Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Referencia de controles de Security Hub
Esta referencia de controles proporciona una lista de AWS Security Hub los controles disponibles con enlaces a más información sobre cada control. La tabla de información general muestra los controles en orden alfabético por identificador de control. La tabla proporciona la siguiente información para cada control:
-
ID de control de seguridad: este ID se aplica a todos los estándares Servicio de AWS e indica el recurso al que se refiere el control. La consola Security Hub muestra los ID de control de seguridad, independientemente de si los hallazgos de control consolidados están activados o desactivados en su cuenta. Sin embargo, los hallazgos de Security Hub hacen referencia a los ID de control de seguridad solo si los hallazgos de control consolidado están activados en su cuenta. Si los resultados de control consolidados están desactivados en su cuenta, los ID de control pueden variar según el estándar en sus resultados de control. Para ver un mapeo de los ID de control específicos del estándar con los ID de control de seguridad, consulte. Cómo afecta la consolidación a las identificaciones y títulos de control
Si desea configurar las automatizaciones de los controles de seguridad, le recomendamos que filtre en función del ID del control y no del título o la descripción. Mientras que Security Hub puede actualizar ocasionalmente los títulos o descripciones de los controles, los ID de control permanecen iguales.
Los ID de control pueden omitir números. Estos son marcadores de posición para futuros controles.
-
Normas aplicables: indica a qué normas se aplica un control. Seleccione un control para ver los requisitos específicos de los marcos de cumplimiento de terceros.
-
Título de control de seguridad: este título se aplica a todos los estándares. La consola Security Hub muestra los títulos de los controles de seguridad, independientemente de si los hallazgos de control consolidados están activados o desactivados en su cuenta. Sin embargo, los hallazgos de Security Hub hacen referencia a los títulos de control de seguridad solo si los hallazgos de control consolidado están activados en su cuenta. Si las conclusiones de control consolidadas están desactivadas en su cuenta, los títulos de control pueden variar según el estándar en sus conclusiones de control. Para ver un mapeo de los ID de control específicos del estándar con los ID de control de seguridad, consulte. Cómo afecta la consolidación a las identificaciones y títulos de control
-
Gravedad: la gravedad de un control identifica su importancia desde el punto de vista de la seguridad. Para obtener información sobre cómo Security Hub determina la gravedad del control, consulteAsignación de la gravedad a los hallazgos del control.
-
Tipo de programa: indica cuándo se evalúa el control. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
Seleccione un control para ver más detalles. Los controles se muestran en orden alfabético según el nombre del servicio.
| ID de control de seguridad | Título del control de seguridad | Normas aplicables | Gravedad | Tipo de horario |
|---|---|---|---|---|
|
La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de gestión de servicios: AWS Control Tower |
MEDIANO |
Periódico |
|
|
Cuenta de AWSdebe ser parte de una organización AWS Organizations |
NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Periódico |
|
|
Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 rev. 5, estándar de administración de servicios: AWS Control Tower |
MEDIANO |
Cambio provocado y periódico |
|
|
Los certificados RSA administrados por ACM deben usar una longitud de clave de al menos 2048 bits |
AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 |
HIGH (ALTO) |
El cambio se desencadenó |
|
|
El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end. |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 |
BAJA |
Cambio provocado |
|
|
API Gateway debe estar asociada a una ACL web de WAF |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
Las rutas de API Gateway deben especificar un tipo de autorización |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 |
MEDIANO |
Periódico |
|
|
El registro de acceso debe configurarse para las etapas V2 de API Gateway |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
AWS AppSyncdebe tener activado el registro a nivel de solicitud y de campo |
AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 |
MEDIANO |
Cambio provocado |
|
|
AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API |
AWSMejores prácticas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
El cambio se ha activado |
|
|
Los grupos de trabajo de Athena deberían estar cifrados en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de gestión de servicios: AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los grupos de escalado automático asociados a un Classic Load Balancer deben utilizar las comprobaciones de estado del balanceador de cargas. |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
El grupo Auto Scaling de Amazon EC2 debe cubrir varias zonas de disponibilidad |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar las instancias EC2 para que requieran la versión 2 del servicio de metadatos de instancias (IMDSv2) |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
HIGH (ALTO) |
Cambio provocado |
|
|
La configuración de inicio de grupos de Auto Scaling no debe tener un límite de saltos de respuesta de metadatos superior a 1 |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
Los grupos de Auto Scaling de EC2 deberían usar plantillas de lanzamiento de EC2 |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
CloudFormation las pilas deben integrarse con Simple Notification Service (SNS) |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
CRÍTICA |
Cambio provocado |
|
|
CloudFront las distribuciones deben tener habilitada la identidad de acceso de origen |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
CloudFront las distribuciones deberían requerir el cifrado en tránsito |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
CloudFront las distribuciones deben tener configurada la conmutación por error de origen |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
CloudFront las distribuciones deberían tener el registro habilitado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
CloudFront las distribuciones deben tener WAF habilitado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
CloudFront las distribuciones deben usar certificados SSL/TLS personalizados |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
CloudFront las distribuciones deben cifrar el tráfico hacia orígenes personalizados |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
CloudFront las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Periódico |
|
|
CloudFront las distribuciones deben usar el control de acceso al origen |
AWSMejores prácticas fundamentales de seguridad v1.0.0 |
MEDIANO |
Cambio provocado |
|
|
CloudTrail debe estar habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
HIGH (ALTO) |
Periódico |
|
|
CloudTrail debe tener habilitada la encriptación en reposo |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0AWS Control Tower, NIST SP 800-53 rev. 5 AWS |
MEDIANO |
Periódico |
|
|
CloudTrail debería estar activado |
PCI DSS v3.2.1 |
HIGH (ALTO) |
Periódico |
|
|
CloudTrail La validación del archivo de registro debe estar habilitada |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0AWS Control Tower, NIST SP 800-53 rev. 5 AWS |
BAJA |
Periódico |
|
|
CloudTrail Los senderos deberían estar integrados con Amazon Logs CloudWatch |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0AWS Control Tower, NIST SP 800-53 rev. 5 AWS |
BAJA |
Periódico |
|
|
Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
CRÍTICA |
Cambio provocado y periódico |
|
|
Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3 |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root» |
CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS |
BAJA |
Periódico |
|
|
Asegúrese de que existan un registro, un filtro métrico y una alarma para las llamadas a la API no autorizadas |
CIS AWS Foundations Benchmark v1.2.0 |
BAJA |
Periódico |
|
|
Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA |
CIS AWS Foundations Benchmark v1.2.0 |
BAJA |
Periódico |
|
|
Asegúrese de que existan un registro, un filtro métrico y una alarma para los cambios en la política de IAM |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las CMK creadas por el cliente |
CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0 AWS |
BAJA |
Periódico |
|
|
Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3 |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios AWS Config de configuración |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL) |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en las pasarelas de red |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios en la VPC |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
CloudWatch Las alarmas deben tener una acción configurada para el estado |
NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
CloudWatch los grupos de registros deben conservarse durante al menos 1 año |
NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
CloudWatch las acciones de alarma deben estar habilitadas |
NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
CodeBuild GitHub o las URL del repositorio fuente de Bitbucket deberían usar OAuth |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. AWS Control Tower 5 |
CRÍTICA |
Cambio provocado |
|
|
CodeBuild las variables de entorno del proyecto no deben contener credenciales de texto claro |
AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
CRÍTICA |
Cambio provocado |
|
|
CodeBuild Los registros de S3 deben estar cifrados |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
BAJA |
Cambio provocado |
|
|
CodeBuild los entornos del proyecto deben tener una configuración de registro |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
CodeBuild los entornos de proyecto no deberían tener habilitado el modo privilegiado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
AWS Configdebería estar activado |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
Las instancias de replicación de Database Migration Service no deben ser públicas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
CRÍTICA |
Periódico |
|
|
Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las tareas de replicación del DMS para la base de datos de destino deben tener el registro habilitado |
AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las tareas de replicación del DMS para la base de datos de origen deben tener el registro habilitado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los puntos finales del DMS deben usar SSL |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de Amazon DocumentDB deben estar cifrados en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower |
Media |
El cambio se desencadenó |
|
|
Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower |
Media |
El cambio se desencadenó |
|
|
Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
CRÍTICA |
Cambio provocado |
|
|
Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Periódico |
|
|
Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
Las tablas de DynamoDB deben estar presentes en un plan de respaldo |
NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
Las instantáneas de EBS no deberían poder restaurarse públicamente |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower rev. 5 |
CRÍTICA |
Periódico |
|
|
El grupo de seguridad predeterminado de la VPC no debe permitir el tráfico entrante ni saliente |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0AWS Control Tower, NIST SP 800-53 rev. 5 AWS |
HIGH (ALTO) |
Cambio provocado |
|
|
Los volúmenes EBS adjuntos deben cifrarse en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
El registro de flujos de VPC debe estar habilitado en todas las VPC |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark AWS Control Tower v1.4.0, NIST SP 800-53 rev. 5 AWS |
MEDIANO |
Periódico |
|
|
El cifrado por defecto de EBS debe estar activado |
AWSMejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: CIS AWS Foundations Benchmark v1.4.0AWS Control Tower, NIST SP 800-53 rev. 5 |
MEDIANO |
Periódico |
|
|
Las instancias EC2 deben utilizar la versión 2 del servicio de metadatos de instancias (IMDSv2) |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
HIGH (ALTO) |
Cambio provocado |
|
|
Las instancias EC2 no deben tener una dirección IPv4 pública |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
HIGH (ALTO) |
Cambio provocado |
|
|
Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2 |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Periódico |
|
|
Deben retirarse los EIP de EC2 no utilizados |
PCI DSS v3.2.1, NIST SP 800-53 rev. 5 |
BAJA |
Cambio provocado |
|
|
Los grupos de seguridad no deberían permitir la entrada del 0.0.0.0/0 al puerto 22 |
CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Asegúrese de que ningún grupo de seguridad permita la entrada del 0.0.0.0/0 al puerto 3389 |
AWSCIS Foundations Benchmark v1.2.0 |
HIGH (ALTO) |
El cambio se desencadenó |
|
|
Las subredes de EC2 no deberían asignar automáticamente direcciones IP públicas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Deben eliminarse las listas de control de acceso a la red no utilizadas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
BAJA |
Cambio provocado |
|
|
Las instancias EC2 no deben usar varios ENI |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
BAJA |
Cambio provocado |
|
|
Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
CRÍTICA |
Cambio provocado |
|
|
Los dos túneles VPN de una conexión VPN de AWS Site-to-Site deberían estar activos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Las ACL de red no deberían permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389 |
AWSMejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS Control Tower AWS |
MEDIANO |
Cambio provocado |
|
|
Deben eliminarse los grupos de seguridad de EC2 que no se utilicen |
Estándar de administración de servicios: AWS Control Tower |
MEDIANO |
Periódico |
|
|
Las pasarelas de tránsito de EC2 no deberían aceptar automáticamente las solicitudes de adjuntos de VPC |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
El cambio se ha activado |
|
|
No se deben utilizar los tipos de instancias paravirtuales EC2 |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las plantillas de lanzamiento de EC2 no deben asignar direcciones IP públicas a las interfaces de red |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Los volúmenes de EBS deben estar en un plan de respaldo |
NIST SP 800-53 Rev. 5 |
BAJA |
Periódico |
|
|
Las instancias EC2 deben estar dentro de una VPC |
NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Los repositorios privados de ECR deben tener configurado el escaneo de imágenes |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
HIGH (ALTO) |
Periódico |
|
|
Los repositorios privados de ECR deben tener configurada la inmutabilidad de las etiquetas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario. |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
HIGH (ALTO) |
Cambio provocado |
|
|
Los contenedores ECS deben ejecutarse sin privilegios |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Los contenedores ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
HIGH (ALTO) |
Cambio provocado |
|
|
Los secretos no deben pasarse como variables de entorno del contenedor |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Las definiciones de tareas de ECS deben tener una configuración de registro |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
El cambio se ha activado |
|
|
Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de ECS deben usar Container Insights |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
El Elastic File System debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Periódico |
|
|
Los volúmenes de Amazon EFS deben estar en los planes de respaldo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Periódico |
|
|
Los puntos de acceso EFS deben aplicar un directorio raíz |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
Los puntos de acceso EFS deben imponer una identidad de usuario |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
Los puntos finales del clúster EKS no deben ser de acceso público |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Periódico |
|
|
Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. 5 AWS Control Tower |
HIGH (ALTO) |
Cambio provocado |
|
|
ElastiCache Los clústeres de Redis deberían tener habilitada la copia de seguridad automática |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Periódico |
|
|
ElastiCache para los clústeres de caché de Redis, debe tener habilitada la actualización automática de la versión secundaria |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Periódico |
|
|
ElastiCache los grupos de replicación deberían tener habilitada la conmutación por error automática |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
ElastiCache los grupos de replicación deberían estar habilitados encryption-at-rest |
AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
ElastiCache los grupos de replicación deberían estar habilitados encryption-in-transit |
AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
ElastiCache los grupos de replicación de versiones anteriores de Redis deberían tener habilitada la autenticación de Redis |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
ElastiCache los clústeres no deben usar el grupo de subredes predeterminado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Periódico |
|
|
Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados |
AWSMejores prácticas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
BAJA |
Cambio provocado |
|
|
Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
HIGH (ALTO) |
Cambio provocado |
|
|
Elastic Beanstalk debe transmitir los registros a CloudWatch |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0 |
HIGH (ALTO) |
El cambio se desencadenó |
|
|
Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
Los balanceadores de carga clásicos con detectores SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Application Load Balancer debe configurarse para eliminar los encabezados http |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
El registro de aplicaciones y de los balanceadores de carga clásicos debe estar habilitado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
La protección contra la eliminación de Application Load Balancer debe estar habilitada |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los balanceadores de carga clásicos con agentes de escucha SSL deben usar una política de seguridad predefinida que tenga una configuración sólida |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los balanceadores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Classic Load Balancer debe abarcar varias zonas de disponibilidad |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Application Load Balancer debe configurarse con el modo defensivo o de mitigación de desincronización más estricto |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los balanceadores de carga de aplicaciones, redes y pasarelas de enlace deben abarcar varias zonas de disponibilidad |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Classic Load Balancer debe configurarse con el modo defensivo o con el modo de mitigación de desincronización más estricto. |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los balanceadores de carga de aplicaciones deben estar asociados a una ACL web AWS WAF |
NIST SP 800-53 rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los nodos maestros MapReduce del clúster de Amazon Elastic no deben tener direcciones IP públicas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 |
HIGH (ALTO) |
Periódico |
|
|
Los dominios de Elasticsearch deben tener activado el cifrado en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 |
MEDIANO |
Periódico |
|
|
Los dominios de Elasticsearch deben estar en una VPC |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 |
CRÍTICA |
Periódico |
|
|
Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los dominios de Elasticsearch deben tener habilitado el registro de auditoría |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los dominios de Elasticsearch deben tener al menos tres nodos de datos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Las conexiones a los dominios de Elasticsearch deben cifrarse mediante TLS 1.2 |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
EventBridge los autobuses personalizados para eventos deberían tener adjunta una política basada en los recursos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
EventBridge los puntos finales globales deberían tener habilitada la replicación de eventos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
GuardDuty debería estar habilitado |
AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 rev. 5 |
HIGH (ALTO) |
Periódico |
|
|
Las políticas de IAM no deberían permitir todos los privilegios administrativos en forma de «*» |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0AWS Control Tower, NIST SP 800-53 rev. 5 AWS |
HIGH (ALTO) |
Cambio provocado |
|
|
Los usuarios de IAM no deberían tener políticas de IAM adjuntas |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. AWS Control Tower 5 |
BAJA |
Cambio provocado |
|
|
Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 AWS Control Tower Rev. 5 |
MEDIANO |
Periódico |
|
|
La clave de acceso del usuario root de IAM no debería existir |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0AWS Control Tower, NIST SP 800-53 rev. 5 AWS |
CRÍTICA |
Periódico |
|
|
La MFA debe estar habilitada para todos los usuarios de IAM que tengan una contraseña de consola |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 AWS Control Tower Rev. 5 |
MEDIANO |
Periódico |
|
|
La MFA de hardware debe estar habilitada para el usuario root |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0AWS Control Tower, NIST SP 800-53 rev. 5 AWS |
CRÍTICA |
Periódico |
|
|
Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 |
MEDIANO |
Periódico |
|
|
Deben eliminarse las credenciales de usuario de IAM que no se utilicen |
CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower rev. 5 |
MEDIANO |
Periódico |
|
|
La MFA virtual debe estar habilitada para el usuario root |
CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 |
CRÍTICA |
Periódico |
|
|
Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida |
PCI DSS v3.2.1 |
MEDIANO |
Periódico |
|
|
Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula |
CIS AWS Foundations Benchmark v1.2.0 |
MEDIANO |
Periódico |
|
|
Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula |
CIS Foundations Benchmark v1.2.0 AWS |
MEDIANO |
Periódico |
|
|
Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo |
CIS AWS Foundations Benchmark v1.2.0 |
MEDIANO |
Periódico |
|
|
Asegúrese de que la política de contraseñas de IAM requiera al menos un número |
CIS AWS Foundations Benchmark v1.2.0 |
MEDIANO |
Periódico |
|
|
Asegúrese de que la política de contraseñas de IAM exija una longitud de contraseña mínima de 14 o más |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
MEDIANO |
Periódico |
|
|
Asegúrese de que la política de contraseñas de IAM impida la reutilización de contraseñas |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
Asegúrese de que la política de contraseñas de IAM haga caducar las contraseñas en un plazo de 90 días o menos |
CIS AWS Foundations Benchmark v1.2.0 |
BAJA |
Periódico |
|
|
Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support |
CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 |
BAJA |
Periódico |
|
|
La MFA debe estar habilitada para todos los usuarios de IAM |
PCI DSS v3.2.1, NIST SP 800-53 rev. 5 |
MEDIANO |
Periódico |
|
|
Evite el uso del usuario root |
CIS AWS Foundations Benchmark v1.2.0 |
BAJA |
Periódico |
|
|
Las políticas de IAM gestionadas por los clientes que usted cree no deberían permitir acciones comodín para los servicios |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
BAJA |
Cambio provocado |
|
|
Deben eliminarse las credenciales de usuario de IAM que no se hayan utilizado durante 45 días |
Índice de referencia sobre AWS las fundaciones CIS, versión 1.4.0 |
MEDIANO |
Periódico |
|
|
Las transmisiones de Kinesis deben cifrarse en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
AWS KMS keysno debe borrarse involuntariamente |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
CRÍTICA |
Cambio provocado |
|
|
AWS KMS keyla rotación debe estar habilitada |
CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 |
MEDIANO |
Periódico |
|
|
Las políticas de funciones Lambda deberían prohibir el acceso público |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
CRÍTICA |
Cambio provocado |
|
|
Las funciones Lambda deben utilizar tiempos de ejecución compatibles |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Las funciones Lambda deben estar en una VPC |
PCI DSS v3.2.1, NIST SP 800-53 rev. 5 |
BAJA |
Cambio provocado |
|
|
Las funciones de VPC Lambda deben funcionar en más de una zona de disponibilidad |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de MSK deben cifrarse en tránsito entre los nodos de los corredores |
AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los corredores de ActiveMQ deben usar el modo de implementación activo/en espera |
NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres |
NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
Los clústeres de bases de datos de Neptune deberían estar cifrados en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower |
MEDIANO |
Periódico |
|
|
Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower |
MEDIANO |
Periódico |
|
|
Las instantáneas del clúster de base de datos de Neptune no deben ser públicas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower |
CRÍTICA |
Cambio provocado |
|
|
Los clústeres de base de datos de Neptune deben tener habilitada la protección contra la eliminación |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower |
Baja |
El cambio se desencadenó |
|
|
Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automatizadas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower |
Media |
El cambio se desencadenó |
|
|
Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower |
Media |
El cambio se desencadenó |
|
|
Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower |
Media |
El cambio se desencadenó |
|
|
Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower |
Baja |
El cambio se desencadenó |
|
|
Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos. |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados. |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
El grupo de reglas de firewall de redes sin estado no debe estar vacío |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los firewalls de Network Firewall deben tener habilitada la protección de eliminación |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
OpenSearch los dominios deben tener habilitado el cifrado en reposo |
AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
OpenSearch los dominios deben estar en una VPC |
AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
CRÍTICA |
Cambio provocado |
|
|
OpenSearch los dominios deben cifrar los datos enviados entre nodos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
OpenSearch El registro de errores de dominio en CloudWatch Logs debe estar habilitado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
OpenSearch los dominios deben tener habilitado el registro de auditoría |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
OpenSearch los dominios deben tener al menos tres nodos de datos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
OpenSearch los dominios deben tener habilitado un control de acceso detallado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
HIGH (ALTO) |
Cambio provocado |
|
|
Las conexiones a los OpenSearch dominios deben cifrarse mediante TLS 1.2 |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
La instantánea de RDS debe ser privada |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 rev. 5 |
CRÍTICA |
Cambio provocado |
|
|
Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
CRÍTICA |
Cambio provocado |
|
|
Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo |
AWSMejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: CIS AWS Foundations Benchmark v1.4.0AWS Control Tower, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las instantáneas del clúster de RDS y las instantáneas de las bases de datos deben cifrarse en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
Los clústeres RDS deben tener habilitada la protección contra la eliminación |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
Las instancias de base de datos de RDS deben tener habilitada la protección contra la eliminación |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
El registro de la base de datos debe estar habilitado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
La autenticación de IAM debe configurarse para las instancias de RDS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Las instancias RDS deben tener habilitadas las copias de seguridad automáticas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
La autenticación de IAM debe configurarse para los clústeres de RDS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las actualizaciones automáticas de las versiones secundarias de RDS deben estar habilitadas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de bases de datos de RDS deben configurarse para copiar etiquetas en las instantáneas |
AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
Las instancias de base de datos de RDS deben configurarse para copiar etiquetas en las instantáneas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
BAJA |
Cambio provocado |
|
|
Las instancias de RDS deben implementarse en una VPC |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
HIGH (ALTO) |
Cambio provocado |
|
|
Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos del clúster |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de las instancias de bases de datos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de parámetros de bases de datos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de seguridad de bases de datos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
Las instancias RDS no deben usar el puerto predeterminado de un motor de base de datos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
Los clústeres de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las instancias de base de datos de RDS deben protegerse mediante un plan de respaldo |
NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
Los clústeres de bases de datos de RDS deben cifrarse en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en CloudWatch Logs |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de bases de datos de RDS deberían tener habilitada la actualización automática de las versiones secundarias |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de Amazon Redshift deberían prohibir el acceso público |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
CRÍTICA |
Cambio provocado |
|
|
Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los clústeres de Redshift deben estar cifrados en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las zonas alojadas públicas de Route 53 deben registrar las consultas de DNS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
La configuración de acceso público en bloque S3 debe estar habilitada |
AWSMejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
Los cubos S3 deberían prohibir el acceso público de lectura |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
CRÍTICA |
Cambio provocado y periódico |
|
|
Los buckets S3 deberían prohibir el acceso público de escritura |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
CRÍTICA |
Cambio provocado y periódico |
|
|
Los buckets S3 deben tener habilitado el cifrado del lado del servidor |
AWSMejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0AWS Control Tower, NIST SP 800-53 rev. 5 AWS |
MEDIANO |
Cambio provocado |
|
|
Los buckets S3 deberían requerir solicitudes para usar Secure Socket Layer |
AWSMejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS |
MEDIANO |
Cambio provocado |
|
|
Los permisos de S3 concedidos a otras políticas Cuentas de AWS incluidas en el bucket deben restringirse |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Los buckets S3 deben tener habilitada la replicación entre regiones |
PCI DSS v3.2.1, NIST SP 800-53 rev. 5 |
BAJA |
Cambio provocado |
|
|
La configuración de acceso público en bloque S3 debe estar habilitada a nivel de bucket |
AWSMejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: CIS AWS Foundations Benchmark v1.4.0AWS Control Tower, NIST SP 800-53 rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
El registro de acceso al servidor de cubos S3 debe estar habilitado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
Los buckets S3 con el control de versiones activado deben tener configuradas las políticas de ciclo de vida |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los buckets S3 deberían tener habilitadas las notificaciones de eventos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las listas de control de acceso (ACL) de S3 no deben usarse para administrar el acceso de los usuarios a los depósitos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Los buckets S3 deben tener configuradas las políticas de ciclo de vida |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 |
BAJA |
Cambio provocado |
|
|
Los buckets S3 deberían tener habilitado el control de versiones |
NIST SP 800-53 Rev. 5 |
BAJA |
Cambio provocado |
|
|
Los depósitos S3 deben configurarse para usar Object Lock |
NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Los cubos S3 deben cifrarse en reposo con AWS KMS keys |
NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las instancias de Amazon SageMaker Notebook no deberían tener acceso directo a Internet |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Periódico |
|
|
SageMaker las instancias de notebook deben lanzarse en una VPC personalizada |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Los usuarios no deberían tener acceso root a las instancias de los SageMaker portátiles |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Los secretos de Secrets Manager deberían tener habilitada la rotación automática |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
Elimine los secretos de Secrets Manager no utilizados |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Periódico |
|
|
Los secretos de Secrets Manager deben rotarse en un número específico de días |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
Los temas de SNS deben cifrarse en reposo mediante AWS KMS |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
El registro del estado de entrega debe estar habilitado para los mensajes de notificación enviados a un tema |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 |
MEDIANO |
Cambio provocado |
|
|
Las colas de Amazon SQS deben cifrarse en reposo |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
Las instancias EC2 deben administrarse mediante AWS Systems Manager |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Las instancias EC2 administradas por Systems Manager deben tener el estado de conformidad con los parches de CONFORMIDAD CON LOS PARCHES después de la instalación de un parche |
AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 rev. 5 |
HIGH (ALTO) |
Cambio provocado |
|
|
Las instancias EC2 administradas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT. |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1AWS Control Tower, NIST SP 800-53 rev. 5 |
BAJA |
Cambio provocado |
|
|
Los documentos del SSM no deben ser públicos |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
CRÍTICA |
Periódico |
|
|
Step Functions indica que las máquinas deberían tener el registro activado |
Prácticas recomendadas de seguridad básica de AWS |
MEDIANO |
Cambio provocado |
|
|
AWS WAFEl registro Classic Global Web ACL debe estar habilitado |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Periódico |
|
|
Una regla regional de la WAF debe tener al menos una condición |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Un grupo de reglas regionales de la WAF debe tener al menos una regla |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Una regla global del WAF debe tener al menos una condición |
AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Un grupo de reglas globales de la WAF debe tener al menos una regla |
AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Una ACL web global de WAF debe tener al menos una regla o grupo de reglas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
|
|
Una ACL web del WAFV2 debe tener al menos una regla o grupo de reglas |
AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower |
MEDIANO |
Cambio provocado |
|
|
AWS WAFEl registro de ACL web v2 debe estar habilitado |
NIST SP 800-53 rev. 5 |
BAJA |
Periódico |
|
|
AWS WAFlas reglas deben tener las métricas habilitadas CloudWatch |
AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 |
MEDIANO |
Cambio provocado |
Temas
- Cuenta de AWScontroles
- AWS Certificate Managercontroles
- Controles de Amazon API Gateway
- AWS AppSynccontroles
- Controles de Amazon Athena
- AWS CloudFormationcontroles
- Controles de Amazon CloudFront
- AWS CloudTrailcontroles
- Amazon CloudWatch controla
- AWS CodeBuildcontroles
- AWS Configcontroles
- AWS Database Migration Servicecontroles
- Controles de Amazon DocumentDB
- Controles de Amazon DynamoDB
- Controles de Amazon Elastic Container Registry
- Controles de Amazon ECS
- Controles de Amazon Elastic Compute Cloud
- Controles de Auto Scaling de Amazon EC2
- Controles de Amazon EC2 Systems Manager
- Controles de Amazon Elastic File System
- Controles del servicio Amazon Elastic Kubernetes Service
- Controles de Amazon ElastiCache
- AWS Elastic Beanstalkcontroles
- Controles de Elastic Load Balancing
- Controles de Amazon EMR
- Controles de Elasticsearch
- EventBridge Controles de Amazon
- GuardDuty Controles de Amazon
- AWS Identity and Access Managementcontroles
- Controles de Amazon Kinesis
- AWS Key Management Servicecontroles
- AWS Lambdacontroles
- Controles de Amazon MSK
- Controles de Amazon MQ
- Controles de Amazon Neptune
- AWS Network Firewallcontroles
- Controles de Amazon OpenSearch Service
- Controles de Amazon Relational Database Service
- Controles de Amazon Redshift
- Controles de Amazon Route 53
- Controles de Amazon Simple Storage Service
- Amazon controla SageMaker
- AWS Secrets Managercontroles
- Controles del Amazon Simple Notification Service
- Controles de Amazon Simple Queue Service
- AWS Step Functionscontroles
- AWS WAFcontroles
