CIS AWS Benchmark v1.2.0 - AWS Audit Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CIS AWS Benchmark v1.2.0

AWS Audit Manager proporciona dos marcos prediseñados que respaldan el Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0.

nota
  • Para obtener información sobre los marcos de Audit Manager compatibles con la versión 1.3.0, consulte CIS AWS Benchmark v1.3.0.

  • Para obtener información sobre los marcos de Audit Manager compatibles con la versión 1.4.0, consulte CIS AWS Benchmark v1.4.0.

¿Qué es? CIS

CISEs una organización sin fines de lucro que desarrolló el CIS AWS Foundations Benchmark. Este punto de referencia sirve como un conjunto de mejores prácticas de configuración de seguridad para AWS. Estas mejores prácticas aceptadas por la industria van más allá de las directrices de seguridad de alto nivel ya disponibles, ya que proporcionan procedimientos claros de step-by-step implementación y evaluación.

Para obtener más información, consulte las publicaciones del blog de CIS AWS Foundations Benchmark en el blog AWS de seguridad.

Diferencia entre CIS puntos de referencia y CIS controles

CISLos puntos de referencia son pautas de mejores prácticas de seguridad específicas para los productos de los proveedores. Desde sistemas operativos hasta servicios en la nube y dispositivos de red, la configuración que se aplica desde un punto de referencia protege los sistemas específicos que utiliza su organización. CISLos controles son pautas fundamentales de mejores prácticas que deben seguir los sistemas a nivel de organización para ayudar a protegerse contra los vectores de ciberataques conocidos.

Ejemplos
  • CISLos puntos de referencia son prescriptivos. Por lo general, hacen referencia a una configuración específica que se puede revisar y establecer en el producto del proveedor.

    Ejemplo: CIS AWS Benchmark v1.2.0: asegúrese de que MFA esté activado para la cuenta de «usuario root».

    Esta recomendación proporciona una guía prescriptiva sobre cómo comprobarlo y cómo configurarlo en la cuenta raíz del entorno. AWS

  • CISLos controles son para su organización en su conjunto. No son específicos de un solo producto de un proveedor.

    Ejemplo: CIS v7.1: utilice la autenticación multifactor para todos los accesos administrativos

    Este control describe lo que se espera que se aplique en su organización. No describe cómo debe aplicarlo a los sistemas y las cargas de trabajo que ejecuta (independientemente de dónde se encuentren).

Uso de este marco

Puede utilizar los marcos de CIS AWS Benchmark v1.2 como ayuda AWS Audit Manager para prepararse para las auditorías. CIS También puede personalizar estos marcos y sus controles para respaldar las auditorías internas con requisitos específicos.

Si utiliza los marcos como punto de partida, puede crear una evaluación de Audit Manager y empezar a recopilar pruebas relevantes para su auditoría. Tras crear una evaluación, Audit Manager comienza a evaluar sus AWS recursos. Lo hace en función de los controles que se definen en el CIS marco. Cuando llegue el momento de realizar una auditoría, usted (o la persona que designe) puede revisar las pruebas que recopiló Audit Manager. Además, puede examinar las carpetas de las pruebas en la evaluación y seleccionar qué pruebas desea incluir en su informe de evaluación. O bien, si ha activado el buscador de pruebas, puede buscar pruebas específicas y exportarlas en CSV formato, o bien crear un informe de evaluación a partir de los resultados de la búsqueda. En cualquier caso, puede utilizar este informe de evaluación para demostrar que sus controles funcionan según lo previsto.

Los detalles del marco son los siguientes:

Nombre del marco en AWS Audit Manager Número de controles automatizados Número de controles manuales Número de conjuntos de control
Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, nivel 1 33 3 4
Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, niveles 1 y 2 45 4 4
importante

Para garantizar que estos marcos recopilen las pruebas previstas AWS Security Hub, asegúrese de haber activado todos los estándares en Security Hub.

Para garantizar que estos marcos recopilen las pruebas previstas AWS Config, asegúrese de habilitar las AWS Config reglas necesarias. Para revisar una lista de las AWS Config reglas que se utilizan como mapeos de fuentes de datos para estos marcos estándar, descargue los siguientes archivos:

Los controles de estos marcos no están diseñados para verificar si sus sistemas cumplen con las mejores prácticas de Benchmark. CIS AWS Además, no pueden garantizar que supere una CIS auditoría. AWS Audit Manager no comprueba automáticamente los controles procedimentales que requieren la recopilación manual de pruebas.

Puede encontrar estos marcos en la pestaña Marcos estándar de la biblioteca de marcos en Audit Manager.

Requisitos previos para utilizar estos marcos de trabajo

Muchos controles de los marcos de CIS AWS Benchmark v1.2 se utilizan AWS Config como tipo de fuente de datos. Para admitir estos controles, debe activarlos AWS Config en todas las cuentas en las que Región de AWS haya activado Audit Manager. También debe asegurarse de que AWS Config las reglas específicas estén habilitadas y de que estas reglas estén configuradas correctamente.

Se requieren las siguientes AWS Config reglas y parámetros para recopilar las pruebas correctas y determinar un estado de cumplimiento preciso de la versión 1.2 de CIS AWS Foundations Benchmark. Para obtener instrucciones sobre cómo habilitar o configurar una norma, consulte Trabajar con las normas administradas de AWS Config.

Regla obligatoria AWS Config Parámetros necesarios
ACCESS_KEYS_ROTATED
maxAccessKeyAge
  • El número máximo de días sin rotación.

  • Tipo: Int

  • Predeterminado: 90 días

  • Requisito de cumplimiento: un máximo de 90 días

CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED No aplicable
CLOUD_TRAIL_ENCRYPTION_ENABLED No aplicable
CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED No aplicable
CMK_BACKING_KEY_ROTATION_ENABLED No aplicable
IAM_PASSWORD_POLICY
MaxPasswordAge (opcional)
  • El número de días antes de la contraseña venza.

  • Tipo: int

  • Predeterminado: 90

  • Requisito de cumplimiento: un máximo de 90 días

IAM_PASSWORD_POLICY
MinimumPasswordLength (opcional)
  • La longitud mínima de la contraseña.

  • Tipo: int

  • Predeterminado: 14

  • Requisito de cumplimiento: 14 caracteres como mínimo

IAM_PASSWORD_POLICY
PasswordReusePrevention (opcional)
  • El número de contraseñas antes de que se permita reutilizarlas.

  • Tipo: int

  • Predeterminado: 24

  • Requisito de cumplimiento: un mínimo de 24 contraseñas antes de volver a utilizarlas

IAM_PASSWORD_POLICY
RequireLowercaseCharacters (opcional)
  • Requiere que al menos haya un carácter en minúscula en la contraseña.

  • Tipo: Booleano

  • Valor predeterminado: True

  • Requisito de conformidad: al menos un carácter en minúscula

IAM_PASSWORD_POLICY
RequireNumbers (opcional)
  • Requiere que al menos haya un número en la contraseña.

  • Tipo: Booleano

  • Valor predeterminado: True

  • Requisito de cumplimiento: al menos un carácter numérico

IAM_PASSWORD_POLICY
RequireSymbols (opcional)
  • Requiere que al menos haya un símbolo en la contraseña.

  • Tipo: Booleano

  • Valor predeterminado: True

  • Requisito de conformidad: al menos un símbolo

IAM_PASSWORD_POLICY
RequireUppercaseCharacters (opcional)
  • Requiere que al menos haya un carácter en mayúscula en la contraseña.

  • Tipo: Booleano

  • Valor predeterminado: True

  • Requisito de conformidad: al menos un carácter en mayúscula

IAM_ POLICY _IN_ USE

policyARN
  • Una IAM política ARN que debe comprobarse.

  • Tipo: cadena

  • Requisito de cumplimiento: crea una IAM función para gestionar los incidentes AWS.

policyUsageType (opcional)
  • Especifica si espera que la política se adjunte a un usuario, grupo o rol.

  • Tipo: cadena

  • Valores válidos: IAM_USER | IAM_GROUP | IAM_ROLE | ANY

  • Valor predeterminado: ANY

  • Requisito de cumplimiento: adjunte la política de confianza al IAM rol creado

IAM_ POLICY _NO_ _ _ STATEMENTS _ WITH ADMIN ACCESS No aplicable
IAM_ROOT_ACCESS_KEY_CHECK No aplicable
IAM_ _NO_ _ USER POLICIES CHECK No aplicable
IAM_USER_UNUSED_CREDENTIALS_CHECK
maxCredentialUsageAge
  • El número máximo de días durante los que no se puede usar una credencial.

  • Tipo: Int

  • Predeterminado: 90 días

  • Requisito de cumplimiento: 90 días o más

INCOMING_SSH_DISABLED No aplicable
MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS No aplicable
MULTI_REGION_CLOUD_TRAIL_ENABLED No aplicable
RESTRICTED_INCOMING_TRAFFIC
blockedPort1 (opcional)
  • El número de TCP puerto bloqueado.

  • Tipo: int

  • Predeterminado: 20

  • Requisito de cumplimiento: asegúrese de que ningún grupo de seguridad permita la entrada en los puertos bloqueados

blockedPort2 (opcional)
  • El número de TCP puerto bloqueado.

  • Tipo: int

  • Predeterminado: 21

  • Requisito de cumplimiento: asegúrese de que ningún grupo de seguridad permita la entrada en los puertos bloqueados

blockedPort3 (opcional)
  • El número de TCP puerto bloqueado.

  • Tipo: int

  • Valor predeterminado: 3389

  • Requisito de cumplimiento: asegúrese de que ningún grupo de seguridad permita la entrada en los puertos bloqueados

blockedPort4 (opcional)
  • El número de TCP puerto bloqueado.

  • Tipo: int

  • Predeterminado: 3306

  • Requisito de cumplimiento: asegúrese de que ningún grupo de seguridad permita la entrada en los puertos bloqueados

blockedPort5 (opcional)
  • El número de TCP puerto bloqueado.

  • Tipo: int

  • Predeterminado: 4333

  • Requisito de cumplimiento: asegúrese de que ningún grupo de seguridad permita la entrada en los puertos bloqueados

ROOT_ACCOUNT_HARDWARE_MFA_ENABLED No aplicable
ROOT_ACCOUNT_MFA_ENABLED No aplicable
S3_ _ _ BUCKET LOGGING ENABLED
targetBucket (opcional)
  • El bucket de S3 de destino para almacenar registros de acceso al servidor.

  • Tipo: cadena

  • Requisito de conformidad: habilitar el registro

targetPrefix (opcional)
  • El prefijo del bucket de S3 para almacenar registros de acceso al servidor.

  • Tipo: cadena

  • Requisito de conformidad: identifique el depósito S3 para el registro CloudTrail

S3_ _ _ BUCKET _ PUBLIC READ PROHIBITED No aplicable
VPC_DEFAULT_SECURITY_GROUP_CLOSED No aplicable
VPC_FLOW_LOGS_ENABLED
trafficType (opcional)
  • El trafficType de los registros de flujo.

  • Tipo: cadena

  • Requisito de cumplimiento: el registro de flujos está habilitado

Siguientes pasos

Para obtener instrucciones sobre cómo crear una evaluación mediante el uso de estos marcos, consulte Crear una evaluación en AWS Audit Manager.

Para obtener instrucciones sobre cómo personalizar estos marcos para que se adapten a sus requisitos específicos, consulte. Hacer una copia editable de un marco existente en AWS Audit Manager

Recursos adicionales de