Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 y v1.4.0 - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 y v1.4.0

El CIS AWS Foundations Benchmark sirve como un conjunto de mejores prácticas de configuración de seguridad para AWS. Estas mejores prácticas aceptadas por la industria le proporcionan procedimientos de step-by-step implementación y evaluación claros. Desde sistemas operativos hasta servicios en la nube y dispositivos de red, los controles de este punto de referencia le ayudan a proteger los sistemas específicos que utiliza su organización.

AWS Security Hub es compatible con CIS AWS Foundations Benchmark v1.2.0 y v1.4.0.

En esta página se enumeran los identificadores y los títulos de los controles de seguridad. En las Regiones de AWS GovCloud (US) Region y China, se utilizan títulos e identificadores de control específicos de la norma. Para ver un mapeo de los identificadores y títulos de los controles de seguridad con los identificadores y títulos de control específicos de la norma, consulte Cómo afecta la consolidación a las identificaciones y títulos de control.

Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

Security Hub ha satisfecho los requisitos de la certificación de CIS Security Software, por lo que ha recibido dicha certificación para los siguientes indicadores de referencia de CIS:

  • CIS Benchmark para CIS AWS Foundations Benchmark, v1.2.0, nivel 1

  • CIS Benchmark para CIS AWS Foundations Benchmark, v1.2.0, nivel 2

Controles que se aplican a CIS AWS Foundations Benchmark v1.2.0

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas

[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA

[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM

[CloudWatch.5] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar los cambios de CloudTrail AWS Config duración

[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación

[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente

[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3

[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración

[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad

[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)

[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red

[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas

[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC

[Config.1] AWS Config debe estar habilitado

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22

[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos "*"

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.20] Evite el uso del usuario raíz

La rotación de claves AWS KMS [KMS.4] debe estar habilitada

Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0

Security Hub es compatible con v1.4.0 de CIS AWS Foundations Benchmark.

Controles que se aplican a CIS AWS Foundations Benchmark v1.4.0

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM

[CloudWatch.5] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar los cambios de CloudTrail AWS Config duración

[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación

[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente

[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3

[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración

[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad

[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)

[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red

[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas

[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC

[Config.1] AWS Config debe estar habilitado

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar activado

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0/0 al puerto 22 o al puerto 3389

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos "*"

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

La rotación de claves AWS KMS [KMS.4] debe estar habilitada

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

[S3.1] La configuración de Bloqueo de acceso público de S3 debe estar habilitada

Los buckets S3 [S3.5] deberían requerir solicitudes para usar Secure Socket Layer

La configuración de acceso público al bucket S3 [S3.8] debe estar habilitada en el nivel del bucket

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

Comparación entre CIS AWS Foundations Benchmark v1.2.0 y v1.4.0

En esta sección se resumen las diferencias entre las versiones 1.4.0 y 1.2.0 del Center for Internet Security (CIS) AWS Foundations Benchmark. Security Hub es compatible con ambas versiones de este estándar.

nota

Recomendamos actualizar a CIS AWS Foundations Benchmark v1.4.0 para mantenerse al día con las mejores prácticas de seguridad, pero es posible que tenga habilitadas las versiones 1.4.0 y 1.2.0 al mismo tiempo. Para obtener más información, consulte Habilitación y deshabilitación de estándares de seguridad. Si desea actualizar a la versión 1.4.0, es mejor habilitar primero la versión 1.4.0 antes de deshabilitar la versión 1.2.0. Si utiliza la integración de Security Hub con AWS Organizations para administrar varias cuentas de forma centralizada y quiere habilitar por lotes la versión 1.4.0 en todas ellas (y, si lo desea, deshabilitar la versión 1.2.0), puede ejecutar un Script multicuenta de Security Hub desde la cuenta de administrador.

Controles que existen en CIS AWS Foundations Benchmark v1.4.0, pero no en la v1.2.0

Los siguientes controles se agregaron a CIS AWS Foundations Benchmark v1.4.0. Estos controles no están incluidos en CIS AWS Foundations Benchmark v1.2.0.

ID de control de seguridad Requisito CISv1.4.0 Título de control

EC2.7

2.2.1

Asegúrese de que el cifrado de volumen de EBS está habilitado

EC2.21

5.1

Asegúrese de que las ACL de la red no permitan el ingreso desde el 0.0.0.0/0 a los puertos de administración de servidores remotos

IAM.22

1.12

Asegurar que se deshabilitan las credenciales no usadas durante 45 días o más

RDS.3

2.3.1

Asegúrese de que el cifrado esté habilitado para las instancias RDS

S3.1

2.1.5.1

La configuración de Bloqueo de acceso público de S3 debe estar habilitada

S3.5

2.1.2

Asegúrese de que la política de bucket de S3 esté configurada para denegar las solicitudes HTTP

S3.8

2.1.5.2

La configuración de S3 Block Public Access debe estar habilitada a nivel de bucket

S3.20

2.1.3

Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

Controles que existen en CIS AWS Foundations Benchmark v1.2.0, pero no en la v1.4.0

Los siguientes controles solo existen en CIS AWS Foundations Benchmark v1.2.0. Estos controles no están incluidos en CIS AWS Foundations Benchmark v1.4.0.

ID de control de seguridad Requisito CISv1.2.0 Título de control Motivo no incluido en la v1.4.0

CloudWatch2.

3.1

Asegurar que haya un filtro de métricas de registro y alarma para las llamadas a la API no autorizadas

Comprobación automática de que Security Hub no es compatible

CloudWatch3.

3.2

Asegurar que haya un filtro de métricas de registro y alarma de registro para el inicio de sesión en AWS Management Console sin MFA

Comprobación automática de que Security Hub no es compatible

EC2.13

4.1

Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22

En su lugar, consulte [EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0/0 al puerto 22 o al puerto 3389.

EC2.14

4.2

Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389

Comprobación automática de que Security Hub no es compatible

IAM.2

1.16

Los usuarios de IAM no deben tener políticas de IAM asociadas

Comprobación automática de que Security Hub no es compatible

IAM.8

1.3

Asegurar que se deshabilitan las credenciales no usadas durante 90 días o más

En su lugar, consulte [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días.

IAM.11

1.5

Asegurar que la política de contraseñas de IAM requiere al menos una letra mayúscula

No es un requisito en CISv1.4.0

IAM.12

1.6

Asegurar que la política de contraseñas de IAM requiere al menos una letra minúscula

No es un requisito en CISv1.4.0

IAM.13

1.7

Asegurar que la política de contraseñas de IAM requiere al menos un símbolo

No es un requisito en CISv1.4.0

IAM.14

1.8

Asegurar que la política de contraseñas de IAM requiere al menos un número

No es un requisito en CISv1.4.0

IAM.17

1.11

Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

No es un requisito en CISv1.4.0

IAM.20

1.1

Evite el uso del usuario raíz

En su lugar, consulte [CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root».

Controles que existen en CIS AWS Foundations Benchmark v1.2.0 y v1.4.0

Los siguientes controles existen en CIS AWS Foundations Benchmark v1.2.0 y v1.4.0. Sin embargo, los identificadores de los controles y algunos de los títulos de los controles difieren en cada versión.

ID de control de seguridad Requisito CISv1.2.0 Título de control en CISv1.2.0 Requisito CISv1.4.0 Título de control en CISv1.4.0

CloudTrail1.

2.1

Asegúrese de CloudTrail que esté habilitado en todas las regiones

3.1

Asegúrese de CloudTrail que esté activado en todas las regiones

CloudTrail2.

2.7

Asegúrese de que CloudTrail los registros estén cifrados en reposo mediante AWS KMS keys

3.7

Asegúrese de que CloudTrail los registros estén cifrados en reposo mediante AWS KMS keys

CloudTrail4.

2.2

Asegúrese de que la validación del archivo de CloudTrail registro esté habilitada

3.2

Asegúrese de que la validación del archivo de CloudTrail registro esté habilitada

CloudTrail5.

2.4

Asegúrese de que CloudTrail los senderos estén integrados con los registros CloudWatch

3.4

Asegúrese de que los CloudTrail senderos estén integrados con CloudWatch los registros

CloudTrail6.

2.3

Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

3.3

Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

CloudTrail7.

2.6

Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

3.6

Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el bucket de CloudTrail S3

CloudWatch1.

1.1

3.3

1.1 – Evitar el uso del usuario raíz

3.3 – Asegurar que haya un filtro de métricas de registro y alarma para el uso del usuario raíz

1.7

Elimine el uso del usuario raíz para las tareas administrativas y diarias

CloudWatch4.

3.4

Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de IAM

4.4

Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de IAM

CloudWatch5.

3.5

Asegúrese de que existan un registro métrico, un filtro y una alarma para el cambio CloudTrail de configuración

4.5

Asegúrese de que existan un filtro de registro métrico y una alarma para el cambio CloudTrail de configuración

CloudWatch6.

3.6

Asegurar que haya un filtro de métricas de registro y alarma de registro para los errores de autenticación de la AWS Management Console

4.6

Asegurar que haya un filtro de métricas de registro y alarma de registro para los errores de autenticación de la AWS Management Console

CloudWatch7.

3.7

Asegurar que haya un filtro de métricas de registro y alarma de registro para la deshabilitación o eliminación programada de claves administradas por el cliente

4.7

Asegurar que haya un filtro de métricas de registro y alarma de registro para la deshabilitación o eliminación programada de claves administradas por el cliente

CloudWatch.8.

3.8

Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de bucket de S3

4.8

Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de S3

CloudWatch9.

3.9

Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de configuración de AWS Config

4.9

Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de configuración de AWS Config

CloudWatch.10

3.10

Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de grupos de seguridad

4.10

Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de grupos de seguridad

CloudWatch.11

3.11

Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios en las Listas de control de acceso a la red (NACL)

4.11

Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL)

CloudWatch.12

3.12

Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las gateways de la red

4.12

Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las puertas de enlace de la red

CloudWatch.13

3.13

Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a la tabla de enrutamiento

4.13

Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento

CloudWatch.14

3.14

Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de VPC

4.14

Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de VPC

Config.1

2,5

Asegúrese de que AWS Config esté habilitado

3.5

Asegurar que AWS Config está habilitado en todas las regiones

EC2.2

4.3

Asegurar que el grupo de seguridad predeterminado de cada VPC limita todo el tráfico

5.3

Asegurar que el grupo de seguridad predeterminado de cada VPC limita todo el tráfico

EC2.6

2.9

Asegurar que el registro de flujo de la VPC está habilitado en todas las VPC

3.9

Asegurar que el registro de flujo de la VPC está habilitado en todas las VPC

IAM.1

1,22

Asegurar que no se creen políticas de IAM que permiten privilegios administrativos completos "*:*"

1.16

Asegurar que no se adjunten políticas de IAM que permitan privilegios administrativos completos "*:*"

IAM.3

1.4

Asegurar que las claves de acceso se rotan cada 90 días o menos

1.14

Asegurar que las claves de acceso se rotan cada 90 días o menos

IAM.4

1.12

Asegúrese de que no exista ninguna clave de acceso de usuario raíz

1.4

Asegurar que no existe una clave de acceso del usuario raíz

IAM.5

1.2

Asegurar que la autenticación multifactor (MFA) está habilitada para todos los usuarios de IAM que tienen una contraseña de la consola

1.10

Asegurar que la autenticación multifactor (MFA) está habilitada para todos los usuarios de IAM que tienen una contraseña de la consola

IAM.6

1.14

Asegurar que la MFA está activada para el usuario raíz

1.6

Asegurar que la MFA basada en hardware está activada para la cuenta del usuario raíz

IAM.9

1.13

Asegurar que la MFA está activada para el usuario raíz

1.5

Asegurar que la MFA esté activada para la cuenta del usuario raíz

IAM.15

1.9

Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más

1.8

Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más

IAM.16

1.10

Asegurar que la política de contraseñas de IAM impide la reutilización de contraseñas

1.9

Asegurar que la política de contraseñas de IAM impide la reutilización de contraseñas

IAM.18

1,20

Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

1,17

Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

KMS.4

2.8

Asegurar que esté habilitada la rotación de las claves de KMS creadas por el cliente

3.8

Asegurar que esté habilitada la rotación de las claves de KMS creadas por el cliente

Formato de campos de resultado para CIS AWS Foundations Benchmark v1.4.0

Al activar CIS AWS Foundations Benchmark v1.4.0, empezará a recibir los resultados en AWS Security Finding Format (ASFF). Para estos resultados, los campos específicos del estándar harán referencia a la versión 1.4.0. Para CIS AWS Foundations Benchmark v1.4.0, tenga en cuenta el siguiente formato para GeneratorID y cualquier campo ASFF que haga referencia al nombre de recurso de Amazon (ARN) estándar.

  • ARN estándararn:partition:securityhub:region:account-id:standards/cis-aws-foundations-benchmark/v/1.4.0

  • GeneratorIDcis-aws-foundations-benchmark/v/1.4.0/control ID

Puede llamar a la operación de la GetEnabledStandardsAPI para averiguar el ARN de un estándar.

nota

Al habilitar CIS AWS Foundations Benchmark v1.4.0, Security Hub puede tardar hasta 18 horas en generar los resultados de los controles que utilizan la misma regla de AWS Config vinculada a servicios que los controles habilitados en otros estándares habilitados. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.

La resultado de campos será diferente si has activado los resultados de los controles consolidados. Para obtener más información sobre estas diferencias, consulte Impacto de la consolidación en los campos y valores ASFF. Para ver ejemplos de los resultados del control del CIS con la consolidación activada y desactivada, consulte Ejemplos de resultados de control.

Comprobaciones de seguridad CIS AWS Foundations que no se admiten en Security Hub

En esta sección se resumen los requisitos de CIS que actualmente no se admiten en Security Hub. El Center for Internet Security (CIS) es una organización independiente sin fines de lucro que establece estos requisitos.

Comprobaciones de seguridad de CIS AWS Foundations Benchmark v1.2.0 que no son compatibles con Security Hub

Los siguientes requisitos de CIS AWS Foundations Benchmark v1.2.0 no se admiten actualmente en Security Hub.

Comprobaciones manuales que no son compatibles

Security Hub se centra en los controles de seguridad automatizados. Como resultado, Security Hub no admite los siguientes requisitos de CIS AWS Foundations Benchmark v1.2.0 porque requieren comprobaciones manuales de sus recursos:

  • 1.15 Asegurar que las preguntas de seguridad se registran en Cuenta de AWS

  • 1.17 – Mantener los datos de contacto actuales

  • 1.18 – Asegurar que se registra la información de contacto de seguridad

  • 1.19 – Asegurar que se utilizan roles de instancia de IAM para acceder a los recursos de AWS desde las instancias

  • 1.21 – No configurar claves de acceso durante la configuración de usuario inicial para todos los usuarios de IAM que tienen una contraseña de la consola

  • 4.4 – Asegurar que las tablas de enrutamiento para la interconexión de VPC tienen “acceso mínimo”

Security Hub admite todas las comprobaciones automatizadas de CIS AWS Foundations Benchmark v1.2.0.

Controles de seguridad CIS AWS Foundations Benchmark v1.4.0 que no se admiten en Security Hub

Los siguientes requisitos de CIS AWS Foundations Benchmark v1.4.0 no se admiten actualmente en Security Hub.

Comprobaciones manuales que no son compatibles

Security Hub se centra en los controles de seguridad automatizados. Como resultado, Security Hub no admite los siguientes requisitos de CIS AWS Foundations Benchmark v1.4.0 porque requieren comprobaciones manuales de sus recursos:

  • 1.1 – Mantener los datos de contacto actuales

  • 1.2 – Asegurar que se registra la información de contacto de seguridad

  • 1.3 Asegurar que las preguntas de seguridad se registran en Cuenta de AWS

  • 1.11 – No configurar claves de acceso durante la configuración de usuario inicial para todos los usuarios de IAM que tienen una contraseña de la consola

  • 1.18 – Asegurar que se utilizan roles de instancia de IAM para acceder a los recursos de AWS desde las instancias

  • 1.21 — Asegúrese de que los usuarios de IAM se gestionen de forma centralizada mediante una federación de identidades o en entornos con varias cuentas de AWS Organizations

  • 2.1.4 — Asegúrese de que todos los datos de Amazon S3 se hayan descubierto, clasificado y protegido cuando sea necesario

  • 5.4 – Asegurar que las tablas de enrutamiento para la interconexión de VPC tienen "acceso mínimo"

Comprobaciones automatizadas que no son compatibles

Security Hub no admite los siguientes requisitos de CIS AWS Foundations Benchmark v1.4.0 que se basan en comprobaciones automatizadas:

  • 1.13 — Asegúrese de que solo haya una clave de acceso activa disponible para cada usuario de IAM

  • 1.15 — Asegúrese de que los usuarios de IAM reciban permisos únicamente a través de grupos

  • 1.19 — Asegúrese de eliminar todos los certificados SSL/TLS caducados almacenados en IAM

  • 1.20 — Asegúrese de que IAM Access Analyzer esté activado en todas las Regiones

  • 3.10 — Asegúrese de que el registro a nivel de objeto para los eventos de escritura esté habilitado en los buckets de S3

  • 3.11 — Asegúrese de que el registro a nivel de objeto para los eventos de lectura esté habilitado en los buckets de S3

  • 4.1 – Asegurar que haya un filtro de métricas de registro y alarma para las llamadas no autorizadas a la API

  • 4.2 Asegurar que haya un filtro de métricas de registro y alarma para el inicio de sesión en la Consola de administración sin MFA

  • 4.3 — Asegúrese de que existan un filtro de métricas de registro y una alarma para el uso de la cuenta raíz (esto es similar al requisito automatizado, 1.7: Eliminar el uso del usuario raíz para las tareas administrativas y diarias, lo cual es compatible con Security Hub)

  • 4.15 – Asegurar que haya un filtro de métricas de registro y alarma para los cambios de AWS Organizations

  • 5.2 Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 a los puertos de administración de servidores remotos