Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Estándar básico de mejores prácticas de seguridad v1.0.0 () FSBP
La AWS El estándar fundamental de mejores prácticas de seguridad es un conjunto de controles que detectan cuándo Cuentas de AWS y los recursos se desvían de las mejores prácticas de seguridad.
El estándar le permite evaluar continuamente todos sus Cuentas de AWS y cargas de trabajo para identificar rápidamente las áreas que se desvían de las mejores prácticas. Proporciona orientación práctica y normativa sobre cómo mejorar y mantener la política de seguridad de su organización.
Los controles incluyen las mejores prácticas de seguridad para los recursos de múltiples Servicios de AWS. A cada control también se le asigna una categoría que refleja la función de seguridad a la que se aplica. Para obtener más información, consulte Lista de categorías de control en Security Hub.
Controles que se aplican a la FSBP norma
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
[APIGateway.3] REST API Las etapas de API Gateway deberían tener AWS X-Ray rastreo activado
[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL
[APIGateway.5] Los datos de la REST API caché de API Gateway deben cifrarse en reposo
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo
[AppSync.5] AWS AppSync GraphQL no APIs debe autenticarse con claves API
[Athena.4] Los grupos de trabajo de Athena deben tener habilitado el registro
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
[Copia de seguridad.1] AWS Backup los puntos de recuperación deben estar cifrados en reposo
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo
[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada
[CloudTrail.5] CloudTrail Los senderos deben integrarse con Amazon Logs CloudWatch
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registro AWS Config Duración
[CodeBuild.7] las exportaciones de grupos de CodeBuild informes deben cifrarse en reposo
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
[DataSync.1] DataSync las tareas deben tener el registro activado
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
[DMS.9] Los DMS puntos finales deben usar SSL
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
[DMS.12] DMS Los puntos finales de Redis OSS deberían estar habilitados TLS
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
[EC2.1] EBS Las instantáneas de Amazon no deberían poder restaurarse públicamente
[EC2.3] EBS Los volúmenes adjuntos de Amazon deben cifrarse en reposo
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
[EC2.6] El registro VPC de flujos debe estar habilitado en todas VPCs
[EC2.7] EBS El cifrado predeterminado debe estar activado
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2
[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4
[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs
[EC2.20] Ambos VPN túneles forman un AWS La VPN conexión de sitio a sitio debe estar activa
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas
[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida
[ECS.2] ECS los servicios no deberían tener direcciones IP públicas asignadas automáticamente
[ECS.3] las definiciones de ECS tareas no deben compartir el espacio de nombres de procesos del host
[ECS.4] los ECS contenedores deberían ejecutarse sin privilegios
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
[ECS.12] ECS los clústeres deberían usar Container Insights
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública
[EFS.7] los sistemas de EFS archivos deben tener habilitadas las copias de seguridad automáticas
[EKS.1] Los puntos finales de los EKS clústeres no deben ser de acceso público
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
[EKS.3] los EKS clústeres deben usar secretos de Kubernetes cifrados
[EKS.8] EKS los clústeres deben tener habilitado el registro de auditoría
[ElastiCache.4] Los grupos de replicación ElastiCache (RedisOSS) deben estar cifrados en reposo
[ElastiCache.5] Los grupos de replicación ElastiCache (RedisOSS) deben cifrarse en tránsito
[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch
[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS
[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http
[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado
[ELB.7] Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
[EMR.1] Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas
[EMR.2] La configuración de EMR bloqueo de acceso público de Amazon debe estar habilitada
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
[Pegamento.2] AWS Glue los trabajos deberían tener habilitado el registro
[Pegamento.3] AWS Glue Las transformaciones de aprendizaje automático deben cifrarse en reposo
[GuardDuty.1] GuardDuty debe estar activado
[GuardDuty.5] La supervisión del registro de GuardDuty EKS auditoría debe estar habilitada
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
[IAM.1] IAM las políticas no deberían permitir todos los privilegios administrativos «*»
[IAM.2] IAM los usuarios no deberían tener IAM políticas adjuntas
[IAM.3] las claves IAM de acceso de los usuarios deben rotarse cada 90 días o menos
[IAM.4] la clave de acceso del usuario IAM root no debería existir
[IAM.5] MFA debe estar habilitado para todos los IAM usuarios que tengan una contraseña de consola
[IAM.6] El hardware MFA debe estar habilitado para el usuario root
[IAM.7] Las políticas de contraseñas para IAM los usuarios deben tener una configuración sólida
[IAM.8] Se deben eliminar las credenciales IAM de usuario no utilizadas
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado
[Inspector.3] Debe estar activado el escaneo de código Lambda de Amazon Inspector
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
[KMS.3] AWS KMS keys no debe suprimirse involuntariamente
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
[Macie.1] Amazon Macie debería estar activado
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos del intermediario
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
[PCA.1] AWS Private CA la autoridad emisora de certificados raíz debe estar deshabilitada
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
[RDS.1] La RDS instantánea debe ser privada
[RDS.3] Las RDS instancias de base de datos deben tener activado el cifrado en reposo
[RDS.5] Las RDS instancias de base de datos deben configurarse con varias zonas de disponibilidad
[RDS.6] Se debe configurar una supervisión mejorada para RDS las instancias de base de datos
[RDS.7] RDS los clústeres deben tener habilitada la protección contra la eliminación
[RDS.9] Las RDS instancias de base de datos deben publicar los registros en Logs CloudWatch
La IAM autenticación [RDS.10] debe configurarse para las instancias RDS
[RDS.11] las RDS instancias deben tener habilitadas las copias de seguridad automáticas
La IAM autenticación [RDS.12] debe configurarse para RDS los clústeres
[RDS.13] Las actualizaciones RDS automáticas de las versiones secundarias deben estar habilitadas
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
[RDS.15] Los clústeres de RDS bases de datos deben configurarse para varias zonas de disponibilidad
[RDS.18] RDS las instancias se deben implementar en un VPC
[RDS.23] RDS las instancias no deberían usar el puerto predeterminado de un motor de base de datos
[RDS.27] Los clústeres RDS de bases de datos deben cifrarse en reposo
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC
Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
[S3.2] Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura
[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso público de escritura
[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes de uso SSL
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
[SageMaker.2] las instancias de SageMaker notebook deberían lanzarse de forma personalizada VPC
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
[SQS.1] SQS Las colas de Amazon deberían estar cifradas en reposo
[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager
[SSM.4] SSM los documentos no deben ser públicos
[StepFunctions.1] Las máquinas de estado de Step Functions deberían tener el registro activado
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
[WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
[WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
[WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas
[WAF.12] AWS WAF las reglas deben tener las CloudWatch métricas habilitadas
[WorkSpaces.1] los volúmenes de WorkSpaces usuarios deben cifrarse en reposo
[WorkSpaces.2] los volúmenes WorkSpaces raíz deben cifrarse en reposo