alterações |
SageMaker I.3 | Os usuários não devem ter acesso root às instâncias do notebook SageMaker AI | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Acionado por alterações |
SageMaker I.4 | SageMaker As variantes de produção de endpoints de IA devem ter uma contagem inicial de instâncias maior que 1 | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Periódico | |
SecretsManager1. | Os segredos do Secrets Manager devem ter a alternância automática ativada | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
SecretsManager.2 | Os segredos do Secrets Manager configurados com alternância automática devem girar com sucesso | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Acionado por alterações |
SecretsManager.3 | Remover segredos do Secrets Manager não utilizados | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, Padrão gerenciado por serviços: AWS Control Tower | MEDIUM | |
Periódico |
SecretsManager.4 | Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, Padrão gerenciado por serviços: PCI DSS AWS Control Tower | MEDIUM | |
Periódico |
SecretsManager5. | Os segredos do Secrets Manager devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
ServiceCatalog1. | Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma AWS organização | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | Periódico | |
SES1. | SESlistas de contatos devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
SES.2 | SESconjuntos de configuração devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
SNS1. | SNSos tópicos devem ser criptografados em repouso usando AWS KMS | NISTSP 800-53 Rev. 5 | MEDIUM | Acionado por alterações | |
SNS.3 | SNSos tópicos devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
SNS.4 | SNSas políticas de acesso a tópicos não devem permitir o acesso público | AWS Melhores práticas básicas de segurança v1.0.0 | HIGH | Acionado por alterações | |
SQS1. | SQSAs filas da Amazon devem ser criptografadas em repouso | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
SQS.2 | SQSas filas devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
SSM1. | EC2as instâncias devem ser gerenciadas por AWS Systems Manager | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços:, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | MEDIUM | |
Acionado por alterações |
SSM.2 | EC2as instâncias gerenciadas pelo Systems Manager devem ter um status de conformidade de patch COMPLIANT após a instalação de um patch | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviços: PCI DSS AWS Control Tower | HIGH | |
Acionado por alterações |
SSM.3 | EC2as instâncias gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, padrão gerenciado por serviços: PCI DSS AWS Control Tower | LOW | |
Acionado por alterações |
SSM.4 | SSMdocumentos não devem ser públicos | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | CRITICAL | |
Periódico |
StepFunctions1. | As máquinas de estado do Step Functions devem ter o registro ativado | AWS Melhores práticas básicas de segurança v1.0.0, v4.0.1 PCI DSS | MEDIUM | |
Acionado por alterações |
StepFunctions.2 | As atividades do Step Functions devem ser marcadas | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Transfer.1 | Os fluxos de trabalho do Transfer Family devem ser marcados | AWS Padrão de marcação de recursos | LOW | Acionado por alterações | |
Transfer.2 | Os servidores Transfer Family não devem usar FTP protocolo para conexão de endpoint | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Periódico | |
WAF1. | AWS WAF O ACL registro clássico da Web global deve estar ativado | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Periódico |
WAF.2 | AWS WAF As regras regionais clássicas devem ter pelo menos uma condição | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
WAF.3 | AWS WAF Os grupos de regras regionais clássicos devem ter pelo menos uma regra | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
WAF.4 | AWS WAF A web regional clássica ACLs deve ter pelo menos uma regra ou grupo de regras | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
WAF.6 | AWS WAF As regras globais clássicas devem ter pelo menos uma condição | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
WAF7. | AWS WAF Os grupos de regras globais clássicos devem ter pelo menos uma regra | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
WAF8. | AWS WAF A web global clássica ACLs deve ter pelo menos uma regra ou grupo de regras | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
WAF.10 | AWS WAF a web ACLs deve ter pelo menos uma regra ou grupo de regras | AWS Melhores práticas básicas de segurança v1.0.0, Padrão gerenciado por serviços: AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Acionado por alterações |
WAF1.1 | AWS WAF o ACL registro na web deve estar ativado | NISTSP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | |
Periódico |
WAF1.2 | AWS WAF as regras devem ter CloudWatch métricas ativadas | AWS Melhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Acionado por alterações |
WorkSpaces1. | WorkSpaces os volumes do usuário devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações | |
WorkSpaces.2 | WorkSpaces os volumes raiz devem ser criptografados em repouso | AWS Melhores práticas básicas de segurança v1.0.0 | MEDIUM | Acionado por alterações |
Tópicos
- Controles do Security Hub para o Contas da AWS
- Controles do Security Hub para API Gateway
- Controles do Security Hub para AWS AppSync
- Controles do Security Hub para o Athena
- Controles do Security Hub para o AWS Backup
- Controles do Security Hub para o ACM
- Controles do Security Hub para o AWS CloudFormation
- Controles do Security Hub para CloudFront
- Controles do Security Hub para CloudTrail
- Controles do Security Hub para o CloudWatch
- Controles do Security Hub para o CodeArtifact
- Controles do Security Hub para CodeBuild
- Controles do Security Hub para AWS Config
- Controles do Security Hub para o Amazon Data Firehose
- Controles do Security Hub para o DataSync
- Controles do Security Hub para o Detective
- Controles do Security Hub para AWS DMS
- Controles do Security Hub para o Amazon DocumentDB
- Controles do Security Hub para o DynamoDB
- Controles do Security Hub para Amazon EC2
- Controles do Security Hub para o Auto Scaling
- Controles do Security Hub para Amazon ECR
- Controles do Security Hub para Amazon ECS
- Controles do Security Hub para Amazon EFS
- Controles do Security Hub para Amazon EKS
- Controles do Security Hub para ElastiCache
- Controles do Security Hub para o Elastic Beanstalk
- Controles do Security Hub para o Elastic Load Balancing
- Security Hub para Elasticsearch
- Controles do Security Hub para Amazon EMR
- Controles do Security Hub para EventBridge
- Controles do Security Hub para Amazon FSx
- Controles do Security Hub para o Global Accelerator
- Controles do Security Hub para o AWS Glue
- Controles do Security Hub para GuardDuty
- Controles do Security Hub para o IAM
- Controles do Security Hub para o Amazon Inspector
- Controles do Security Hub para o AWS IoT
- Controles do Security Hub para o Kinesis
- Controles do Security Hub para AWS KMS
- Controles do Security Hub para o Lambda
- Controles do Security Hub para o Macie
- Controles do Security Hub para Amazon MSK
- Controles do Security Hub para o Amazon MQ
- Controles do Security Hub para o Neptune
- Controles do Security Hub para o Network Firewall
- Controles do Security Hub para OpenSearch serviços
- Controles do Security Hub para o AWS Private CA
- Controles do Security Hub para Amazon RDS
- Controles do Security Hub para o Amazon Redshift
- Controles do Security Hub para o Route 53
- Controles do Security Hub para o Amazon S3
- Controles do Security Hub para SageMaker IA
- Controles do Security Hub para o Secrets Manager
- Controles do Security Hub para o Service Catalog
- Controles do Security Hub para o Amazon SES
- Controles do Security Hub para Amazon SNS
- Controles do Security Hub para o Amazon SQS
- Controles do Security Hub para o Step Functions
- Controles do Security Hub para o Systems Manager
- Controles do Security Hub para o Transfer Family
- Controles do Security Hub para AWS WAF
- Controles do Security Hub para o WorkSpaces