Indicador de referencia de CIS AWS Foundations - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Indicador de referencia de CIS AWS Foundations

El Center for Internet Security (CIS) AWS Foundations Benchmark sirve como un conjunto de mejores prácticas de configuración de seguridad. AWS Estas mejores prácticas aceptadas por la industria le proporcionan procedimientos claros de step-by-step implementación y evaluación. Desde sistemas operativos hasta servicios en la nube y dispositivos de red, los controles de este punto de referencia le ayudan a proteger los sistemas específicos que utiliza su organización.

AWS Security Hub es compatible con CIS AWS Foundations Benchmark v3.0.0, 1.4.0 y v1.2.0.

Esta página enumera los controles de seguridad compatibles con cada versión y proporciona una comparación de las versiones.

CIS AWS Foundations Benchmark v3.0.0

Security Hub es compatible con la versión 3.0.0 del CIS AWS Foundations Benchmark.

Security Hub ha satisfecho los requisitos de la certificación de CIS Security Software, por lo que ha recibido dicha certificación para los siguientes indicadores de referencia de CIS:

  • Punto de referencia CIS para CIS AWS Foundations Benchmark, versión 3.0.0, nivel 1

  • Punto de referencia CIS para CIS AWS Foundations Benchmark, v3.0.0, nivel 2

Controles que se aplican a CIS AWS Foundations Benchmark v3.0.0

[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[Config.1] AWS Config debe estar activado

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar activado

[EC2.8] Las instancias EC2 deben utilizar el servicio de metadatos de instancias versión 2 (IMDSv2)

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389

[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada desde el 0.0.0.0/0 a los puertos de administración remota del servidor

[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada desde: :/0 a los puertos de administración remota del servidor

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.26] Se deben eliminar los certificados SSL/TLS caducados gestionados en IAM

[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloudShellFullAccess

[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar activado

La rotación de teclas [KMS.4] debe estar habilitada AWS KMS

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la duración PubliclyAccessible AWS Config

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

[S3.22] Los depósitos de uso general de S3 deberían registrar los eventos de escritura a nivel de objeto

[S3.23] Los depósitos de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto

CIS AWS Foundations Benchmark v1.4.0

Security Hub es compatible con la versión 1.4.0 del CIS AWS Foundations Benchmark.

Controles que se aplican a CIS AWS Foundations Benchmark v1.4.0

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] CloudTrail Los senderos deben integrarse con Amazon Logs CloudWatch

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM

[CloudWatch.5] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar los cambios de CloudTrail AWS Config duración

[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación

[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente

[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3

[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración

[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad

[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)

[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red

[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas

[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC

[Config.1] AWS Config debe estar activado

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar activado

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

La rotación de teclas [KMS.4] debe estar habilitada AWS KMS

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

Security Hub es compatible con la versión 1.2.0 del CIS AWS Foundations Benchmark.

Security Hub ha satisfecho los requisitos de la certificación de CIS Security Software, por lo que ha recibido dicha certificación para los siguientes indicadores de referencia de CIS:

  • Punto de referencia CIS para CIS AWS Foundations Benchmark, v1.2.0, nivel 1

  • Punto de referencia CIS para CIS AWS Foundations Benchmark, v1.2.0, nivel 2

Controles que se aplican a CIS AWS Foundations Benchmark v1.2.0

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] CloudTrail Los senderos deben integrarse con Amazon Logs CloudWatch

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas

[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA

[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM

[CloudWatch.5] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar los cambios de CloudTrail AWS Config duración

[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación

[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente

[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3

[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración

[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad

[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)

[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red

[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas

[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC

[Config.1] AWS Config debe estar activado

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22

[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support

La rotación de teclas [KMS.4] debe estar habilitada AWS KMS

Comparación de versiones de CIS AWS Foundations Benchmark

En esta sección se resumen las diferencias entre las versiones 3.0.0, 1.4.0 y 1.2.0 del Center for Internet Security (CIS) AWS Foundations Benchmark.

Security Hub es compatible con cada una de estas versiones del CIS AWS Foundations Benchmark, pero recomendamos usar la versión 3.0.0 para mantenerse al día con las mejores prácticas de seguridad. Es posible que tenga habilitadas varias versiones del estándar al mismo tiempo. Para obtener más información, consulte Habilitación y deshabilitación de estándares de seguridad. Si quieres actualizar a la versión 3.0.0, es mejor habilitarla antes de deshabilitar una versión anterior. Si utiliza la integración de Security Hub AWS Organizations para gestionar varias cuentas de forma centralizada Cuentas de AWS y desea habilitar por lotes la versión 3.0.0 en todas las cuentas, puede utilizar la configuración central.

Asignación de los controles a los requisitos del CIS en cada versión

Comprenda qué controles admite cada versión del CIS AWS Foundations Benchmark.

ID y título de control Requisito CIS v3.0.0 Requisito CIS v1.4.0 Requisito CIS v1.2.0

[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS

1.2

1.2

1.18

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

3.1

3.1

2.1

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

3.1

3.1

2.1

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

3.5

3.7

2.7

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

3.2

3.2

2.2

[CloudTrail.5] CloudTrail Los senderos deben integrarse con Amazon Logs CloudWatch

No compatible: CIS eliminó este requisito

3.4

2.4

[CloudTrail.6] Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público

No compatible: CIS eliminó este requisito

3.3

2.3

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3

3.4

3.6

2.6

[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

No compatible: comprobación manual

4.3

3.3

[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas

No compatible: comprobación manual

No compatible: comprobación manual

3.1

[CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA

No compatible: comprobación manual

No compatible: comprobación manual

3.2

[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM

No compatible: comprobación manual

4.4

3.4

[CloudWatch.5] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar los cambios de CloudTrail AWS Config duración

No compatible: comprobación manual

4.5

3.5

[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación

No compatible: comprobación manual

4.6

3.6

[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente

No compatible: comprobación manual

4.7

3.7

[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3

No compatible: comprobación manual

4.8

3.8

[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración

No compatible: comprobación manual

4.9

3.9

[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad

No compatible: comprobación manual

4.10

3.10

[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)

No compatible: comprobación manual

4.11

3.11

[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red

No compatible: comprobación manual

4.12

3.12

[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas

No compatible: comprobación manual

4.13

3.13

[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC

No compatible: comprobación manual

4.14

3.14

[Config.1] AWS Config debe estar activado

3.3

3.5

2,5

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

5.4

5.3

4.3

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

3.7

3.9

2.9

[EC2.7] El cifrado predeterminado de EBS debe estar activado

2.2.1

2.2.1

No compatible

[EC2.8] Las instancias EC2 deben utilizar el servicio de metadatos de instancias versión 2 (IMDSv2)

5.6

No admitido

No admitido

[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22

No compatible: se sustituyó por los requisitos 5.2 y 5.3

No compatible: se sustituye por los requisitos 5.2 y 5.3

4.1

[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389

No compatible: se sustituye por los requisitos 5.2 y 5.3

No compatible: se sustituye por los requisitos 5.2 y 5.3

4.2

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389

5.1

5.1

No compatible

[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada desde el 0.0.0.0/0 a los puertos de administración remota del servidor

5.2

No admitido

No admitido

[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada desde: :/0 a los puertos de administración remota del servidor

5.3

No admitido

No admitido

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

2.4.1

No admitido

No admitido

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

No admitido

1.16

1.22

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

1.15

No compatible

1.16

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

1.14

1.14

1.4

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

1.4

1.4

1.12

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

1.10

1.10

1.2

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

1.6

1.6

1.14

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

No se admite; consulte [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días en su lugar

No se admite; consulte [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días en su lugar

1.3

[IAM.9] La MFA debe estar habilitada para el usuario raíz

1.5

1.5

1.13

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

No compatible: CIS eliminó este requisito

No compatible: CIS eliminó este requisito

1.5

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

No compatible: CIS eliminó este requisito

No compatible: CIS eliminó este requisito

1.6

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

No compatible: CIS eliminó este requisito

No compatible: CIS eliminó este requisito

1.7

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

No compatible: CIS eliminó este requisito

No compatible: CIS eliminó este requisito

1.8

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

1.8

1.8

1.9

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

1.9

1.9

1.10

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

No compatible: CIS eliminó este requisito

No compatible: CIS eliminó este requisito

1.11

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support

1,17

1,17

1.2

[IAM.20] Evite el uso del usuario raíz

No compatible: CIS eliminó este requisito

No compatible: CIS eliminó este requisito

1.1

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

1.12

1.12

No compatible: CIS agregó este requisito en versiones posteriores

[IAM.26] Se deben eliminar los certificados SSL/TLS caducados gestionados en IAM

1.19

No compatible: CIS agregó este requisito en versiones posteriores

No compatible: CIS agregó este requisito en versiones posteriores

[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloudShellFullAccess

1.22

No compatible: CIS agregó este requisito en versiones posteriores

No compatible: CIS agregó este requisito en versiones posteriores

[IAM.28] El analizador de acceso externo de IAM Access Analyzer debe estar activado

1.20

No compatible: CIS agregó este requisito en versiones posteriores

No compatible: CIS agregó este requisito en versiones posteriores

La rotación de teclas [KMS.4] debe estar habilitada AWS KMS

3.6

3.8

2.8

[Macie.1] Amazon Macie debería estar activado

No compatible: comprobación manual

No compatible: comprobación manual

No compatible: comprobación manual

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la duración PubliclyAccessible AWS Config

2.3.3

No compatible: CIS agregó este requisito en versiones posteriores

No compatible: CIS agregó este requisito en versiones posteriores

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

2.3.1

2.3.1

No compatible: CIS agregó este requisito en versiones posteriores

Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas

2.3.2

No compatible: CIS agregó este requisito en versiones posteriores

No compatible: CIS agregó este requisito en versiones posteriores

[S3.1] Los depósitos de uso general de S3 deberían tener habilitada la configuración de bloqueo de acceso público

2.1.4

2.1.5

No compatible: CIS agregó este requisito en versiones posteriores

[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL

2.1.1

2.1.2

No compatible: CIS agregó este requisito en versiones posteriores

[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público

2.1.4

2.1.5

No compatible: CIS agregó este requisito en versiones posteriores

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

2.1.2

2.1.3

No compatible: CIS agregó este requisito en versiones posteriores

ARN para CIS AWS Foundations Benchmark

Cuando habilite una o más versiones de CIS AWS Foundations Benchmark, empezará a recibir los resultados en el formato de búsqueda de AWS seguridad (ASFF). En ASFF, cada versión utiliza el siguiente nombre de recurso de Amazon (ARN):

CIS AWS Foundations Benchmark, versión 3.0.0

arn:aws::securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0

Punto de referencia sobre AWS fundaciones de la CEI v1.4.0

arn:aws::securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0

Punto de referencia sobre las AWS fundaciones de la CEI, versión

arn:aws::securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

Puede utilizar el GetEnabledStandardsfuncionamiento de la API de Security Hub para averiguar el ARN de un estándar habilitado.

nota

Al habilitar una versión de CIS AWS Foundations Benchmark, Security Hub puede tardar hasta 18 horas en generar los resultados de los controles que utilizan la misma regla AWS Config vinculada a servicios que los controles habilitados en otros estándares habilitados. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.

Los campos de búsqueda varían si se activan los resultados de los controles consolidados. Para obtener más información sobre estas diferencias, consulte Impacto de la consolidación en los campos y valores ASFF. Para ver ejemplos de los resultados de los controles, consulteEjemplos de resultados de control.

Requisitos de CIS que no se admiten en Security Hub

Como se indica en la tabla anterior, Security Hub no admite todos los requisitos de CIS en todas las versiones del CIS AWS Foundations Benchmark. Muchos de los requisitos no compatibles solo se pueden evaluar manualmente al revisar el estado de AWS los recursos.