AWSEstándar fundamental de mejores prácticas de seguridad (FSBP)

El estándar AWS fundamental de mejores prácticas de seguridad es un conjunto de controles que detectan cuándo usted Cuentas de AWS y sus recursos se desvían de las mejores prácticas de seguridad.

El estándar le permite evaluar continuamente todas sus cargas de trabajo Cuentas de AWS y las de trabajo para identificar rápidamente las áreas en las que se desvían de las mejores prácticas. Proporciona una guía práctica y prescriptiva sobre cómo mejorar y mantener la postura de seguridad de su organización.

Los controles incluyen las mejores prácticas de seguridad para los recursos de múltiples fuentes. Servicios de AWS A cada control también se le asigna una categoría que refleja la función de seguridad a la que se aplica. Para obtener más información, consulte Categorías de control.

Controles que se aplican al estándar FSBP

[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un. Cuenta de AWS

[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

[ACM.2] Los certificados RSA administrados por ACM deben tener una longitud de clave de al menos 2048 bits

[APIGateway.1] El registro de ejecución de API y REST de WebSocket API Gateway debe estar habilitado

[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end

[APIGateway.3] Las etapas de la API REST de API Gateway deberían tener el rastreo habilitado AWS X-Ray

[APIGateway.4] La API Gateway debe estar asociada a una ACL web WAF

[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo

[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

[AppSync.2] AWS AppSync debe tener activado el registro a nivel de solicitud y de campo

[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API

[Athena.1] Los grupos de trabajo de Athena deben estar cifrados en reposo

[AutoScaling.1] Los grupos de Auto Scaling asociados a un Load Balancer clásico deben utilizar las comprobaciones de estado del balanceador de carga

[AutoScaling.2] El grupo Auto Scaling de Amazon EC2 debe cubrir varias zonas de disponibilidad

[AutoScaling.3] Las configuraciones de lanzamiento grupal de Auto Scaling deberían configurar las instancias EC2 para que requieran la versión 2 del Servicio de Metadatos de Instancia (IMDSv2)

[AutoScaling.4] La configuración de inicio de grupos de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1

[AutoScaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en múltiples zonas de disponibilidad

[AutoScaling.9] Los grupos de Auto Scaling de Amazon EC2 deberían utilizar las plantillas de lanzamiento de Amazon EC2

[CloudFormation.1] las CloudFormation pilas deben integrarse con el Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

[CloudFront.2] CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen

[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

[CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

[CloudFront.6] CloudFront las distribuciones deben tener WAF activado

[CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico para enviarlo a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados

[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada

[CloudTrail.5] CloudTrail Los rastros deben estar integrados con Amazon Logs CloudWatch

[CodeBuild.1] CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deben usar OAuth

[CodeBuild.2] Las variables de entorno CodeBuild del proyecto no deben contener credenciales de texto claro

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[CodeBuild.4] Los entornos de los CodeBuild proyectos deben tener una duración de registro AWS Config

[CodeBuild.5] Los entornos de CodeBuild proyectos no deberían tener habilitado el modo privilegiado

[Config.1] AWS Config debe estar habilitado

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro

[DMS.9] Los puntos finales del DMS deben usar SSL

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante o saliente

[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo

[EC2.4] Las instancias de Amazon EC2 detenidas deben eliminarse después de un período de tiempo específico

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar activado

[EC2.8] Las instancias EC2 deben usar la versión 2 del servicio de metadatos de instancias (IMDSv2)

[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección IPv4 pública

[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2

[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

[EC2.17] Las instancias de Amazon EC2 no deben usar varios ENI

[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo

[EC2.20] Los dos túneles VPN de una conexión VPN de AWS Site-to-Site deberían estar activos

[EC2.21] Las ACL de red no deben permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389

[EC2.22] Deben eliminarse los grupos de seguridad de Amazon EC2 no utilizados

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar direcciones IP públicas a las interfaces de red

[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario.

[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión

[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios

[ECS.5] Los contenedores ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor

[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro

[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben usar Container Insights

[EFS.1] El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EKS.1] Los puntos finales del clúster EKS no deben ser de acceso público

[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible

[ElastiCache.1] ElastiCache para los clústeres de Redis, se deben programar copias de seguridad automáticas

[ElastiCache.2] ElastiCache para los clústeres de caché de Redis, debe tener habilitada la actualización automática de la versión secundaria

[ElastiCache.3] en el caso ElastiCache de Redis, los grupos de replicación deberían tener habilitada la conmutación por error automática

[ElastiCache.4] ElastiCache para Redis, los grupos de replicación deben estar cifrados en reposo

[ElastiCache.5] ElastiCache para Redis, los grupos de replicación deben cifrarse en tránsito

[ElastiCache.6] ElastiCache para los grupos de replicación de Redis anteriores a la versión 6.0, se debe usar Redis AUTH

[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[ELB.1] Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

[ELB.2] Los balanceadores de carga clásicos con receptores SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS

[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http

[ELB.5] El registro de las aplicaciones y de los balanceadores de carga clásicos debe estar habilitado

[ELB.6] La protección contra la eliminación de Application Load Balancer debe estar habilitada

[ELB.7] Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones

[ELB.8] Los balanceadores de carga clásicos con agentes de escucha SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config

[ELB.9] Los balanceadores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas

[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad

[ELB.12] Application Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] El Classic Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[EMR.1] Los nodos maestros del MapReduce clúster de Amazon Elastic no deben tener direcciones IP públicas

[ES.1] Los dominios de Elasticsearch deben tener activado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch deben estar en una VPC

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en los CloudWatch registros

[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría

[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos

[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados

[ES.8] Las conexiones a los dominios de Elasticsearch deben cifrarse mediante TLS 1.2

[EventBridge.3] Los buses de eventos EventBridge personalizados deben tener adjunta una política basada en los recursos

[EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

[GuardDuty.1] GuardDuty debe estar activado

[IAM.1] Las políticas de IAM no deberían permitir privilegios administrativos completos con una «*»

[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario root de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener una duración rigurosa AWS Config

[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[KMS.3] no AWS KMS keys debe eliminarse de forma involuntaria

[Lambda.1] Las políticas de funciones Lambda deberían prohibir el acceso público

[Lambda.2] Las funciones Lambda deben utilizar tiempos de ejecución compatibles

[Lambda.5] Las funciones de VPC Lambda deben funcionar en más de una zona de disponibilidad

[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación

[MQ.5] Los corredores ActiveMQ deben usar el modo de despliegue activo/en espera

[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío

[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación

Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo

Los OpenSearch dominios [Opensearch.2] deben estar en una VPC

Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos

El registro de errores de OpenSearch dominio [Opensearch.4] en Logs debe estar activado CloudWatch

Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría

Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos

Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los dominios deben cifrarse mediante TLS 1.2 OpenSearch

[Route53.2] Las zonas alojadas públicas de Route 53 deben registrar las consultas de DNS

[RDS.1] La instantánea de RDS debe ser privada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la duración PubliclyAccessible AWS Config

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

[RDS.4] Las instantáneas de los clústeres de RDS y las instantáneas de bases de datos deben cifrarse en reposo

[RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad

[RDS.6] Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS

[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra la eliminación

[RDS.8] Las instancias de base de datos de RDS deben tener habilitada la protección contra la eliminación

[RDS.9] El registro de la base de datos debe estar habilitado

[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

[RDS.11] Las instancias RDS deben tener habilitadas las copias de seguridad automáticas

[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

[RDS.13] Las actualizaciones automáticas de las versiones secundarias de RDS deben estar habilitadas

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso

[RDS.15] Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad

[RDS.16] Los clústeres de bases de datos de RDS deben configurarse para copiar etiquetas en las instantáneas

[RDS.17] Las instancias de base de datos de RDS deben configurarse para copiar etiquetas a las instantáneas

[RDS.18] Las instancias de RDS deben implementarse en una VPC

[RDS.19] Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos de clúster críticos

[RDS.20] Las suscripciones de notificación de eventos de RDS existentes deben configurarse para eventos críticos de instancias de bases de datos

[RDS.21] Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de parámetros de bases de datos

[RDS.22] Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de seguridad de bases de datos

[RDS.23] Las instancias RDS no deben usar el puerto predeterminado de un motor de base de datos

[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado

[RDS.25] Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado

[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo

[RDS.34] Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en Logs CloudWatch

[RDS.35] Los clústeres de bases de datos de RDS deben tener habilitada la actualización automática de las versiones secundarias

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito

[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

[Redshift.4] Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría

[Redshift.6] Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales

[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado

[Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

[Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

[S3.1] La configuración de S3 Block Public Access debe estar habilitada

[S3.2] Los buckets de S3 deberían prohibir el acceso de lectura público

[S3.3] Los buckets de S3 deberían prohibir el acceso de escritura público

[S3.4] Los buckets de S3 deben tener habilitado el cifrado del lado del servidor

[S3.5] Los buckets S3 deberían requerir solicitudes para usar Secure Socket Layer

[S3.6] Los permisos de S3 concedidos a otras políticas incluidas Cuentas de AWS en el bucket deben restringirse

[S3.8] La configuración de acceso público en bloque S3 debe estar habilitada a nivel de bucket

[S3.9] El registro de acceso al servidor de bucket S3 debe estar habilitado

[S3.10] Los buckets de S3 con el control de versiones activado deben tener configuradas las políticas de ciclo de vida

[S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

[S3.12] Las listas de control de acceso (ACL) de S3 no deben usarse para administrar el acceso de los usuarios a los cubos

[S3.13] Los buckets de S3 deben tener configuradas las políticas de ciclo de vida

[SageMaker.1] Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet

[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada

[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook

[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática

[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días

[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS

[SNS.2] Debe habilitarse el registro del estado de la entrega para los mensajes de notificación enviados a un tema

[SQS.1] Las colas de Amazon SQS deben cifrarse en reposo

[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager

[SSM.2] Las instancias de Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad con los parches de CONFORMIDAD CON LOS PARCHES tras la instalación de un parche

[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT

[SSM.4] Los documentos SSM no deben ser públicos

[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado

[WAF.1] El registro AWS WAF Classic Global Web ACL debe estar habilitado

[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición

[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla

[WAF.4] Las ACL web regionales AWS WAF clásicas deben tener al menos una regla o grupo de reglas

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

[WAF.8] Las ACL web globales AWS WAF clásicas deben tener al menos una regla o grupo de reglas

[WAF.10] Las ACL AWS WAF web deben tener al menos una regla o grupo de reglas

AWS WAFLas reglas [WAF.12] deben tener las métricas habilitadas CloudWatch