Indicador de referencia de CIS AWS Foundations
El Indicador de referencia de AWS de Center for Internet Security (CIS) sirve como un conjunto de prácticas recomendadas de configuración de seguridad para AWS. Estas mejores prácticas aceptadas por la industria le proporcionan procedimientos de implementación y evaluación claros y paso a paso. Desde sistemas operativos hasta servicios en la nube y dispositivos de red, los controles de este punto de referencia le ayudan a proteger los sistemas específicos que utiliza su organización.
AWS Security Hub es compatible con el Indicador de referencia de AWS v3.0.0, 1.4.0 y v1.2.0 de CIS.
Esta página enumera los controles de seguridad compatibles con cada versión y proporciona una comparación de las versiones.
Indicador de referencia de AWS v3.0.0 de CIS
Security Hub es compatible con la versión 3.0.0 del Indicador de referencia de AWS de CIS.
Security Hub ha satisfecho los requisitos de la certificación de CIS Security Software, por lo que ha recibido dicha certificación para los siguientes indicadores de referencia de CIS:
-
Indicador de CIS para el Indicador de referencia de AWS v3.0.0 de CIS, nivel 1
-
Indicador de CIS para el Indicador de referencia de AWS v3.0.0 de CIS, nivel 2
Controles que se aplican al Indicador de referencia de AWS v3.0.0 de CIS
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo
[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC
[EC2.7] El cifrado predeterminado de EBS debe estar activado
[EC2.8] Las instancias EC2 deben utilizar el servicio de metadatos de instancias versión 2 (IMDSv2)
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
[IAM.9] La MFA debe estar habilitada para el usuario raíz
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
La rotación de claves AWS KMS [KMS.4] debe estar habilitada
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas
[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL
[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
CIS AWS Foundations Benchmark v1.4.0
Security Hub es compatible con v1.4.0 de CIS AWS Foundations Benchmark.
Controles que se aplican a CIS AWS Foundations Benchmark v1.4.0
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo
[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada
[CloudTrail.5] Las rutas de CloudTrail deben integrarse con Registros de Amazon CloudWatch
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC
[EC2.7] El cifrado predeterminado de EBS debe estar activado
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
[IAM.9] La MFA debe estar habilitada para el usuario raíz
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
La rotación de claves AWS KMS [KMS.4] debe estar habilitada
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL
[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0
Security Hub es compatible con el Indicador de referencia de AWS 1.2.0 de CIS
Security Hub ha satisfecho los requisitos de la certificación de CIS Security Software, por lo que ha recibido dicha certificación para los siguientes indicadores de referencia de CIS:
-
CIS Benchmark para CIS AWS Foundations Benchmark, v1.2.0, nivel 1
-
CIS Benchmark para CIS AWS Foundations Benchmark, v1.2.0, nivel 2
Controles que se aplican a CIS AWS Foundations Benchmark v1.2.0
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo
[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada
[CloudTrail.5] Las rutas de CloudTrail deben integrarse con Registros de Amazon CloudWatch
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC
[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
[IAM.9] La MFA debe estar habilitada para el usuario raíz
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
La rotación de claves AWS KMS [KMS.4] debe estar habilitada
Comparación de versiones del Indicador de referencia de AWS de CIS
En esta sección se resumen las diferencias entre las versiones v3.0.0, 1.4.0 y 1.2.0 del Indicador de referencia de AWS de Center for Internet Security (CIS).
Security Hub es compatible con cada una de estas versiones del Indicador de referencia de AWS de CIS, pero recomendamos usar la v3.0.0 para estar al día con las prácticas recomendadas de seguridad. Puede tener varias versiones del estándar habilitadas al mismo tiempo. Para obtener instrucciones sobre cómo habilitar los estándares, consulte Habilitación de un estándar de seguridad en Security Hub. Si desea actualizar a la v3.0.0, es mejor habilitarla primero antes de deshabilitar una versión anterior. Si utiliza la integración de Security Hub con AWS Organizations para administrar de forma centralizada varias Cuentas de AWS y quiere habilitar por lotes la v3.0.0 en todas las cuentas, puede utilizar la configuración centralizada.
Asignación de los controles a los requisitos del CIS en cada versión
Comprenda qué controles admite cada versión del Indicador de referencia de AWS de CIS.
ID y título de control | Requisito del CIS v3.0.0 | Requisito del CIS v1.4.0 | Requisito del CIS v1.2.0 |
---|---|---|---|
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS |
1.2 |
1.2 |
1.18 |
3.1 |
3.1 |
2.1 |
|
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo |
3.5 |
3.7 |
2.7 |
[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada |
3.2 |
3.2 |
2.2 |
[CloudTrail.5] Las rutas de CloudTrail deben integrarse con Registros de Amazon CloudWatch |
No compatible: el CIS eliminó este requisito |
3.4 |
2.4 |
No compatible: el CIS eliminó este requisito |
3.3 |
2.3 |
|
3.4 |
3.6 |
2.6 |
|
No compatible: comprobación manual |
4.3 |
3.3 |
|
No compatible: comprobación manual |
No compatible: comprobación manual |
3.1 |
|
No compatible: comprobación manual |
No compatible: comprobación manual |
3.2 |
|
No compatible: comprobación manual |
4.4 |
3.4 |
|
No compatible: comprobación manual |
4.5 |
3.5 |
|
No compatible: comprobación manual |
4.6 |
3.6 |
|
No compatible: comprobación manual |
4.7 |
3.7 |
|
No compatible: comprobación manual |
4.8 |
3.8 |
|
No compatible: comprobación manual |
4.9 |
3.9 |
|
No compatible: comprobación manual |
4.10 |
3.10 |
|
No compatible: comprobación manual |
4.11 |
3.11 |
|
No compatible: comprobación manual |
4.12 |
3.12 |
|
No compatible: comprobación manual |
4.13 |
3.13 |
|
No compatible: comprobación manual |
4.14 |
3.14 |
|
3.3 |
3.5 |
2,5 |
|
5.4 |
5.3 |
4.3 |
|
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC |
3.7 |
3.9 |
2.9 |
[EC2.7] El cifrado predeterminado de EBS debe estar activado |
2.2.1 |
2.2.1 |
No compatible |
[EC2.8] Las instancias EC2 deben utilizar el servicio de metadatos de instancias versión 2 (IMDSv2) |
5.6 |
No admitido |
No admitido |
[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22 |
No compatible: se sustituyó por los requisitos 5.2 y 5.3 |
No compatible: se sustituyó por los requisitos 5.2 y 5.3 |
4.1 |
[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389 |
No compatible: se sustituyó por los requisitos 5.2 y 5.3 |
No compatible: se sustituyó por los requisitos 5.2 y 5.3 |
4.2 |
[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389 |
5.1 |
5.1 |
No compatible |
5.2 |
No admitido |
No admitido |
|
5.3 |
No admitido |
No admitido |
|
2.4.1 |
No admitido |
No admitido |
|
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*” |
No admitido |
1.16 |
1.22 |
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas |
1.15 |
No compatible |
1.16 |
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos |
1.14 |
1.14 |
1.4 |
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir |
1.4 |
1.4 |
1.12 |
1.10 |
1.10 |
1.2 |
|
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz |
1.6 |
1.6 |
1.14 |
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas |
No se admite: consulte [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días en su lugar |
No se admite: consulte [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días en su lugar |
1.3 |
1.5 |
1.5 |
1.13 |
|
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.5 |
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.6 |
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.7 |
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.8 |
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más |
1.8 |
1.8 |
1.9 |
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas |
1.9 |
1.9 |
1.10 |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.11 |
|
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support |
1,17 |
1,17 |
1.2 |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.1 |
|
1.12 |
1.12 |
No compatible: el CIS agregó este requisito en versiones posteriores |
|
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse |
1.19 |
No compatible: el CIS agregó este requisito en versiones posteriores |
No compatible: el CIS agregó este requisito en versiones posteriores |
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess |
1.22 |
No compatible: el CIS agregó este requisito en versiones posteriores |
No compatible: el CIS agregó este requisito en versiones posteriores |
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse |
1.20 |
No compatible: el CIS agregó este requisito en versiones posteriores |
No compatible: el CIS agregó este requisito en versiones posteriores |
3.6 |
3.8 |
2.8 |
|
No compatible: comprobación manual |
No compatible: comprobación manual |
No compatible: comprobación manual |
|
2.3.3 |
No compatible: el CIS agregó este requisito en versiones posteriores |
No compatible: el CIS agregó este requisito en versiones posteriores |
|
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo |
2.3.1 |
2.3.1 |
No compatible: el CIS agregó este requisito en versiones posteriores |
Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas |
2.3.2 |
No compatible: el CIS agregó este requisito en versiones posteriores |
No compatible: el CIS agregó este requisito en versiones posteriores |
[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público |
2.1.4 |
2.1.5 |
No compatible: el CIS agregó este requisito en versiones posteriores |
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL |
2.1.1 |
2.1.2 |
No compatible: el CIS agregó este requisito en versiones posteriores |
[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público |
2.1.4 |
2.1.5 |
No compatible: el CIS agregó este requisito en versiones posteriores |
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA |
2.1.2 |
2.1.3 |
No compatible: el CIS agregó este requisito en versiones posteriores |
ARN para el Indicador de referencia de AWS de CIS
Cuando active una o más versiones del Indicador de referencia de AWS de CIS, empezará a recibir los resultados en el formato de resultados de seguridad de AWS (ASFF). En el ASFF, cada versión utiliza el siguiente nombre de recurso de Amazon (ARN):
- Indicador de referencia de AWS v3.0.0 de CIS
arn:aws:securityhub:
region
::standards/cis-aws-foundations-benchmark/v/3.0.0- Indicador de referencia de AWS v1.4.0 de CIS
arn:aws:securityhub:
region
::standards/cis-aws-foundations-benchmark/v/1.4.0- Indicador de referencia de AWS v1.2.0 de CIS
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
Puede utilizar la operación GetEnabledStandards de la API de Security Hub para averiguar el ARN de un estándar habilitado.
Los valores anteriores son para StandardsArn
. Sin embargo, StandardsSubscriptionArn
hace referencia al recurso de suscripción estándar que Security Hub crea cuando se suscribe a un estándar llamando a BatchEnableStandards en una región.
nota
Cuando habilita una versión del Indicador de referencia de AWS de CIS, Security Hub puede tardar hasta 18 horas en generar los resultados de los controles que utilizan la misma regla de AWS Config vinculada a servicios que los controles habilitados en otros estándares habilitados. Para obtener más información sobre el programa para generar resultados de control, consulte Programación para ejecutar comprobaciones de seguridad.
Los campos de resultados serán diferentes si activa los resultados de los controles consolidados. Para obtener más información sobre estas diferencias, consulte Impacto de la consolidación en los campos y valores ASFF. Para ver ejemplos de los resultados de los controles, consulte Ejemplos de resultados de control en Security Hub.
Requisitos del CIS que no se admiten en Security Hub
Como se indica en la tabla anterior, Security Hub no admite todos los requisitos del CIS en todas las versiones del Indicador de referencia de AWS de CIS. Muchos de los requisitos no compatibles solo se pueden evaluar de forma manual revisando el estado de los recursos de AWS.