Referencia de controles de Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Referencia de controles de Security Hub

Esta referencia de controles proporciona una lista de los controles disponibles AWS Security Hub controles con enlaces a más información sobre cada control. La tabla de información general muestra los controles en orden alfabético por identificador de control. Aquí solo se incluyen los controles que Security Hub utiliza activamente. Los controles retirados se excluyen de esta lista. La tabla proporciona la siguiente información para cada control:

  • ID de control de seguridad: este ID se aplica a todos los estándares e indica Servicio de AWS y el recurso al que se refiere el control. La consola Security Hub muestra el control de seguridadIDs, independientemente de si los hallazgos de control consolidados están activados o desactivados en su cuenta. Sin embargo, los hallazgos de Security Hub hacen referencia al control de seguridad IDs solo si los hallazgos de control consolidado están activados en su cuenta. Si las conclusiones de control consolidadas están desactivadas en su cuenta, algunos controles IDs varían según el estándar en sus conclusiones de control. Para ver un mapeo entre el control específico de un estándar y el control IDs de seguridadIDs, consulte. Cómo afecta la consolidación al control y a los títulos IDs

    Si desea configurar las automatizaciones de los controles de seguridad, le recomendamos que filtre en función del identificador del control y no del título o la descripción. Si bien Security Hub puede actualizar ocasionalmente los títulos o descripciones de los controles, el control IDs sigue siendo el mismo.

    El control IDs puede omitir números. Estos son marcadores de posición para futuros controles.

  • Normas aplicables: indica a qué normas se aplica un control. Seleccione un control para ver los requisitos específicos de los marcos de cumplimiento de terceros.

  • Título de control de seguridad: este título se aplica a todos los estándares. La consola Security Hub muestra los títulos de los controles de seguridad, independientemente de si los resultados de control consolidados están activados o desactivados en su cuenta. Sin embargo, los resultados de Security Hub hacen referencia a los títulos de control de seguridad solo si los resultados de control consolidado están activados en su cuenta. Si los resultados de control consolidados están desactivados en su cuenta, algunos títulos de control varían según el estándar en los resultados de control. Para ver un mapeo del control específico del estándar con el control IDs de seguridadIDs, consulte. Cómo afecta la consolidación al control y a los títulos IDs

  • Gravedad: la gravedad de un control identifica su importancia desde el punto de vista de la seguridad. Para obtener información sobre cómo Security Hub determina la gravedad del control, consulte Asignación de la gravedad a los resultados de los controles.

  • Tipo de programa: indica cuándo se evalúa el control. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.

  • Admite parámetros personalizados: indica si el control admite valores personalizados para uno o varios parámetros. Seleccione un control para ver los detalles de los parámetros. Para obtener más información, consulte Descripción de los parámetros de control en Security Hub.

Seleccione un control para ver sus detalles. Los controles se muestran en orden alfabético según el nombre del servicio.

ID de control de seguridad Título de control de seguridad Estándares aplicables Gravedad Admite parámetros personalizados Tipo de programación
Account.1 La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS CIS AWS Foundations Benchmark v3.0.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No Periódico
Account.2 Cuenta de AWS debería ser parte de un AWS Organizations organización NISTSP 800-53 Rev. 5 HIGH No Periódico
ACM1. Los certificados importados y ACM emitidos deben renovarse después de un período de tiempo específico AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM El cambio se desencadena y es periódico
ACM2. RSAlos certificados gestionados por ACM deben utilizar una longitud de clave de al menos 2.048 bits AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 HIGH No El cambio se ha activado
ACM3. ACMlos certificados deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
APIGateway1. APILa puerta de enlace REST y el registro de WebSocket API ejecuciones deben estar habilitados AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM El cambio se ha activado
APIGateway2. APIRESTAPILas etapas de la puerta de enlace deben configurarse para usar SSL certificados para la autenticación de back-end AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
APIGateway3. APIRESTAPILas etapas de puerta de enlace deberían tener AWS X-Ray el rastreo está habilitado AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
APIGateway4. APILa puerta de enlace debe estar asociada a una web WAF ACL AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
APIGateway5. APILos datos de la REST API caché de la puerta de enlace deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
APIGateway8. APILas rutas de puerta de enlace deben especificar un tipo de autorización AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM Periódico
APIGateway9. El registro de acceso debe configurarse para las etapas de API Gateway V2 AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
AppSync2. AWS AppSync debe tener habilitado el registro a nivel de campo AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 MEDIUM El cambio se ha activado
AppSync4. AWS AppSync GraphQL APIs debe estar etiquetado AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
AppSync5. AWS AppSync GraphQL no APIs debe autenticarse con claves API AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0, SP 800-53 Rev. 5 NIST HIGH ¡No El cambio se ha activado
Atena.2 Los catálogos de datos de Athena deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Atena.3 Los grupos de trabajo de Athena deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Atena.4 Los grupos de trabajo de Athena deberían tener habilitado el registro AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 MEDIUM No El cambio se ha activado
AutoScaling1. Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar comprobaciones ELB de estado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
AutoScaling2. El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM El cambio se ha activado
AutoScaling3. Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar EC2 las instancias para que requieran la versión 2 del servicio de metadatos de instancias (IMDSv2) AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
Autoscaling.5 EC2Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
AutoScaling6. Los grupos de escalado automático deben usar varios tipos de instancias en varias zonas de disponibilidad AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
AutoScaling9. EC2Los grupos de Auto Scaling deben usar plantillas de EC2 lanzamiento AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
AutoScaling.10 EC2Los grupos de Auto Scaling deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Backup.1 AWS Backup Los puntos de recuperación deben estar cifrados en reposo AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
Copia de seguridad.2 AWS Backup los puntos de recuperación deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Copia de seguridad.3 AWS Backup las bóvedas deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Respaldo. 4 AWS Backup los planes de informes deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Copia de seguridad.5 AWS Backup los planes de respaldo deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
CloudFormation2. CloudFormation las pilas deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
CloudFront1. CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 HIGH ¡No El cambio se ha activado
CloudFront3. CloudFront las distribuciones deberían requerir el cifrado en tránsito AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
CloudFront4. CloudFront las distribuciones deben tener configurada la conmutación por error de origen AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, SP 800-53 Rev. 5 NIST LOW ¡No El cambio se ha activado
CloudFront5. CloudFront las distribuciones deberían tener el registro habilitado AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
CloudFront6. CloudFront las distribuciones deberían estar habilitadas WAF AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
CloudFront7. CloudFront las distribuciones deben usar certificados/personalizados SSL TLS AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
CloudFront8. CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 LOW ¡No El cambio se ha activado
CloudFront9. CloudFront las distribuciones deben cifrar el tráfico hacia orígenes personalizados AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, SP 800-53 Rev. 5 NIST MEDIUM ¡No El cambio se ha activado
CloudFront.10 CloudFront las distribuciones no deben usar SSL protocolos obsoletos entre las ubicaciones de los bordes y los orígenes personalizados AWS Mejores prácticas fundamentales de seguridad v1.0.0, SP 800-53 Rev. 5 NIST MEDIUM ¡No El cambio se ha activado
CloudFront.12 CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, SP 800-53 Rev. 5 NIST HIGH ¡No Periódico
CloudFront.13 CloudFront las distribuciones deben usar el control de acceso al origen AWS Mejores prácticas fundamentales de seguridad v1.0.0 MEDIUM No El cambio se ha activado
CloudFront.14 CloudFront las distribuciones deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
CloudTrail1. CloudTrail debe estar habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No Periódico
CloudTrail2. CloudTrail debe tener activado el cifrado en reposo CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower PCIDSS, v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 MEDIUM No Periódico
CloudTrail3. Debe estar habilitado al menos un CloudTrail sendero PCIDSSv3.2.1 HIGH No Periódico
CloudTrail4. CloudTrail La validación del archivo de registro debe estar habilitada CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower PCIDSS, v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 LOW No Periódico
CloudTrail5. CloudTrail los senderos deben estar integrados con Amazon CloudWatch Logs CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower PCIDSS, v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 LOW No Periódico
CloudTrail6. Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 CRITICAL No El cambio se desencadena y es periódico
CloudTrail7. Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3 CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudTrail9. CloudTrail los senderos deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
CloudWatch1. Debe existir un filtro de métrica de registro y una alarma para el uso del usuario raíz CIS AWS Foundations Benchmark v1.2.0, v3.2.1, PCI DSS CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch2. Asegúrese de que existan un registro métrico, un filtro y una alarma para las API llamadas no autorizadas CIS AWS Foundations Benchmark v1.2.0 LOW No Periódico
CloudWatch3. Asegúrese de que existan un filtro de métricas de registro y una alarma para iniciar sesión en la consola de administración sin MFA CIS AWS Foundations Benchmark v1.2.0 LOW No Periódico
CloudWatch4. Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios IAM de política CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch5. Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch6. Asegúrese de que existan un filtro de métrica de registro y una alarma para AWS Management Console errores de autenticación CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch7. Asegúrese de que existan un registro, un filtro métrico y una alarma para deshabilitar o eliminar de forma programada los datos creados por el cliente CMKs CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch8. Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de S3 CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch9. Asegúrese de que existan un filtro de métrica de registro y una alarma para AWS Config cambios de configuración CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch.10 Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de grupos de seguridad CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch.11 Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red () NACL CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch.12 Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch.13 Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch.14 Asegúrese de que existan un registro métrico, un filtro y una alarma para detectar cambios VPC CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 LOW No Periódico
CloudWatch.15 CloudWatch las alarmas deben tener configuradas las acciones especificadas NISTSP 800-53 Rev. 5 HIGH El cambio se ha activado
CloudWatch1.6 CloudWatch Los grupos de registros deben conservarse durante un período de tiempo específico NISTSP 800-53 Rev. 5 MEDIUM Periódico
CloudWatch1.7 CloudWatch las acciones de alarma deben estar habilitadas NISTSP 800-53 Rev. 5 HIGH No El cambio se ha activado
CodeArtifact1. CodeArtifact los repositorios deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
CodeBuild1. CodeBuild El repositorio fuente de Bitbucket no URLs debe contener credenciales confidenciales AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de gestión de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No El cambio se ha activado
CodeBuild2. CodeBuild las variables de entorno del proyecto no deben contener credenciales de texto claro AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No El cambio se ha activado
CodeBuild3. CodeBuild Los registros de S3 deben estar cifrados AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
CodeBuild4. CodeBuild los entornos del proyecto deben tener una configuración de registro AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
CodeBuild7. CodeBuild las exportaciones de los grupos de informes deben estar cifradas en reposo AWS Mejores prácticas fundamentales de seguridad v1.0.0 MEDIUM No El cambio se ha activado
Config.1 AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1 PCI DSS MEDIUM Periódico
DataFirehose1. Los flujos de entrega de Firehose deberían estar cifrados en reposo AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No Periódico
DataSync1. DataSync las tareas deberían tener el registro activado AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 MEDIUM No El cambio se ha activado
Detective.1 Los gráficos de comportamiento de los Detectives deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
DMS1. Las instancias de replicación de Servicio de migración de bases de datos no deben ser públicas AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No Periódico
DMS2. DMSlos certificados deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
DMS3. DMSlas suscripciones a eventos deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
DMS4. DMSlas instancias de replicación deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
DMS5. DMSlos grupos de subredes de replicación deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
DMS6. DMSlas instancias de replicación deben tener habilitada la actualización automática de las versiones secundarias AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
DMS7. DMSlas tareas de replicación de la base de datos de destino deben tener el registro activado AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
DMS8. DMSlas tareas de replicación de la base de datos de origen deben tener el registro activado AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
DMS9. DMSlos puntos finales deben usar SSL AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
DMS.10 DMSlos puntos finales de las bases de datos de Neptune deben tener IAM habilitada la autorización AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, SP 800-53 Rev. 5 NIST MEDIUM ¡No El cambio se ha activado
DMS.11 DMSlos puntos finales de MongoDB deben tener un mecanismo de autenticación habilitado AWS Mejores prácticas fundamentales de seguridad v1.0.0, SP 800-53 Rev. 5 NIST MEDIUM ¡No El cambio se ha activado
DMS.12 DMSLos puntos finales de Redis OSS deberían estar habilitados TLS AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, SP 800-53 Rev. 5 NIST MEDIUM ¡No El cambio se ha activado
DocumentDB.1 Los clústeres de Amazon DocumentDB deben estar cifrados en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIUM No El cambio se ha activado
DocumentDB.2 Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIUM El cambio se ha activado
DocumentDB.3 Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, SP 800-53 Rev. 5 NIST CRITICAL ¡No El cambio se ha activado
DocumentDB.4 Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
DocumentDB.5 Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
DynamoDB.1 Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM Periódico
DynamoDB.2 Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
DynamoDB.3 Los clústeres de DynamoDB Accelerator DAX () deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, SP 800-53 Rev. 5 NIST MEDIUM ¡No Periódico
DynamoDB.4 Las tablas de DynamoDB deben estar presentes en un plan de copia de seguridad NISTSP 800-53 rev. 5 MEDIUM Periódico
DynamoDB 5 Las tablas de DynamoDB deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
DynamoDB.6 Las tablas de DynamoDB deben tener la protección contra eliminación habilitada AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
Dynamo DB.7 Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, SP 800-53 Rev. 5 NIST MEDIUM ¡No Periódico
EC21. EBSlas instantáneas no deberían poder restaurarse públicamente AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No Periódico
EC22. VPClos grupos de seguridad predeterminados no deberían permitir el tráfico entrante o saliente CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower PCIDSS, v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 HIGH No El cambio se ha activado
EC23. EBSLos volúmenes adjuntos deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
EC24. EC2Las instancias detenidas deben eliminarse después de un período de tiempo específico AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM Periódico
EC26. VPCel registro de flujo debe estar habilitado en todos VPCs CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower PCIDSS, v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 MEDIUM No Periódico
EC27. EBSel cifrado predeterminado debe estar activado CIS AWS Foundations Benchmark v3.0.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, CIS AWS Foundations Benchmark v1.4.0, SP 800-53 Rev. 5 NIST MEDIUM No Periódico
EC28. EC2las instancias deben usar Instance Metadata Service, versión 2 () IMDSv2 CIS AWS Foundations Benchmark v3.0.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
EC29. EC2las instancias no deben tener una dirección pública IPv4 AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
EC2.10 Amazon EC2 debe configurarse para utilizar los VPC puntos de enlace que se crean para el servicio de AmazonEC2. AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No Periódico
EC2.12 Los que no se usen EC2 EIPs deben ser retirados PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 LOW No El cambio se ha activado
EC2.13 Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22 CIS AWS Foundations Benchmark v1.2.0, v3.2.1, SP 800-53 rev. 5 PCI DSS NIST HIGH No El cambio se desencadena y es periódico
EC2.14 Los grupos de seguridad no deben permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389 CIS AWS Foundations Benchmark v1.2.0 HIGH No El cambio se desencadena y es periódico
EC2.15 EC2las subredes no deberían asignar automáticamente direcciones IP públicas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
EC2.16 Deben eliminarse las listas de control de acceso a la red no utilizadas AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
EC2.17 EC2las instancias no deben usar múltiples ENIs AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
EC2.18 Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH El cambio se ha activado
EC21.9 Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST CRITICAL No El cambio se desencadena y es periódico
EC2.20 Ambos VPN túneles para un AWS La VPN conexión de sitio a sitio debe estar activa AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
EC2.21 La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389 CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
EC2.22 Se deben EC2 eliminar los grupos de seguridad no utilizados Estándar gestionado por el servicio: AWS Control Tower MEDIUM No Periódico
EC2.23 EC2Transit Gateways no debería aceptar VPC automáticamente las solicitudes de archivos adjuntos AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 HIGH ¡No El cambio se ha activado
EC2.24 EC2No se deben usar tipos de instancias paravirtuales AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
EC2.25 EC2las plantillas de lanzamiento no deben asignar interfaces públicas IPs a las de red AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
EC2.28 EBSlos volúmenes deben estar en un plan de respaldo NISTSP 800-53 Rev. 5 LOW Periódico
EC23.3 EC2Los archivos adjuntos a las pasarelas de tránsito deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC23.4 EC2Las tablas de rutas de las pasarelas de tránsito deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC23.5 EC2las interfaces de red deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC23.6 EC2las pasarelas de los clientes deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC23.7 EC2Las direcciones IP elásticas deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC23.8 EC2las instancias deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC2.39 EC2las pasarelas de internet deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC24.0 EC2NATlas pasarelas deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC24.1 EC2la red ACLs debe estar etiquetada AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC24.2 EC2las tablas de rutas deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC24.3 EC2los grupos de seguridad deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC24.4 EC2las subredes deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC24.5 EC2los volúmenes deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC24.6 Amazon VPCs debería estar etiquetado AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC24.7 Los servicios de Amazon VPC Endpoint Services deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC24.8 Los registros VPC de flujo de Amazon deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC24.9 Las conexiones entre VPC pares de Amazon deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC25.0 EC2VPNlas pasarelas deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC25.1 EC2VPNLos puntos finales del cliente deben tener habilitado el registro de conexiones del cliente AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 LOW ¡No El cambio se ha activado
EC2.52 EC2las pasarelas de tránsito deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EC25.3 EC2los grupos de seguridad no deberían permitir la entrada desde 0.0.0.0/0 a los puertos de administración remota del servidor CIS AWS Foundations Benchmark v3.0.0 HIGH No Periódico
EC2.54 EC2los grupos de seguridad no deberían permitir la entrada desde: :/0 a los puertos de administración remota del servidor CIS AWS Foundations Benchmark v3.0.0 HIGH No Periódico
ECR1. ECRlos repositorios privados deben tener configurado el escaneo de imágenes AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No Periódico
ECR2. ECRlos repositorios privados deben tener configurada la inmutabilidad de las etiquetas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ECR3. ECRlos repositorios deben tener configurada al menos una política de ciclo de vida AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ECR4. ECRLos repositorios públicos deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
ECS1. Las definiciones de ECS tareas de Amazon deben tener modos de red seguros y definiciones de usuario. AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
ECS2. ECSlos servicios no deberían tener direcciones IP públicas asignadas automáticamente AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
ECS3. ECSlas definiciones de tareas no deben compartir el espacio de nombres del proceso del anfitrión AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
ECS4. ECSlos contenedores deben ejecutarse sin privilegios AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
ECS5. ECSlos contenedores deben limitarse al acceso de solo lectura a los sistemas de archivos raíz AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
ECS8. Los secretos no deben pasarse como variables de entorno del contenedor AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
ECS9. ECSlas definiciones de tareas deben tener una configuración de registro AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 HIGH ¡No El cambio se ha activado
ECS.10 ECSLos servicios de Fargate deberían ejecutarse en la última versión de la plataforma Fargate AWS Mejores prácticas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ECS.12 ECSlos clústeres deberían usar Container Insights AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ECS.13 ECSlos servicios deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
ECS1.4 ECSlos clústeres deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
ECS1.5 ECSlas definiciones de tareas deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EFS1. El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS CIS AWS Foundations Benchmark v3.0.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No Periódico
EFS2. EFSLos volúmenes de Amazon deberían estar en los planes de respaldo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No Periódico
EFS3. EFSlos puntos de acceso deberían establecer un directorio raíz AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
EFS4. EFSlos puntos de acceso deben reforzar la identidad de un usuario AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
EFS5. EFSlos puntos de acceso deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EFS6. EFSlos objetivos de montaje no deben estar asociados a una subred pública AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 MEDIUM No Periódico
EFS7. EFSlos sistemas de archivos deben tener habilitadas las copias de seguridad automáticas AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 MEDIUM No El cambio se ha activado
EKS1. EKSlos puntos finales de los clústeres no deberían ser de acceso público AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 HIGH ¡No Periódico
EKS2. EKSlos clústeres deberían ejecutarse en una versión compatible de Kubernetes AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
EKS3. EKSlos clústeres deberían usar secretos de Kubernetes cifrados AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, SP 800-53 Rev. 5 NIST MEDIUM ¡No Periódico
EKS6. EKSlos clústeres deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EKS7. EKSlas configuraciones de los proveedores de identidad deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EKS8. EKSlos clústeres deben tener habilitado el registro de auditoría AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
ElastiCache1. ElastiCache Los clústeres (RedisOSS) deben tener habilitadas las copias de seguridad automáticas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 HIGH Periódico
ElastiCache2. ElastiCache Los clústeres (RedisOSS) deben tener habilitadas las actualizaciones automáticas de las versiones secundarias AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 HIGH ¡No Periódico
ElastiCache3. ElastiCache Los grupos de replicación (RedisOSS) deberían tener habilitada la conmutación por error automática AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, SP 800-53 Rev. 5 NIST MEDIUM ¡No Periódico
ElastiCache4. ElastiCache (RedisOSS) los grupos de replicación deben ser encrypted-at-rest AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No Periódico
ElastiCache5. ElastiCache (RedisOSS) los grupos de replicación deben ser encrypted-in-transit AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No Periódico
ElastiCache6. ElastiCache (RedisOSS) los grupos de replicación de versiones anteriores deberían tener Redis activado OSS AUTH AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, SP 800-53 rev. 5 NIST MEDIUM ¡No Periódico
ElastiCache7. ElastiCache Los clústeres (RedisOSS) no deben usar el grupo de subredes predeterminado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, SP 800-53 rev. 5 NIST HIGH ¡No Periódico
ElasticBeanstalk1. Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
ElasticBeanstalk2. Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH El cambio se ha activado
ElasticBeanstalk3. Elastic Beanstalk debe transmitir los registros a CloudWatch AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 HIGH El cambio se ha activado
ELB1. Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST MEDIUM No Periódico
ELB2. Los balanceadores de carga clásicos con HTTPS oyentesSSL/deben usar un certificado proporcionado por AWS Certificate Manager AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ELB3. Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ELB4. Equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ELB5. El registro de aplicaciones y de los equilibradores de carga clásicos debe estar habilitado AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ELB6. Los balanceadores de carga de aplicaciones, puertas de enlace y redes deben tener habilitada la protección contra la eliminación AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ELB7. Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ELB8. Los balanceadores de carga clásicos con SSL oyentes deben usar una política de seguridad predefinida que tenga una configuración sólida AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ELB9. Los equilibradores de carga clásicos deben tener habilitado el equilibrador de carga entre zonas AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ELB.10 Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM El cambio se ha activado
ELB1.2 Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto. AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ELB.13 Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM El cambio se ha activado
ELB.14 Equilibrador de carga clásico debe configurarse con el modo defensivo o con el modo de mitigación de desincronización más estricto. AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ELB.16 Los balanceadores de carga de aplicaciones deben estar asociados a un AWS WAF web ACL NISTSP 800-53 rev. 5 MEDIUM No El cambio se ha activado
EMR1. Los nodos principales EMR del clúster de Amazon no deben tener direcciones IP públicas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No Periódico
EMR2. La configuración EMR de bloqueo de acceso público de Amazon debe estar habilitada AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 CRITICAL ¡No Periódico
ES.1 Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST MEDIUM No Periódico
ES.2 Los dominios de Elasticsearch no deben ser de acceso público AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No Periódico
ES.3 Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ES.4 Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs AWS Mejores prácticas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ES.5 Los dominios de Elasticsearch deben tener habilitado el registro de auditoría AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ES.6 Los dominios de Elasticsearch deben tener al menos tres nodos de datos AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ES.7 Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ES.8 Las conexiones a los dominios de Elasticsearch deben cifrarse con la política de seguridad más reciente TLS AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
ES.9 Los dominios de Elasticsearch deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EventBridge2. EventBridge los autobuses del evento deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
EventBridge3. EventBridge los autobuses personalizados para eventos deberían tener adjunta una política basada en los recursos AWS Mejores prácticas fundamentales de seguridad v1.0.0, SP 800-53 Rev. 5 NIST LOW ¡No El cambio se ha activado
EventBridge4. EventBridge los puntos finales globales deberían tener habilitada la replicación de eventos NISTSP 800-53 Rev. 5 MEDIUM No El cambio se ha activado
FSx1. FSxpara sistemas de ZFS archivos abiertos, debe configurarse para copiar etiquetas a copias de seguridad y volúmenes AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 LOW ¡No El cambio se ha activado
FSx2. FSxpara Lustre, los sistemas de archivos deben configurarse para copiar etiquetas a las copias de seguridad AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 LOW ¡No El cambio se ha activado
Pegamento.1 AWS Glue los trabajos deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Pegamento.2 AWS Glue los trabajos deberían tener habilitado el registro AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 MEDIUM No El cambio se ha activado
Pegamento.3 AWS Glue Las transformaciones de aprendizaje automático deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 MEDIUM No El cambio se ha activado
GlobalAccelerator1. Los aceleradores de Global Accelerator deberían estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
GuardDuty1. GuardDuty debería estar habilitado AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST HIGH No Periódico
GuardDuty2. GuardDuty los filtros deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
GuardDuty3. GuardDuty IPSetsdebe estar etiquetado AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
GuardDuty4. GuardDuty los detectores deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
GuardDuty5. GuardDuty EKSLa supervisión del registro de auditoría debe estar habilitada AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 HIGH No Periódico
GuardDuty6. GuardDuty La protección Lambda debe estar habilitada AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0 HIGH No Periódico
GuardDuty8. GuardDuty La protección contra malware para EC2 debe estar habilitada AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 HIGH No Periódico
GuardDuty9. GuardDuty RDSLa protección debe estar habilitada AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 HIGH No Periódico
GuardDuty.10 GuardDuty La protección S3 debe estar habilitada AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 HIGH No Periódico
IAM1. IAMlas políticas no deberían permitir todos los privilegios administrativos «*» CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower PCIDSS, v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 HIGH No El cambio se ha activado
IAM2. IAMlos usuarios no deberían tener IAM políticas adjuntas CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
IAM3. IAMlas claves de acceso de los usuarios deben rotarse cada 90 días o menos CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No Periódico
IAM4. IAMla clave de acceso del usuario root no debería existir CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No Periódico
IAM5. MFAdebe estar habilitada para todos los IAM usuarios que tengan una contraseña de consola CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No Periódico
IAM6. El hardware MFA debe estar habilitado para el usuario root CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No Periódico
IAM7. Las políticas de contraseñas para IAM los usuarios deben tener configuraciones sólidas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM Periódico
IAM8. Deben eliminarse las credenciales de IAM usuario no utilizadas CIS AWS Foundations Benchmark v1.2.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST MEDIUM No Periódico
IAM9. MFAdebe estar habilitado para el usuario root CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, SP 800-53 rev. 5 NIST CRITICAL No Periódico
IAM.10 Las políticas de contraseñas para IAM los usuarios deben tener configuraciones sólidas PCIDSSv3.2.1 MEDIUM No Periódico
IAM.11 Asegúrese de que IAM la política de contraseñas requiera al menos una letra mayúscula CIS AWS Foundations Benchmark v1.2.0 MEDIUM No Periódico
IAM.12 Asegúrese de que IAM la política de contraseñas requiera al menos una letra minúscula CIS AWS Foundations Benchmark v1.2.0 MEDIUM No Periódico
IAM.13 Asegúrese de que IAM la política de contraseñas requiera al menos un símbolo CIS AWS Foundations Benchmark v1.2.0 MEDIUM No Periódico
IAM.14 Asegúrese de que IAM la política de contraseñas requiera al menos un número CIS AWS Foundations Benchmark v1.2.0 MEDIUM No Periódico
IAM.15 Asegúrese de que IAM la política de contraseñas exija una longitud de contraseña mínima de 14 o más CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0 MEDIUM No Periódico
IAM.16 Asegúrese de que IAM la política de contraseñas impida la reutilización de contraseñas CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0 LOW No Periódico
IAM.17 Asegúrese de que IAM la política de contraseñas caduque las contraseñas en un plazo de 90 días o menos CIS AWS Foundations Benchmark v1.2.0 LOW No Periódico
IAM.18 Asegúrese de que se haya creado una función de apoyo para gestionar los incidentes con AWS Support CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0 LOW No Periódico
IAM.19 MFAdebería estar habilitado para todos los usuarios IAM PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 MEDIUM No Periódico
IAM.21 IAMLas políticas administradas por el cliente que cree no deberían permitir acciones comodín para los servicios AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
IAM.22 IAMlas credenciales de usuario no utilizadas durante 45 días deben eliminarse CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0 MEDIUM No Periódico
IAM.23 IAMLos analizadores de Access Analyzer deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
IAM2.4 IAMlos roles deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
IAM2.5 IAMlos usuarios deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
IAM2.6 TLSLos certificados SSL caducados o gestionados IAM deben eliminarse CIS AWS Foundations Benchmark v3.0.0 MEDIUM No Periódico
IAM.27 IAMlas identidades no deberían tener la AWSCloudShellFullAccess política adjunta CIS AWS Foundations Benchmark v3.0.0 MEDIUM No El cambio se ha activado
IAM.28 IAMEl analizador de acceso externo Access Analyzer debe estar activado CIS AWS Foundations Benchmark v3.0.0 HIGH No Periódico
Inspector.1 El EC2 escaneo de Amazon Inspector debe estar activado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 HIGH No Periódico
Inspector.2 El ECR escaneo de Amazon Inspector debe estar activado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 HIGH No Periódico
Inspector.3 El escaneo de código Lambda de Amazon Inspector debe estar activado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 HIGH No Periódico
Inspector.4 El escaneo estándar de Amazon Inspector Lambda debe estar activado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 HIGH No Periódico
IoT 1 AWS IoT Device Defender los perfiles de seguridad deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
IoT 2 AWS IoT Core las acciones de mitigación deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
IoT 3 AWS IoT Core las dimensiones deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
IoT 4 AWS IoT Core los autorizadores deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Internet de las cosas. 5 AWS IoT Core Los alias de los roles deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
IoT 6 AWS IoT Core las políticas deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Kinesis.1 Las transmisiones de Kinesis deben cifrarse en reposo AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Cinesis.2 Las transmisiones de Kinesis deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
KMS1. IAMlas políticas gestionadas por el cliente no deberían permitir acciones de descifrado en todas KMS las claves AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
KMS2. IAMlos directores no deberían tener políticas IAM integradas que permitan realizar acciones de descifrado en todas las claves KMS AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
KMS3. AWS KMS keys no debe suprimirse involuntariamente AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST CRITICAL No El cambio se ha activado
KMS4. AWS KMS key la rotación debe estar habilitada CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, SP 800-53 rev. 5 NIST MEDIUM No Periódico
Lambda.1 Las funciones de Lambda deberían prohibir el acceso público AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No El cambio se ha activado
Lambda.2 Las funciones de Lambda deben usar los últimos tiempos de ejecución AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Lambda.3 Las funciones Lambda deben estar en un VPC PCIDSSv3.2.1, NIST SP 800-53 Rev. 5 LOW No El cambio se ha activado
Lambda.5 VPCLas funciones Lambda deben funcionar en varias zonas de disponibilidad AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM El cambio se ha activado
Lambda.6 Las funciones Lambda deben etiquetarse AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Macie.1 Amazon Macie debería estar activado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No Periódico
Macie.2 La detección automática de datos confidenciales por parte de Macie debería estar habilitada AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 HIGH ¡No Periódico
MSK1. MSKlos clústeres deben cifrarse en tránsito entre los nodos de los corredores AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
MSK2. MSKlos clústeres deben tener configurada una supervisión mejorada NISTSP 800-53 Rev. 5 LOW No El cambio se ha activado
MQ.2 Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, SP 800-53 Rev. 5 NIST MEDIUM ¡No El cambio se ha activado
MQ.3 Los corredores de Amazon MQ deberían tener habilitada la actualización automática de la versión secundaria AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 LOW ¡No El cambio se ha activado
MQ.4 Los corredores de Amazon MQ deberían estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
MQ.5 Los corredores de ActiveMQ deben usar el modo de implementación activo/en espera NISTSP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower LOW No El cambio se ha activado
MQ.6 Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres NISTSP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower LOW No El cambio se ha activado
Neptune.1 Los clústeres de bases de datos de Neptune deberían estar cifrados en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIUM No El cambio se ha activado
Neptune.2 Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIUM No El cambio se ha activado
Neptune.3 Las instantáneas del clúster de base de datos de Neptune no deben ser públicas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower CRITICAL No El cambio se ha activado
Neptune.4 Los clústers de Neptune DB deben tener habilitada la protección contra eliminación. AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower LOW No El cambio se ha activado
Neptune.5 Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automatizadas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIUM El cambio se ha activado
Neptune.6 Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, SP 800-53 Rev. 5, estándar de administración de servicios: NIST AWS Control Tower MEDIUM No El cambio se ha activado
Neptune.7 Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de IAM bases de datos AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIUM No El cambio se ha activado
Neptune.8 Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower LOW No El cambio se ha activado
Neptune.9 Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad NISTSP 800-53 rev. 5 MEDIUM No El cambio se ha activado
NetworkFirewall1. Los firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad NISTSP 800-53 Rev. 5 MEDIUM No El cambio se ha activado
NetworkFirewall2. El registro de Network Firewall debe estar habilitado AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No Periódico
NetworkFirewall3. Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
NetworkFirewall4. La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos. AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
NetworkFirewall5. La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados. AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
NetworkFirewall6. El grupo de reglas de firewall de redes sin estado no debe estar vacío AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
NetworkFirewall7. Los firewalls de Network Firewall deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
NetworkFirewall8. Las políticas de firewall de Network Firewall deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
NetworkFirewall9. Los firewalls de Network Firewall deben tener habilitada la protección de eliminación AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
Opensearch.1 OpenSearch los dominios deben tener habilitado el cifrado en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Opensearch.2 OpenSearch los dominios no deben ser de acceso público AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No El cambio se ha activado
Opensearch.3 OpenSearch los dominios deben cifrar los datos enviados entre nodos AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Opensearch.4 OpenSearch El registro de errores de dominio en CloudWatch los registros debe estar habilitado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Opensearch.5 OpenSearch los dominios deben tener habilitado el registro de auditoría AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Opensearch.6 OpenSearch los dominios deben tener al menos tres nodos de datos AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Opensearch.7 OpenSearch los dominios deben tener habilitado un control de acceso detallado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
Opensearch.8 Las conexiones a OpenSearch los dominios deben cifrarse con la política de TLS seguridad más reciente AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Abre la búsqueda. 9 OpenSearch los dominios deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Opensearch.10 OpenSearch los dominios deben tener instalada la última actualización de software AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 LOW ¡No El cambio se ha activado
Abre la búsqueda.11 OpenSearch los dominios deben tener al menos tres nodos principales dedicados NISTSP 800-53 Rev. 5 MEDIUM No Periódico
PCA1. AWS Private CA la autoridad emisora de certificados raíz debe estar deshabilitada AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 LOW ¡No Periódico
RDS1. RDSla instantánea debe ser privada AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No El cambio se ha activado
RDS2. RDSLas instancias de base de datos deben prohibir el acceso público, según lo determine la PubliclyAccessible configuración CIS AWS Foundations Benchmark v3.0.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No El cambio se ha activado
RDS3. RDSLas instancias de base de datos deben tener habilitado el cifrado en reposo CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
RDS4. RDSLas instantáneas del clúster y las instantáneas de las bases de datos deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
RDS5. RDSLas instancias de base de datos deben configurarse con varias zonas de disponibilidad AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
RDS6. Se debe configurar una supervisión mejorada para las instancias de RDS base de datos AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW El cambio se ha activado
RDS7. RDSlos clústeres deben tener habilitada la protección contra la eliminación AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 LOW ¡No El cambio se ha activado
RDS8. RDSLas instancias de base de datos deben tener habilitada la protección contra la eliminación AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
RDS9. RDSLas instancias de base de datos deben publicar los registros en Logs CloudWatch AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
RDS.10 IAMla autenticación debe configurarse para las instancias RDS AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
RDS.11 RDSlas instancias deben tener habilitadas las copias de seguridad automáticas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM El cambio se ha activado
RDS1.2 IAMla autenticación debe configurarse para RDS los clústeres AWS Prácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
RDS.13 RDSLas actualizaciones automáticas de las versiones secundarias deberían estar habilitadas CIS AWS Foundations Benchmark v3.0.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
RDS.14 Los clústeres de Amazon Aurora deben tener habilitada la característica de búsqueda de datos anteriores AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM El cambio se ha activado
RDS1.5 RDSLos clústeres de bases de datos deben configurarse para varias zonas de disponibilidad AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
RDS.16 RDSLos clústeres de bases de datos deben configurarse para copiar etiquetas a las instantáneas AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 LOW ¡No El cambio se ha activado
RDS.17 RDSLas instancias de base de datos deben configurarse para copiar etiquetas a las instantáneas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
RDS.18 RDSlas instancias deben implementarse en un VPC AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
RDS.19 Las suscripciones de notificación de RDS eventos existentes deben configurarse para los eventos críticos del clúster AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
RDS.20 Las suscripciones de notificación de RDS eventos existentes deben configurarse para eventos críticos de instancias de bases de datos AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
RDS2.1 Se debe configurar una suscripción a las notificaciones de RDS eventos para los eventos críticos del grupo de parámetros de la base de datos AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
RDS.22 Debe configurarse una suscripción de notificaciones de RDS eventos para los eventos críticos de los grupos de seguridad de bases de datos AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
RDS2.3 RDSlas instancias no deben usar el puerto predeterminado de un motor de base de datos AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
RDS.24 RDSLos clústeres de bases de datos deben usar un nombre de usuario de administrador personalizado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
RDS.25 RDSlas instancias de bases de datos deben usar un nombre de usuario de administrador personalizado AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
RDS.26 RDSLas instancias de base de datos deben protegerse mediante un plan de respaldo NISTSP 800-53 Rev. 5 MEDIUM Periódico
RDS2.7 RDSLos clústeres de bases de datos deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower MEDIUM No El cambio se ha activado
RDS.28 RDSLos clústeres de bases de datos deben etiquetarse AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
RDS2.9 RDSLas instantáneas del clúster de base de datos deben etiquetarse AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
RDS3.0 RDSLas instancias de base de datos deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
RDS3.1 RDSLos grupos de seguridad de base de datos deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
RDS3.2 RDSLas instantáneas de base de datos deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
RDS3.3 RDSLos grupos de subredes de base de datos deben etiquetarse AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
RDS3.4 Los clústeres de Aurora My SQL DB deberían publicar registros de auditoría en CloudWatch Logs AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
RDS.35 RDSLos clústeres de bases de datos deberían tener habilitada la actualización automática de las versiones secundarias AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
Redshift.1 Los clústeres de Amazon Redshift deberían prohibir el acceso público AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No El cambio se ha activado
Redshift.2 Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Redshift.3 Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM El cambio se ha activado
Redshift.4 Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Redshift.6 Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Redshift.7 Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Redshift.8 Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Redshift.9 Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Redshift.10 Los clústeres de Redshift deben estar cifrados en reposo AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
Redshift. 11 Los clústeres de Redshift deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Redshift. 12 Las notificaciones de suscripción a eventos de Redshift deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Redshift. 13 Las instantáneas del clúster de Redshift deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Redshift. 14 Los grupos de subredes del clúster de Redshift deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Redshift. 15 Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 HIGH No Periódico
Ruta 53.1 Los controles de estado de Route 53 deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Route53.2 Las zonas hospedadas públicas de Route 53 deberían registrar DNS las consultas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
S3.1 Los depósitos de uso general de S3 deben tener habilitada la configuración de bloqueo de acceso público CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST MEDIUM No Periódico
S3.2 Los cubos de uso general de S3 deberían bloquear el acceso público de lectura AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No El cambio se desencadena y es periódico
S3.3 Los cubos de uso general de S3 deberían bloquear el acceso de escritura público AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST CRITICAL No El cambio se desencadena y es periódico
S3.5 Los cubos de uso general de S3 deberían requerir solicitudes de uso SSL CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
S3.6 Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
S3.7 Los cubos de uso general de S3 deben utilizar la replicación entre regiones PCIDSSv3.2.1, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
S3.8 Los depósitos de uso general de S3 deberían bloquear el acceso público CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
S3.9 Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
S3.10 Los depósitos de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida NISTSP 800-53 Rev. 5 MEDIUM No El cambio se ha activado
S3.11 Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos NISTSP 800-53 Rev. 5 MEDIUM El cambio se ha activado
S3.12 ACLsno debe usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3 AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
S3.13 Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST LOW El cambio se ha activado
S3.14 Los cubos de uso general de S3 deben tener habilitado el control de versiones NISTSP 800-53 Rev. 5 LOW No El cambio se ha activado
S3.15 Los cubos de uso general de S3 deberían tener activado Object Lock NISTSP 800-53 Rev. 5 MEDIUM El cambio se ha activado
S3.17 Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys Estándar gestionado por el servicio: AWS Control Tower, NIST SP 800-53 Rev. 5 MEDIUM No El cambio se ha activado
S3.19 Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 CRITICAL ¡No El cambio se ha activado
S3.20 Los buckets de uso general de S3 deberían tener habilitada la función de MFA eliminación CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 LOW No El cambio se ha activado
S3.22 Los cubos de uso general de S3 deberían registrar los eventos de escritura a nivel de objeto CIS AWS Foundations Benchmark v3.0.0 MEDIUM No Periódico
S3.23 Los cubos de uso general de S3 deberían registrar los eventos de lectura a nivel de objeto CIS AWS Foundations Benchmark v3.0.0 MEDIUM No Periódico
SageMaker1. Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST HIGH No Periódico
SageMaker2. SageMaker las instancias de notebook deben lanzarse de forma personalizada VPC AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
SageMaker3. Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
SageMaker4. SageMaker las variantes de producción de terminales deben tener un recuento inicial de instancias superior a 1 AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No Periódico
SecretsManager1. Los secretos de Secrets Manager deberían tener habilitada la rotación automática AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM El cambio se ha activado
SecretsManager2. Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
SecretsManager3. Eliminación de secretos no utilizados de Secrets Manager AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM Periódico
SecretsManager4. Los secretos de Secrets Manager deben rotarse en un número específico de días AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM Periódico
SecretsManager5. Los secretos de Secrets Manager deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
ServiceCatalog1. Las carteras de Service Catalog deben compartirse dentro de un AWS solo una organización AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 HIGH ¡No Periódico
SES1. SESlas listas de contactos deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
SES2. SESlos conjuntos de configuración deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
SNS1. SNSlos temas deben cifrarse en reposo mediante AWS KMS NISTSP 800-53 Rev. 5 MEDIUM No El cambio se ha activado
SNS3. SNSlos temas deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
SQS1. SQSLas colas de Amazon deberían estar cifradas en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de gestión de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
SQS2. SQSlas colas deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
SSM1. EC2las instancias deben ser administradas por AWS Systems Manager AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
SSM2. EC2las instancias administradas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT después de la instalación de un parche AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST HIGH No El cambio se ha activado
SSM3. EC2las instancias administradas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: AWS Control Tower, PCI DSS v3.2.1, SP 800-53 Rev. 5 NIST LOW No El cambio se ha activado
SSM4. SSMlos documentos no deben ser públicos AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST CRITICAL No Periódico
StepFunctions1. Step Functions indica que las máquinas deberían tener el registro activado AWS Mejores prácticas de seguridad fundamentales MEDIUM El cambio se ha activado
StepFunctions2. Las actividades de Step Functions deben estar etiquetadas AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Transferencia.1 Los flujos de trabajo de Transfer Family deben estar etiquetados AWS Estándar de etiquetado de recursos LOW El cambio se ha activado
Transferencia.2 Los servidores Transfer Family no deben usar el FTP protocolo para la conexión de puntos finales AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No Periódico
WAF1. AWS WAF El ACL registro web global clásico debe estar habilitado AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No Periódico
WAF2. AWS WAF Las normas regionales clásicas deben tener al menos una condición AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
WAF3. AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
WAF4. AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
WAF6. AWS WAF Las reglas globales clásicas deben tener al menos una condición AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
WAF7. AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
WAF8. AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
WAF.10 AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower, SP 800-53 Rev. 5 NIST MEDIUM No El cambio se ha activado
WAF.11 AWS WAF el ACL registro web debe estar habilitado NISTSP 800-53 Rev. 5 LOW No Periódico
WAF.12 AWS WAF las reglas deben tener las CloudWatch métricas habilitadas AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 MEDIUM ¡No El cambio se ha activado
WorkSpaces1. WorkSpaces los volúmenes de usuarios deben cifrarse en reposo AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 MEDIUM No El cambio se ha activado
WorkSpaces2. WorkSpaces los volúmenes raíz deben cifrarse en reposo AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 MEDIUM No El cambio se ha activado
Temas