Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Referencia de controles para el CSPM de Security Hub
Esta referencia de control proporciona una tabla de los controles CSPM de AWS Security Hub disponibles con enlaces a más información sobre cada control. En la tabla, los controles están organizados en orden alfabético según su ID de control. Aquí solo se incluyen los controles que el CSPM de Security Hub tiene en uso activo. Los controles retirados quedan excluidos de la tabla.
La tabla proporciona la siguiente información para cada control:
-
ID de control de seguridad: este ID se aplica a todos los estándares e indica el Servicio de AWS recurso al que se refiere el control. La consola del CSPM de Security Hub muestra los ID de los controles de seguridad, sin importar si la funcionalidad de resultados consolidados de controles está habilitada o desactivada en la cuenta. Sin embargo, los resultados del CSPM de Security Hub solo hacen referencia a los ID de los controles de seguridad si la funcionalidad de resultados consolidados de controles está habilitada en la cuenta. Si los resultados de control consolidados están desactivados en su cuenta, algunos identificadores de control varían según el estándar en los resultados de control. Para ver un mapeo de los identificadores de control específicos del estándar con los identificadores de control de seguridad, consulte Cómo afecta la consolidación a las identificaciones y títulos de control.
Si desea configurar las automatizaciones de los controles de seguridad, le recomendamos que filtre en función del identificador del control y no del título o la descripción. Aunque el CSPM de Security Hub actualiza ocasionalmente los títulos o las descripciones de los controles, los ID de los controles permanecen iguales.
Los identificadores de control pueden omitir números. Estos son marcadores de posición para futuros controles.
-
Título de control de seguridad: este título se aplica a todos los estándares. La consola del CSPM de Security Hub muestra los títulos de los controles de seguridad sin importar si la funcionalidad de resultados consolidados de controles está habilitada o desactivada en la cuenta. Sin embargo, los resultados del CSPM de Security Hub solo hacen referencia a los títulos de los controles de seguridad si la funcionalidad de resultados consolidados de controles está habilitada en la cuenta. Si los resultados de control consolidados están desactivados en su cuenta, algunos títulos de control varían según el estándar en los resultados de control. Para ver un mapeo de los identificadores de control específicos del estándar con los identificadores de control de seguridad, consulte Cómo afecta la consolidación a las identificaciones y títulos de control.
-
Normas aplicables: indica a qué normas se aplica un control. Seleccione un control para revisar los requisitos específicos de los marcos de cumplimiento de terceros.
-
Gravedad: la gravedad de un control identifica su importancia desde el punto de vista de la seguridad. Para obtener información sobre cómo el CSPM de Security Hub determina la gravedad del control, consulte Niveles de gravedad correspondientes a los resultados de control.
-
Admite parámetros personalizados: indica si el control admite valores personalizados para uno o varios parámetros. Seleccione un control para revisar los detalles de los parámetros. Para obtener más información, consulte Comprensión de los parámetros de control en el CSPM de Security Hub.
-
Tipo de programa: indica cuándo se evalúa el control. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
Seleccione un control para revisar información adicional. Los controles están organizados en orden alfabético según el ID del control de seguridad.
| ID de control de seguridad | Título de control de seguridad | Estándares aplicables | Gravedad | Admite parámetros personalizados | Tipo de programación |
|---|---|---|---|---|---|
| Account.1 | La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| Account.2 | Cuenta de AWSdebe AWS Organizations ser parte de una organización | NIST SP 800-53 Rev. 5 | ALTO | |
Periódico |
| ACM.1 | Los certificados importados y ACM-issued los certificados deben renovarse después de un período de tiempo específico | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | |
El cambio se desencadena y es periódico |
| ACM.2 | Los certificados RSA administrados por ACM deben usar una longitud de clave de al menos 2048 bits | AWSMejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| ACM.3 | Los certificados ACM deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Amplify.1 | Las aplicaciones de Amplify deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Amplify.2 | Las ramificaciones de Amplify deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| APIGateway.1 | El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| APIGateway.2 | Las etapas de la API de REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend | AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | MEDIO | |
El cambio se ha activado |
| APIGateway.3 | Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| APIGateway.4 | La API de Gateway debe estar asociada a una ACL web de WAF | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| APIGateway.5 | Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| APIGateway.8 | Las rutas de API Gateway deben especificar un tipo de autorización | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| APIGateway.9 | El registro de acceso debe configurarse para las etapas V2 de API Gateway | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| APIGateway.10 | Las integraciones de API Gateway V2 deberían usar HTTPS para las conexiones privadas | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| APIGateway.11 | Los nombres de dominio de API Gateway deben utilizar las políticas de seguridad recomendadas | AWSMejores prácticas de seguridad fundamentales | MEDIO | |
El cambio se ha activado |
| AppConfig.1 | AWS AppConfiglas aplicaciones deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| AppConfig.2 | AWS AppConfiglos perfiles de configuración deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| AppConfig.3 | AWS AppConfiglos entornos deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| AppConfig.4 | AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| AppFlow.1 | AppFlow Los flujos de Amazon deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| AppRunner.1 | Los servicios de App Runner deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| AppRunner.2 | Los conectores de VPC de App Runner deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| AppSync.2 | AWSAppSync debe tener habilitado el registro a nivel de campo | AWSMejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| AppSync.4 | AWSAppSync Las API de GraphQL deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| AppSync.5 | AWSAppSync Las API de GraphQL no deben autenticarse con claves de API | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| Athena.2 | Los catálogos de datos de Athena deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Athena.3 | Los grupos de trabajo de Athena deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Athena.4 | Los grupos de trabajo de Athena deben tener el registro habilitado | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| AutoScaling.1 | Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado de ELB | AWSMejores prácticas fundamentales de seguridad, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAJA | El cambio se ha activado | |
| AutoScaling.2 | El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| AutoScaling.3 | Las configuraciones de lanzamiento de grupo de escalado automático deben configurar las instancias de EC2 para que requieran el servicio de metadatos de instancias versión 2 (IMDSv2) | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| Autoscaling.5 | Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupo de escalado automático no deben tener direcciones IP públicas | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| AutoScaling.6 | Los grupos de escalado automático deben usar varios tipos de instancias en varias zonas de disponibilidad | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| AutoScaling.9 | Los grupos de escalado automático de EC2 deberían usar plantillas de lanzamiento de EC2 | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| AutoScaling.10 | Los grupos de escalado automático de EC2 deberían estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Backup.1 | AWS BackupLos puntos de recuperación deben estar cifrados en reposo | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Backup.2 | AWS Backuplos puntos de recuperación deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Backup.3 | AWS BackupLas bóvedas deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Backup.4 | AWS Backuplos planes de informes deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Backup.5 | AWS Backuplos planes de respaldo deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Batch.1 | Las colas de trabajos de Batch deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Batch.2 | Las políticas de programación de Batch deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Batch.3 | Los entornos de computación de Batch deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Batch.4 | Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas. | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Bedrock.1 | Las fuentes de datos de Amazon Bedrock deben cifrarse con claves administradas por AWS KMS el cliente | AWSMejores prácticas de seguridad fundamentales | MEDIO | El cambio se ha activado | |
| BedrockAgentCore.1 | Los AgentCore tiempos de ejecución de Bedrock deben configurarse con el modo de red VPC | AWSMejores prácticas de seguridad fundamentales | ALTO | El cambio se ha activado | |
| BedrockAgentCore.2 | Bedrock AgentCore Gateways debe requerir autorización para las solicitudes entrantes | AWSMejores prácticas fundamentales de seguridad | ALTO | El cambio se ha activado | |
| BedrockAgentCore.3 | Bedrock AgentCore Memory debe cifrarse con claves administradas por el cliente AWS KMS | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| BedrockAgentCore.4 | Bedrock AgentCore Gateway debe cifrarse con claves administradas por el cliente AWS KMS | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| BedrockAgentCore.5 | Los navegadores AgentCore personalizados de Bedrock no deberían usar el modo de red pública | AWSMejores prácticas fundamentales de seguridad | ALTO | El cambio se ha activado | |
| BedrockAgentCore.6 | Los navegadores AgentCore personalizados de Bedrock deberían tener habilitada la grabación de sesiones | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| BedrockAgentCore.7 | Los intérpretes de código AgentCore personalizados de Bedrock deben usar una configuración de red privada | AWSMejores prácticas fundamentales de seguridad | ALTO | El cambio se ha activado | |
| CloudFormation.2 | CloudFormation las pilas deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| CloudFormation.3 | CloudFormation las pilas deben tener habilitada la protección de terminación | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| CloudFormation.4 | CloudFormation las pilas deben tener funciones de servicio asociadas | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| CloudFront.1 | CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado | AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | El cambio se ha activado | |
| CloudFront.3 | CloudFront las distribuciones deberían requerir el cifrado en tránsito | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| CloudFront.4 | CloudFront las distribuciones deben tener configurada la conmutación por error de origen | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| CloudFront.5 | CloudFront las distribuciones deben tener el registro activado | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| CloudFront.6 | CloudFront las distribuciones deben tener habilitado el WAF | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| CloudFront.7 | CloudFront las SSL/TLS distribuciones deben usar certificados personalizados | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAJA | |
El cambio se ha activado |
| CloudFront.8 | CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| CloudFront.9 | CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| CloudFront.10 | CloudFront las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados | AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| CloudFront.12 | CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 | ALTO | |
Periódico |
| CloudFront.13 | CloudFront las distribuciones deben usar el control de acceso al origen | AWSMejores prácticas fundamentales de seguridad v1.0.0 | MEDIO | |
El cambio se ha activado |
| CloudFront.14 | CloudFront las distribuciones deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| CloudFront.15 | CloudFront las distribuciones deben usar la política de seguridad TLS recomendada | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | El cambio se ha activado | |
| CloudFront.16 | CloudFront las distribuciones deben usar el control de acceso de origen para los orígenes de URL de la función Lambda | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | El cambio se ha activado | |
| CloudFront.17 | CloudFront las distribuciones deben usar grupos de claves de confianza para las URL y cookies firmadas | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | El cambio se ha activado | |
| CloudTrail.1 | CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Foundational Security Best PracticesAWS, NIST SP 800-53 Rev. 5 AWS | ALTO | Periódico | |
| CloudTrail.2 | CloudTrail debe tener activado el cifrado en reposo | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS AWS CIS Foundations Benchmark AWS v1.4.0 Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| CloudTrail.3 | CloudTrail Debe estar habilitada al menos una ruta | NIST SP 800-171 Rev. 2; PCI DSS v4.0.1; PCI DSS v3.2.1 | ALTO | Periódico | |
| CloudTrail.4 | CloudTrail La validación del archivo de registro debe estar habilitada | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0AWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, AWS PCI DSS v4.0.1, PCI DSS v3.2.1 | BAJA | |
Periódico |
| CloudTrail.5 | CloudTrail los senderos deben estar integrados con Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| CloudTrail.6 | Asegúrese de que el CloudTrail depósito S3 que se utiliza para almacenar los registros no sea de acceso público | Índice de referencia de AWS fundamentos de la CEI versión 1.2.0, punto de referencia de AWS fundamentos de la CEI versión 1.4.0, PCI DSS versión 4.0.1 | CRÍTICO | |
El cambio se desencadena y es periódico |
| CloudTrail.7 | Asegúrese de que el registro de acceso al bucket S3 esté habilitado en el bucket S3 CloudTrail | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, AWS CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI AWS DSS v4.0.1 | BAJA | |
Periódico |
| CloudTrail.9 | CloudTrail las rutas deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| CloudTrail.10 | CloudTrail Los almacenes de datos de eventos de Lake deben estar cifrados y gestionados por el cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| CloudWatch.1 | Debe existir un filtro de métrica de registro y una alarma para el uso del usuario raíz | Índice de referencia de AWS fundamentos de la CEI versión 1.4.0, punto de referencia de AWS fundamentos de la CEI versión 1.2.0, NIST SP 800-171 rev. 2, PCI DSS versión 3.2.1 | BAJA | |
Periódico |
| CloudWatch.2 | Asegurar que haya un filtro de métricas de registro y alarma para las llamadas a la API no autorizadas | Punto de referencia AWS sobre los fundamentos de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.3 | Garantizar que haya un filtro de métricas de registro y una alarma de registro para el inicio de sesión en la sin MFA en la consola de administración | Punto de referencia sobre AWS los fundamentos de la CEI v1.2.0 | BAJA | |
Periódico |
| CloudWatch.4 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de IAM | Punto de referencia de AWS fundaciones de la CEI v1.4.0, punto de referencia de AWS fundaciones de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.5 | Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios de configuración CloudTrail | Punto de referencia de AWS fundaciones de la CEI v1.4.0, punto de referencia de AWS fundaciones de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.6 | Asegúrese de que existan un registro, un filtro métrico y una alarma en caso de errores de autenticación Consola de administración de AWS | Punto de referencia de AWS fundaciones de la CEI v1.4.0, punto de referencia de AWS fundaciones de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.7 | Garantizar que haya un filtro de métricas de registro y una alarma para la deshabilitación o eliminación programada de las CMK creadas por el cliente | Punto de referencia de AWS fundaciones de la CEI v1.4.0, punto de referencia de AWS fundaciones de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.8 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de S3 | Punto de referencia de AWS fundaciones de la CEI v1.4.0, punto de referencia de AWS fundaciones de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.9 | Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios de configuración AWS Config | Punto de referencia de AWS fundaciones de la CEI v1.4.0, punto de referencia de AWS fundaciones de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.10 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de grupos de seguridad | Punto de referencia de AWS fundaciones de la CEI v1.4.0, punto de referencia de AWS fundaciones de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.11 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL) | Punto de referencia de AWS fundaciones de la CEI v1.4.0, punto de referencia de AWS fundaciones de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.12 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red | Punto de referencia de AWS fundaciones de la CEI v1.4.0, punto de referencia de AWS fundaciones de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.13 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento | Punto de referencia de AWS fundaciones de la CEI v1.4.0, punto de referencia de AWS fundaciones de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.14 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la VPC | Punto de referencia de AWS fundaciones de la CEI v1.4.0, punto de referencia de AWS fundaciones de la CEI v1.2.0, NIST SP 800-171 rev. 2 | BAJA | |
Periódico |
| CloudWatch.15 | CloudWatch las alarmas deben tener configuradas las acciones especificadas | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ALTO | |
El cambio se ha activado |
| CloudWatch.16 | CloudWatch los grupos de registros deben conservarse durante un período de tiempo específico | NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| CloudWatch.17 | CloudWatch las acciones de alarma deben estar habilitadas | NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| CodeArtifact.1 | CodeArtifact los repositorios deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| CodeBuild.1 | CodeBuild Las URL del repositorio fuente de Bitbucket no deben contener credenciales confidenciales | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | El cambio se ha activado | |
| CodeBuild.2 | CodeBuild las variables de entorno del proyecto no deben contener credenciales de texto claro | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | |
El cambio se ha activado |
| CodeBuild.3 | CodeBuild Los registros de S3 deben estar cifrados | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | BAJA | |
El cambio se ha activado |
| CodeBuild.4 | CodeBuild los entornos de proyecto deben tener una configuración de registro | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| CodeBuild.7 | CodeBuild las exportaciones de grupos de informes deben cifrarse en reposo | AWSMejores prácticas de seguridad fundamentales | MEDIO | El cambio se ha activado | |
| CodeGuruProfiler.1 | CodeGuru Los grupos de creación de perfiles de Profiler deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| CodeGuruReviewer.1 | CodeGuru Las asociaciones de repositorios de Reviewer deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Cognito.1 | Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación de funciones completo para la autenticación estándar | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| Cognito.2 | Los grupos de identidades de Cognito no deben permitir identidades sin autenticar | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| Cognito.3 | Las políticas de contraseñas para grupos de usuarios de Cognito deben tener configuraciones seguras | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| Cognito.4 | Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| Cognito.5 | La MFA debe estar habilitada para los grupos de usuarios de Cognito | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| Cognito.6 | Los grupos de usuarios de Cognito deberían tener habilitada la protección contra la eliminación | AWSMejores prácticas de seguridad fundamentales | MEDIO | El cambio se ha activado | |
| Config.1 | AWS Configdebe estar habilitado y usar el rol vinculado al servicio para el registro de recursos | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Foundational Security Best PracticesAWS, NIST SP 800-53 Rev. 5, AWS PCI DSS v3.2.1 | CRÍTICO | Periódico | |
| Connect.1 | Los tipos de objetos de Connect Customer Profiles deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Connect.2 | Las instancias de Connect Customer deben tener el CloudWatch registro habilitado | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| DataFirehose.1 | Los flujos de entrega de Firehose deben estar cifrados en reposo | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| DataSync.1 | DataSync las tareas deben tener el registro activado | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| DataSync.2 | DataSync las tareas deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Detective.1 | Los gráficos de comportamiento de Detective deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| DMS.1 | Las instancias de replicación de Servicio de migración de bases de datos no deben ser públicas | AWSMejores prácticas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | |
Periódico |
| DMS.2 | Los certificados DMS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| DMS.3 | Las suscripciones a eventos de DMS deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| DMS.4 | Las instancias de replicación de DMS deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| DMS.5 | Los grupos de subredes de replicación del DMS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| DMS.6 | Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| DMS.7 | Las tareas de replicación del DMS para la base de datos de destino deben tener el registro habilitado | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| DMS.8 | Las tareas de replicación del DMS para la base de datos de origen deben tener el registro habilitado | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| DMS.9 | Los puntos finales del DMS deben usar SSL | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| DMS.10 | Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| DMS.11 | Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| DMS.12 | Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| DMS.13 | Las instancias de replicación de DMS se deben configurar para utilizar varias zonas de disponibilidad | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| DocumentDB.1 | Los clústeres de Amazon DocumentDB deben estar cifrados en reposo | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DocumentDB.2 | Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| DocumentDB.3 | Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | |
El cambio se ha activado |
| DocumentDB.4 | Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| DocumentDB.5 | Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DocumentDB.6 | Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| DynamoDB.1 | Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| DynamoDB.2 | Las tablas de DynamoDB tienen que tener habilitada la recuperación a un momento dado | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DynamoDB.3 | Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| DynamoDB.4 | Las tablas de DynamoDB deben estar presentes en un plan de copia de seguridad | NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| DynamoDB.5 | Las tablas de DynamoDB deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| DynamoDB.6 | Las tablas de DynamoDB deben tener la protección contra eliminación habilitada | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DynamoDB.7 | Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Periódico | |
| EC2.1 | Las instantáneas de EBS no se deben poder restaurar públicamente | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | CRÍTICO | |
Periódico |
| EC2.2 | Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0AWS, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS | ALTO | |
El cambio se ha activado |
| EC2.3 | Los volúmenes de EBS asociados deben cifrarse en reposo | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| EC2.4 | Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| EC2.6 | El registro de flujos de VPC debe estar habilitado en todos los VPC | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0AWS, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST AWS SP 800-171 Rev. 2 | MEDIO | |
Periódico |
| EC2.7 | El cifrado predeterminado EBS debe estar habilitado | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| EC2.8 | Las instancias EC2 deben usar el servicio de metadatos de instancias (IMDS) versión 2 (IMDSv2) | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, prácticas recomendadas de seguridad AWS fundamentales, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| EC2.9 | Las instancias EC2 no deben tener una dirección IPv4 pública | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| EC2.10 | Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2 | AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | MEDIO | |
Periódico |
| EC2.12 | Los EIP EC2 sin utilizar deben eliminarse | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | BAJA | |
El cambio se ha activado |
| EC2.13 | Los grupos de seguridad no deberían permitir la entrada desde la versión 0.0.0. 0/0 o: :/0 al puerto 22 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | ALTO | El cambio se desencadena y es periódico | |
| EC2.14 | Los grupos de seguridad no deberían permitir la entrada desde la versión 0.0.0. 0/0 o: :/0 al puerto 3389 | Punto de referencia CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | ALTO | El cambio se desencadena y es periódico | |
| EC2.15 | Las subredes de EC2 no deberían asignar automáticamente direcciones IP públicas | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MEDIO | |
El cambio se ha activado |
| EC2.16 | Deben eliminarse las listas de control de acceso a la red no utilizadas | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1, | BAJA | |
El cambio se ha activado |
| EC2.17 | Las instancias de EC2 no tienen que ser compatibles con varios ENI | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| EC2.18 | Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados | AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | ALTO | |
El cambio se ha activado |
| EC2.19 | Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRÍTICO | El cambio se desencadena y es periódico | |
| EC2.20 | Los dos túneles VPN de una conexión VPN deben estar activos AWS Site-to-Site | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | MEDIO | |
El cambio se ha activado |
| EC2.21 | Las ACL de red no deberían permitir la entrada desde la versión 0.0.0. 0/0 al puerto 22 o al puerto 3389 | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, Foundational Security Best PracticesAWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| EC2.22 | Los grupos de seguridad de EC2 que no se utilicen deben eliminarse | MEDIO | Periódico | ||
| EC2.23 | Las pasarelas de tránsito de EC2 no deberían aceptar automáticamente las solicitudes de adjuntos de VPC | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| EC2.24 | No se deben utilizar los tipos de instancias paravirtuales EC2 | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| EC2.25 | Las plantillas de lanzamiento de EC2 no deben asignar direcciones IP públicas a las interfaces de red | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| EC2.28 | Los volúmenes de EBS tienen que ser parte de un plan de copia de seguridad | NIST SP 800-53 Rev. 5 | BAJA | |
Periódico |
| EC2.33 | La conexión de puerta de enlace de tránsito de EC2 debe estar etiquetada | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.34 | Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.35 | Las interfaces de red de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.36 | Las puertas de enlace de cliente de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.37 | Las direcciones IP elásticas de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.38 | Las instancias de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.39 | Las puertas de enlace de Internet de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.40 | Las puertas de enlace de NAT de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.41 | Las ACL de red de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.42 | Las tablas de enrutamiento de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.43 | Los grupos de seguridad de EC2 deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.44 | Las subredes de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.45 | Los volúmenes de EC2 deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.46 | Las VPC de Amazon deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.47 | Los servicios de puntos de conexión de Amazon VPC deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.48 | Los registros de flujo de Amazon VPC deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.49 | Las conexiones de emparejamiento de Amazon VPC deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.50 | Las puertas de enlace de VPN de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.51 | Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | BAJA | |
El cambio se ha activado |
| EC2.52 | Las puertas de enlace de tránsito de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.53 | Los grupos de seguridad de EC2 no deberían permitir la entrada desde la versión 0.0.0. 0/0 a los puertos de administración remota del servidor | Índice de referencia de AWS fundamentos de la CEI versión 5.0.0, punto de referencia de AWS fundamentos de la CEI versión 3.0.0, PCI DSS versión 4.0.1 | ALTO | Periódico | |
| EC2.54 | Los grupos de seguridad de EC2 no deberían permitir la entrada desde ::/0 a los puertos de administración de servidores remotos | Índice de referencia de AWS fundamentos de la CEI versión 5.0.0, punto de referencia de AWS fundamentos de la CEI versión 3.0.0, PCI DSS versión 4.0.1 | ALTO | Periódico | |
| EC2.55 | Las VPC deben estar configuradas con un punto de conexión de interfaz para la API de ECR | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| EC2.56 | Las VPC deben estar configuradas con un punto de conexión de interfaz para el registro de Docker | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| EC2.57 | Las VPC deben estar configuradas con un punto de conexión de interfaz para Systems Manager | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| EC2.58 | Las VPC deben estar configuradas con un punto de conexión de interfaz para los Contactos del Administrador de incidentes de Systems Manager | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| EC2.60 | Las VPC deben estar configuradas con un punto de conexión de interfaz para el Administrador de incidentes de Systems Manager | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| EC2.170 | Las plantillas de lanzamiento de EC2 deben usar el servicio de metadatos de instancias (IMDS) versión 2 (IMDSv2) | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | BAJA | El cambio se ha activado | |
| EC2.171 | Las conexiones VPN de EC2 deben tener el registro habilitado | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| EC2.172 | La configuración de bloqueo de acceso público de VPC para EC2 debe bloquear el tráfico de puerta de enlace de Internet | AWSMejores prácticas de seguridad fundamentales | MEDIO | El cambio se ha activado | |
| EC2.173 | Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| EC2.174 | Los conjuntos de opciones DHCP de EC2 deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.175 | Las plantillas de lanzamiento de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.176 | Las listas de prefijos de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.177 | Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.178 | Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.179 | Los destinos de duplicación de tráfico de EC2 deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EC2.180 | Las interfaces de red EC2 deberían tener source/destination habilitada la comprobación | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | El cambio se ha activado | |
| EC2.181 | Las plantillas de lanzamiento de EC2 deben permitir el cifrado para los volúmenes de EBS asociados | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | El cambio se ha activado | |
| EC2.182 | Las instantáneas de EBS no deben ser de acceso público | AWSMejores prácticas fundamentales de seguridad | ALTO | El cambio se ha activado | |
| EC2.183 | Las conexiones VPN de EC2 deben utilizar el protocolo IKEv2 | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| ECR.1 | Los repositorios privados de ECR deben tener configurado el escaneo de imágenes | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | |
Periódico |
| ECR.2 | Los repositorios privados de ECR deben tener configurada la inmutabilidad de las etiquetas | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ECR.3 | Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ECR.4 | Los repositorios públicos de ECR deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| ECR.5 | Los repositorios de ECR se deben cifrar con AWS KMS keys administradas por el cliente | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| ECS.2 | Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| ECS.3 | Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| ECS.4 | Los contenedores ECS deben ejecutarse sin privilegios | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| ECS.5 | Los contenedores ECS deben estar limitados a un acceso de solo lectura a los sistemas de archivos raíz | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| ECS.8 | Los secretos no deben pasarse como variables de entorno del contenedor | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| ECS.9 | Las definiciones de tareas de ECS deben tener una configuración de registro | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| ECS.10 | Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| ECS.12 | Los clústeres de ECS deben usar Container Insights | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ECS.13 | Los servicios de ECS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| ECS.14 | Los clústeres de ECS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| ECS.15 | Las definiciones de tareas de ECS deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| ECS.16 | Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | El cambio se ha activado | |
| ECS.17 | Las definiciones de tareas de ECS no deben utilizar el modo de red de host | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| ECS.18 | Las definiciones de tareas de ECS deben utilizar el cifrado en tránsito para los volúmenes de EFS | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| ECS.19 | Los proveedores de capacidad de ECS deberían tener habilitada la protección de terminación gestionada | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| ECS.20 | Las definiciones de tareas de ECS deberían configurar a los usuarios no root en las definiciones de contenedores de Linux | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| ECS.21 | Las definiciones de tareas de ECS deberían configurar a los usuarios no administradores en las definiciones de contenedores de Windows | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| EFS.1 | El sistema de archivos Elastic debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| EFS.2 | Los volúmenes de Amazon EFS deben estar en los planes de copia de seguridad | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| EFS.3 | Los puntos de acceso EFS deben aplicar un directorio raíz | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| EFS.4 | Los puntos de acceso EFS deben imponer una identidad de usuario | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| EFS.5 | Los puntos de acceso de EFS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EFS.6 | Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| EFS.7 | Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| EFS.8 | Los sistemas de archivos de EFS deben cifrarse en reposo | CIS AWS Foundations Benchmark v5.0.0, mejores prácticas de AWS seguridad fundamentales | MEDIO | El cambio se ha activado | |
| EKS.1 | Los puntos de conexión del clúster EKS no deben ser de acceso público | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | |
Periódico |
| EKS.2 | Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| EKS.3 | Los clústeres de EKS deben usar secretos de Kubernetes cifrados | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Periódico | |
| EKS.6 | Los clústeres de EKS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EKS.7 | Las configuraciones de los proveedores de identidad de EKS deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EKS.8 | Los clústeres de EKS deben tener habilitado el registro de auditoría | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| EKS.9 | Los grupos de nodos de EKS deberían ejecutarse en una versión compatible de Kubernetes | AWSMejores prácticas de seguridad fundamentales | ALTO | El cambio se ha activado | |
| ElastiCache.1 | ElastiCache Los clústeres (Redis OSS) deben tener habilitadas las copias de seguridad automáticas | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | ALTO | Periódico | |
| ElastiCache.2 | ElastiCache los clústeres deben tener habilitadas las actualizaciones automáticas de las versiones secundarias | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | |
Periódico |
| ElastiCache.3 | ElastiCache los grupos de replicación deben tener habilitada la conmutación por error automática | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ElastiCache.4 | ElastiCache los grupos de replicación deben estar cifrados en reposo | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ElastiCache.5 | ElastiCache los grupos de replicación deben estar cifrados en tránsito | AWSMejores prácticas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| ElastiCache.6 | ElastiCache (Redis OSS) los grupos de replicación de versiones anteriores deberían tener habilitada la autenticación de Redis OSS | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| ElastiCache.7 | ElastiCache los clústeres no deben usar el grupo de subredes predeterminado | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
Periódico |
| ElasticBeanstalk.1 | Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| ElasticBeanstalk.2 | Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| ElasticBeanstalk.3 | Elastic Beanstalk debe transmitir los registros a CloudWatch | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| ELB.1 | El Equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS | AWSMejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ELB.2 | Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | MEDIO | |
El cambio se ha activado |
| ELB.3 | Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| ELB.4 | Equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| ELB.5 | El registro de aplicaciones y de los equilibradores de carga clásicos debe estar habilitado | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.6 | La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| ELB.7 | Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| ELB.8 | Los equilibradores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una configuración sólida | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| ELB.9 | Los equilibradores de carga clásicos deben tener habilitado el equilibrador de carga entre zonas | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.10 | Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.12 | Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto. | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| ELB.13 | Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.14 | Equilibrador de carga clásico debe configurarse con el modo defensivo o con el modo de mitigación de desincronización más estricto. | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| ELB.16 | Los balanceadores de carga de aplicaciones deben estar asociados a una ACL web WAF AWS | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.17 | Los equilibradores de carga de red y de aplicaciones con oyentes deben usar las políticas de seguridad recomendadas | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.18 | Los oyentes de equilibradores de carga de aplicación y de red deben utilizar protocolos seguros para cifrar los datos en tránsito | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | El cambio se ha activado | |
| ELB.21 | Los grupos objetivo de Application y Network Load Balancer deben utilizar protocolos de verificación de estado cifrados | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| ELB.22 | Los grupos objetivo del ELB deben utilizar protocolos de transporte cifrados | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| EMR.1 | Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | Periódico | |
| EMR.2 | La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | Periódico | |
| EMR.3 | Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| EMR.4 | Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| ES.1 | Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo | AWSMejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ES.2 | Los dominios de Elasticsearch no deben ser de acceso público | AWSPrácticas recomendadas de seguridad fundamentales, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 rev. 5 | CRÍTICO | |
Periódico |
| ES.3 | Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, | MEDIO | |
El cambio se ha activado |
| ES.4 | Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ES.5 | Los dominios de Elasticsearch deben tener habilitado el registro de auditoría | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ES.6 | Los dominios de Elasticsearch deben tener al menos tres nodos de datos | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ES.7 | Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ES.8 | Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| ES.9 | Los dominios de Elasticsearch deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EventBridge.2 | EventBridge los autobuses de eventos deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| EventBridge.3 | EventBridge Los buses de eventos personalizados deben tener adjunta una política basada en los recursos | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAJA | |
El cambio se ha activado |
| EventBridge.4 | EventBridge Los puntos finales globales deben tener habilitada la replicación de eventos | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| FraudDetector.1 | Los tipos de entidad de Amazon Fraud Detector deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| FraudDetector.2 | Las etiquetas de Amazon Fraud Detector deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| FraudDetector.3 | Las salidas de Amazon Fraud Detector deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| FraudDetector.4 | Las variables de Amazon Fraud Detector deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| FSx.1 | Los sistemas de archivos de FSx para OpenZFS deben configurarse para copiar etiquetas en copias de seguridad y volúmenes | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
Periódico |
| FSx.2 | Los sistemas de archivos de FSx para Lustre deben configurarse para copiar etiquetas en copias de seguridad | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | BAJA | Periódico | |
| FSx.3 | FSx para sistemas de archivos OpenZFS debe configurarse para su implementación Multi-AZ | AWSMejores prácticas de seguridad fundamentales | MEDIO | Periódico | |
| FSx.4 | FSx para sistemas de archivos NetApp ONTAP debe configurarse para su implementación Multi-AZ | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| FSx.5 | Los sistemas de archivos FSx for Windows File Server deben configurarse para Multi-AZ su implementación | AWSPrácticas recomendadas de seguridad fundamentales | MEDIO | Periódico | |
| Glue.1 | AWS Gluelos trabajos deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Glue.3 | AWS GlueLas transformaciones de aprendizaje automático deben cifrarse en reposo | AWSMejores prácticas de seguridad fundamentales | MEDIO | El cambio se ha activado | |
| Glue.4 | AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles de AWS Glue | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| GlobalAccelerator.1 | Los aceleradores de Global Accelerator deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| GuardDuty.1 | GuardDuty debe estar activado | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | ALTO | |
Periódico |
| GuardDuty.2 | GuardDuty los filtros deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| GuardDuty.3 | GuardDuty Los IPSets deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| GuardDuty.4 | GuardDuty los detectores deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| GuardDuty.5 | GuardDuty La supervisión del registro de auditoría de EKS debe estar habilitada | AWSMejores prácticas fundamentales de seguridad | ALTO | Periódico | |
| GuardDuty.6 | GuardDuty La protección Lambda debe estar habilitada | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | Periódico | |
| GuardDuty.7 | GuardDuty La monitorización del tiempo de ejecución de EKS debe estar habilitada | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | Periódico | |
| GuardDuty.8 | GuardDuty La protección contra malware para EC2 debe estar habilitada | AWSMejores prácticas fundamentales de seguridad | ALTO | Periódico | |
| GuardDuty.9 | GuardDuty La protección RDS debe estar habilitada | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | Periódico | |
| GuardDuty.10 | GuardDuty La protección S3 debe estar habilitada | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | Periódico | |
| GuardDuty.11 | GuardDuty La supervisión del tiempo de ejecución debe estar habilitada | AWSMejores prácticas fundamentales de seguridad | ALTO | Periódico | |
| GuardDuty.12 | GuardDuty La supervisión del tiempo de ejecución de ECS debe estar habilitada | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| GuardDuty.13 | GuardDuty La monitorización del tiempo de ejecución de EC2 debe estar habilitada | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| IAM.1 | Las políticas de IAM no deben permitir privilegios administrativos completos “*” | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, AWS CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ALTO | |
El cambio se ha activado |
| IAM.2 | Los usuarios de IAM no deben tener políticas de IAM asociadas | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0AWS, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAJA | |
El cambio se ha activado |
| IAM.3 | Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Foundational Security Best PracticesAWS, NIST SP 800-53 Rev. 5, AWS PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.4 | La clave de acceso del usuario raíz de IAM no debería existir | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0AWS, AWS PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Periódico |
| IAM.5 | MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Foundational Security Best PracticesAWS, NIST SP 800-53 Rev. 5, AWS PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.6 | La MFA de hardware debe estar habilitada para el usuario raíz | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Foundational Security Best PracticesAWS, NIST SP 800-53 Rev. 5, AWS PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | |
Periódico |
| IAM.7 | Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.8 | Deben eliminarse las credenciales de usuario de IAM que no se utilicen | CIS AWS Foundations Benchmark v1.2.0, prácticas recomendadas de seguridad AWS fundamentales, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.9 | La MFA debe estar habilitada para el usuario raíz | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, AWS PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | |
Periódico |
| IAM.10 | Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras | NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | MEDIO | |
Periódico |
| IAM.11 | Asegurar que la política de contraseñas de IAM requiere al menos una letra mayúscula | Punto de referencia CIS AWS Foundations v1.2.0, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.12 | Asegurar que la política de contraseñas de IAM requiere al menos una letra minúscula | Punto de referencia CIS AWS Foundations v1.2.0, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.13 | Asegurar que la política de contraseñas de IAM requiere al menos un símbolo | Punto de referencia AWS sobre los fundamentos de la CEI v1.2.0, NIST SP 800-171 rev. 2 | MEDIO | |
Periódico |
| IAM.14 | Asegurar que la política de contraseñas de IAM requiere al menos un número | Punto de referencia CIS AWS Foundations v1.2.0, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.15 | Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más | Marco de referencia de AWS fundaciones de la CEI v5.0.0, punto de referencia de AWS fundaciones de la CEI v3.0.0, punto de referencia de fundaciones de la AWS CEI v1.4.0, índice de referencia de fundaciones de la AWS CEI v1.2.0, NIST SP 800-171 rev. 2 | MEDIO | |
Periódico |
| IAM.16 | Garantizar que la política de contraseñas de IAM impida la reutilización de contraseñas | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, AWS NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAJA | |
Periódico |
| IAM.17 | Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos | Punto de referencia CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | BAJA | |
Periódico |
| IAM.18 | Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, AWS NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAJA | |
Periódico |
| IAM.19 | MFA se debe habilitar para todos los usuarios de IAM | NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v3.2.1; PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.21 | Las políticas de IAM administrada por los clientes que usted cree no deberían permitir acciones comodín para los servicios | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | BAJA | |
El cambio se ha activado |
| IAM.22 | Deben eliminarse las credenciales de usuario de IAM que no se hayan utilizado durante 45 días | Marco de referencia de AWS fundaciones de la CEI v5.0.0, punto de referencia de AWS fundaciones de la CEI v3.0.0, punto de referencia de fundaciones de la AWS CEI v1.4.0, NIST SP 800-171 rev. 2 | MEDIO | |
Periódico |
| IAM.23 | Los analizadores del Analizador de acceso de IAM deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IAM.24 | Los roles de IAM deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IAM.25 | Los usuarios de IAM deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IAM.26 | SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse | Punto de referencia de AWS fundaciones de la CEI v5.0.0, punto de referencia de AWS fundaciones de la CEI v3.0.0 | MEDIO | Periódico | |
| IAM.27 | Las identidades de IAM no deberían tener la política adjunta AWSCloudShellFullAccess | Punto de referencia de AWS fundaciones de la CEI v5.0.0, punto de referencia de AWS fundaciones de la CEI v3.0.0 | MEDIO | El cambio se ha activado | |
| IAM.28 | El analizador de acceso externo del Analizador de acceso de IAM debe estar habilitado | Punto de referencia de AWS fundaciones de la CEI v5.0.0, punto de referencia de AWS fundaciones de la CEI v3.0.0 | ALTO | Periódico | |
| Inspector.1 | El análisis de EC2 en Amazon Inspector debe estar habilitado | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | Periódico | |
| Inspector.2 | El análisis de ECR en Amazon Inspector debe estar habilitado | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | Periódico | |
| Inspector.3 | El análisis de código de Lambda en Amazon Inspector debe estar habilitado | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | Periódico | |
| Inspector.4 | El análisis de estándar de Lambda en Amazon Inspector debe estar habilitado | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | Periódico | |
| IoT.1 | AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoT.2 | AWS IoT Corelas acciones de mitigación deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoT.3 | AWS IoT Corelas dimensiones deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoT.4 | AWS IoT Corelos autorizadores deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoT.5 | AWS IoT CoreLos alias de los roles deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoT.6 | AWS IoT Corelas políticas deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTEvents.1 | AWS IoT Eventslas entradas deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTEvents.2 | AWS IoT Eventslos modelos de detectores deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTEvents.3 | AWS IoT Eventslos modelos de alarma deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTSiteWise.1 | AWS IoT SiteWiselos modelos de activos deben etiquetarse | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTSiteWise.2 | AWS IoT SiteWiselos cuadros de mando deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTSiteWise.3 | AWS IoT SiteWiselas pasarelas deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTSiteWise.4 | AWS IoT SiteWiselos portales deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTSiteWise.5 | AWS IoT SiteWiselos proyectos deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTTwinMaker.1 | AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTTwinMaker.2 | AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTTwinMaker.3 | AWS TwinMaker Las escenas de IoT deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTTwinMaker.4 | AWS TwinMaker Las entidades de IoT deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTWireless.1 | AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTWireless.2 | AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IoTWireless.3 | AWSLas tareas de IoT Wireless FUOTA deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IVS.1 | Los pares de claves de reproducción de IVS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IVS.2 | Las configuraciones de grabación de IVS deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| IVS.3 | Los canales de IVS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Keyspaces.1 | Los espacios clave de Amazon Keyspaces deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Kinesis.1 | Las transmisiones de Kinesis deben cifrarse en reposo | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Kinesis.2 | Las transmisiones de Kinesis deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Kinesis.3 | Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| KMS.1 | Las políticas administradas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| KMS.2 | Las entidades principales de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| KMS.3 | AWS KMS keysno debe borrarse involuntariamente | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | CRÍTICO | |
El cambio se ha activado |
| KMS.4 | AWS KMS keyla rotación debe estar habilitada | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, AWS PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| KMS.5 | Las claves KMS no deben ser de acceso público | AWSMejores prácticas fundamentales de seguridad | CRÍTICO | El cambio se ha activado | |
| Lambda.1 | Las funciones de Lambda deberían prohibir el acceso público | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | |
El cambio se ha activado |
| Lambda.2 | Las funciones de Lambda deben usar los últimos tiempos de ejecución | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| Lambda.3 | Las funciones de Lambda deben estar en una VPC | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | BAJA | |
El cambio se ha activado |
| Lambda.5 | Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Lambda.6 | Las funciones de Lambda deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Lambda.7 | Las funciones Lambda deben tener activado el rastreo AWS X-Ray activo | NIST SP 800-53 Rev. 5 | BAJA | El cambio se ha activado | |
| Macie.1 | Amazon Macie debe estar habilitado | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| Macie.2 | La detección automática de datos confidenciales de Macie debe estar habilitada | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | Periódico | |
| MSK.1 | Los clústeres de MSK deben cifrarse en tránsito entre los nodos de los corredores | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| MSK.2 | Los clústeres de MSK deberían tener configurada una supervisión mejorada | NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| MSK.3 | Los conectores de MSK Connect deben cifrarse en tránsito | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| MSK.4 | Los clústeres de MSK deben tener el acceso público desactivado | AWSMejores prácticas de seguridad fundamentales | CRÍTICO | El cambio se ha activado | |
| MSK.5 | Los conectores de MSK deben tener el registro habilitado | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| MSK.6 | Los clústeres de MSK deben desactivar el acceso no autenticado | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| MQ.2 | Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| MQ.4 | Los agentes de Amazon MQ deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| MQ.5 | Los corredores de ActiveMQ deberían usar el modo de implementación active/standby | NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| MQ.6 | Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres | NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| Neptune.1 | Los clústeres de bases de datos de Neptune deberían estar cifrados en reposo | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Neptune.2 | Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| Neptune.3 | Las instantáneas del clúster de base de datos de Neptune no deben ser públicas | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | |
El cambio se ha activado |
| Neptune.4 | Los clústers de Neptune DB deben tener habilitada la protección contra eliminación. | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| Neptune.5 | Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automatizadas | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Neptune.6 | Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Neptune.7 | Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Neptune.8 | Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| Neptune.9 | Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.1 | Los firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.2 | El registro de Network Firewall debe estar habilitado | AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | MEDIO | |
Periódico |
| NetworkFirewall.3 | Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.4 | La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos. | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.5 | La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados. | AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.6 | El grupo de reglas de firewall de redes sin estado no debe estar vacío | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.7 | Los firewall de Network Firewall deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| NetworkFirewall.8 | Las políticas de firewall de Network Firewall deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| NetworkFirewall.9 | Los firewalls de Network Firewall deben tener habilitada la protección de eliminación | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.10 | Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| Opensearch.1 | OpenSearch los dominios deben tener habilitada la encriptación en reposo | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.2 | OpenSearch los dominios no deben ser de acceso público | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | CRÍTICO | |
El cambio se ha activado |
| Opensearch.3 | OpenSearch los dominios deben cifrar los datos enviados entre nodos | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.4 | OpenSearch el registro de errores de dominio en Logs debe estar habilitado CloudWatch | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.5 | OpenSearch los dominios deben tener habilitado el registro de auditoría | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| Opensearch.6 | OpenSearch los dominios deben tener al menos tres nodos de datos | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.7 | OpenSearch los dominios deben tener habilitado un control de acceso detallado | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| Opensearch.8 | Las conexiones a los OpenSearch dominios deben cifrarse mediante la última política de seguridad de TLS | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| Opensearch.9 | OpenSearch los dominios deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Opensearch.10 | OpenSearch los dominios deben tener instalada la última actualización de software | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| Opensearch.11 | OpenSearch los dominios deben tener al menos tres nodos principales dedicados | NIST SP 800-53 Rev. 5 | BAJA | Periódico | |
| PCA.1 | AWS Private CAla autoridad de certificación raíz debe estar deshabilitada | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
Periódico |
| PCA.2 | AWSLas autoridades certificadoras de CA privadas deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| RDS.1 | Las instantáneas de RDS deben ser privadas | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | CRÍTICO | |
El cambio se ha activado |
| RDS.2 | Las instancias de base de datos RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, prácticas recomendadas de seguridad AWS fundamentales, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | |
El cambio se ha activado |
| RDS.3 | Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, Foundational Security Best Practices v1.0.0AWS, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.4 | Las instantáneas del clúster de RDS y las instantáneas de las bases de datos deben cifrarse en reposo | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.5 | Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad | CIS AWS Foundations Benchmark v5.0.0, mejores prácticas de seguridad AWS fundamentales v1.0.0, NIST SP 800-53 rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.6 | Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS | AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.7 | Los clústeres RDS deben tener habilitada la protección contra la eliminación | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.8 | Indica si las instancias de base de datos de RDS debe tener la protección contra eliminación habilitada. | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.9 | Las instancias de base de datos de RDS deben publicar registros en Logs CloudWatch | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| RDS.10 | La autenticación de IAM debe configurarse para las instancias de RDS | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.11 | Las instancias RDS deben tener habilitadas las copias de seguridad automáticas | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.12 | La autenticación de IAM debe configurarse para los clústeres de RDS | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.13 | Deben habilitarse las actualizaciones automáticas entre versiones secundarias de RDS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, prácticas recomendadas de seguridad AWS fundamentales, NIST SP 800-53 rev. 5, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| RDS.14 | Los clústeres de Amazon Aurora deben tener habilitada la característica de búsqueda de datos anteriores | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.15 | Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad | CIS AWS Foundations Benchmark v5.0.0, mejores prácticas de seguridad AWS fundamentales v1.0.0, NIST SP 800-53 rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.16 | Los clústeres de bases de datos de Aurora se deben configurar para copiar etiquetas en instantáneas de bases de datos | AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | El cambio se ha activado | |
| RDS.17 | Las instancias de base de datos de RDS deben configurarse para copiar etiquetas en las instantáneas | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.19 | Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos del clúster | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.20 | Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos de las instancias de bases de datos | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAJA | |
El cambio se ha activado |
| RDS.21 | Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de parámetros de bases de datos | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAJA | |
El cambio se ha activado |
| RDS.22 | Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de seguridad de bases de datos | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAJA | |
El cambio se ha activado |
| RDS.23 | Las instancias RDS no deben usar el puerto predeterminado de un motor de base de datos | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.24 | Los clústeres de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| RDS.25 | Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| RDS.26 | Las instancias de base de datos de RDS tienen que ser protegidas por planes de copia de seguridad | NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| RDS.27 | Los clústeres de bases de datos de RDS deben cifrarse en reposo | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.28 | Los clústeres de base de datos de RDS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| RDS.29 | Las instantáneas del clúster de base de datos de RDS deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| RDS.30 | Las instancias de bases de datos de RDS deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| RDS.31 | Los grupos de seguridad de bases de datos de RDS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| RDS.32 | Las instantáneas de bases de datos de RDS deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| RDS.33 | Los grupos de subredes de bases de datos de RDS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| RDS.34 | Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en CloudWatch Logs | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| RDS.35 | Los clústeres de bases de datos de RDS deberían tener habilitada la actualización automática de las versiones secundarias | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| RDS.36 | Las instancias de base de datos de RDS para PostgreSQL deberían publicar registros en Logs CloudWatch | AWSPrácticas recomendadas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| RDS.37 | Los clústeres de bases de datos Aurora PostgreSQL deberían publicar registros en Logs CloudWatch | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| RDS.38 | Las instancias de base de datos de RDS para PostgreSQL se deben cifrar en tránsito | AWSMejores prácticas de seguridad fundamentales | MEDIO | Periódico | |
| RDS.39 | Las instancias de base de datos de RDS para MySQL se deben cifrar en tránsito | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| RDS.40 | Las instancias de base de datos de RDS para SQL Server deben publicar los registros en Logs CloudWatch | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| RDS.41 | Las instancias de base de datos de RDS para SQL Server se deben cifrar en tránsito | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| RDS.42 | Las instancias de base de datos de RDS para MariaDB deberían publicar registros en Logs CloudWatch | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| RDS.43 | Los proxies de base de datos de RDS deben exigir el cifrado TLS para las conexiones | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| RDS.44 | Las instancias de base de datos de RDS para MariaDB se deben cifrar en tránsito | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| RDS.45 | Los clústeres de base de datos de Aurora MySQL deben tener habilitado el registro de auditoría | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| RDS.46 | Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet. | AWSMejores prácticas fundamentales de seguridad | ALTO | Periódico | |
| RDS.47 | Los clústeres de bases de datos de RDS para PostgreSQL se deben configurar para copiar etiquetas en las instantáneas de bases de datos | AWSMejores prácticas fundamentales de seguridad | BAJA | El cambio se ha activado | |
| RDS.48 | Los clústeres de bases de datos de RDS para MySQL se deben configurar para copiar etiquetas en las instantáneas de bases de datos | AWSMejores prácticas fundamentales de seguridad | BAJA | El cambio se ha activado | |
| RDS.50 | Los clústeres de bases de datos de RDS deben tener establecido un período de retención de copias de seguridad suficiente | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| RDS.51 | Los clústeres globales de RDS deberían ejecutarse en una versión compatible de Aurora MySQL | AWSPrácticas recomendadas de seguridad fundamentales | ALTO | El cambio se ha activado | |
| Redshift.1 | Los clústeres de Amazon Redshift deberían prohibir el acceso público | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRÍTICO | |
El cambio se ha activado |
| Redshift.2 | Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| Redshift.3 | Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.4 | Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| Redshift.6 | Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.7 | Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.8 | Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.10 | Los clústeres de Redshift deben estar cifrados en reposo | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.11 | Los clústeres de Redshift deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Redshift.12 | Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Redshift.13 | Las instantáneas del clúster de Redshift deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Redshift.14 | Los grupos de subredes del clúster de Redshift deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Redshift.15 | Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | Periódico | |
| Redshift.16 | Los grupos de subredes del clúster de Redshift deben tener subredes de varias zonas de disponibilidad | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| Redshift.17 | Los grupos de parámetros del clúster de Redshift deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Redshift.18 | Los clústeres de Redshift deberían tener Multi-AZ habilitadas las implementaciones | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| RedshiftServerless.1 | Los grupos de trabajo de Amazon Redshift sin servidor deben utilizar enrutamiento de VPC mejorado | AWSMejores prácticas fundamentales de seguridad | ALTO | Periódico | |
| RedshiftServerless.2 | Se debe requerir que las conexiones a los grupos de trabajo de Redshift Serverless utilicen SSL | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| RedshiftServerless.3 | Los grupos de trabajo de Redshift sin servidor deben prohibir el acceso público | AWSMejores prácticas fundamentales de seguridad | ALTO | Periódico | |
| RedshiftServerless.4 | Los espacios de nombres de Redshift Serverless deben estar cifrados y gestionados por el cliente AWS KMS keys | NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| RedshiftServerless.5 | Los espacios de nombres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado | AWSMejores prácticas de seguridad fundamentales | MEDIO | Periódico | |
| RedshiftServerless.6 | Los espacios de nombres Redshift Serverless deberían exportar los registros a los registros CloudWatch | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| Route53.1 | Las comprobaciones de estado de Route 53 deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Route53.2 | Las zonas alojadas públicas de Route 53 deben registrar las consultas de DNS | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| S3.1 | Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, Foundational Security Best PracticesAWS, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | Periódico | |
| S3.2 | Los buckets de uso general de S3 deben bloquear el acceso público de lectura | AWSPrácticas recomendadas fundamentales de seguridad, PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | CRÍTICO | El cambio se desencadena y es periódico | |
| S3.3 | Los buckets de uso general de S3 deben bloquear el acceso público de escritura | AWSPrácticas recomendadas fundamentales de seguridad, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | El cambio se desencadena y es periódico | |
| S3.5 | En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, Foundational Security Best PracticesAWS, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| S3.6 | Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2 | ALTO | El cambio se ha activado | |
| S3.7 | Los buckets de uso general de S3 deben usar la replicación entre regiones | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | BAJA | El cambio se ha activado | |
| S3.8 | Los buckets de uso general de S3 deben bloquear el acceso público | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, Foundational Security Best PracticesAWS, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ALTO | El cambio se ha activado | |
| S3.9 | Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| S3.10 | Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| S3.11 | Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | El cambio se ha activado | |
| S3.12 | Las ACL no deben utilizarse para administrar el acceso de los usuarios a los buckets de uso general de S3 | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| S3.13 | Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | BAJA | El cambio se ha activado | |
| S3.14 | Los buckets de uso general de S3 deben tener habilitado el control de versiones | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAJA | El cambio se ha activado | |
| S3.15 | Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos | NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| S3.17 | Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys | NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| S3.19 | Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRÍTICO | El cambio se ha activado | |
| S3.20 | Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA | Marco de referencia de AWS fundaciones de la CEI v5.0.0, punto de referencia de AWS fundaciones de la CEI v3.0.0, punto de referencia de fundaciones de la AWS CEI v1.4.0, NIST SP 800-53 rev. 5 | BAJA | El cambio se ha activado | |
| S3.22 | Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto | Índice de referencia de AWS fundamentos de la CEI versión 5.0.0, punto de referencia de AWS fundamentos de la CEI versión 3.0.0, PCI DSS versión 4.0.1 | MEDIO | Periódico | |
| S3.23 | Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto | Índice de referencia de AWS fundamentos de la CEI versión 5.0.0, punto de referencia de AWS fundamentos de la CEI versión 3.0.0, PCI DSS versión 4.0.1 | MEDIO | Periódico | |
| S3.24 | Los puntos de Multi-Region acceso S3 deben tener habilitada la configuración de bloqueo de acceso público | AWSMejores prácticas fundamentales de seguridad, PCI DSS v4.0.1 | ALTO | El cambio se ha activado | |
| S3.25 | Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida | AWSMejores prácticas de seguridad fundamentales | BAJA | El cambio se ha activado | |
| SageMaker.1 | Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet | AWSPrácticas recomendadas de seguridad fundamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | ALTO | |
Periódico |
| SageMaker.2 | SageMaker las instancias de notebook deben lanzarse en una VPC personalizada | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| SageMaker.3 | Los usuarios no deberían tener acceso root a las instancias de notebook SageMaker | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| SageMaker.4 | SageMaker las variantes de producción de terminales deben tener un recuento inicial de instancias superior a 1 | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| SageMaker.5 | SageMaker los modelos deben tener habilitado el aislamiento de red | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| SageMaker.6 | SageMaker las configuraciones de imagen de la aplicación deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| SageMaker.7 | SageMaker las imágenes deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| SageMaker.8 | SageMaker las instancias de notebook deberían ejecutarse en plataformas compatibles | AWSMejores prácticas fundamentales de seguridad | MEDIO | Periódico | |
| SageMaker.9 | SageMaker Las definiciones de trabajos de calidad de datos deben tener habilitado el cifrado del tráfico entre contenedores | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| SageMaker.10 | SageMaker las definiciones de los trabajos de explicabilidad del modelo deben tener habilitado el cifrado del tráfico entre contenedores | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| SageMaker.11 | SageMaker las definiciones de trabajos de calidad de datos deben tener habilitado el aislamiento de la red | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| SageMaker.12 | SageMaker las definiciones de tareas basadas en el sesgo del modelo deberían tener habilitado el aislamiento de la red | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| SageMaker.13 | SageMaker las definiciones de trabajos con calidad de modelo deberían tener habilitado el cifrado del tráfico entre contenedores | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| SageMaker.14 | SageMaker los programas de monitoreo deben tener habilitado el aislamiento de la red | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| SageMaker.15 | SageMaker las definiciones de tareas basadas en el sesgo del modelo deberían tener habilitado el cifrado del tráfico entre contenedores | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| SageMaker.16 | SageMaker los modelos deben usar un registro privado en la VPC para los contenedores principales | AWSMejores prácticas de seguridad fundamentales | MEDIO | El cambio se ha activado | |
| SageMaker.17 | SageMaker Las tiendas fuera de línea del grupo de características deben cifrarse con claves AWS KMS | AWSMejores prácticas de seguridad fundamentales | MEDIO | El cambio se ha activado | |
| SageMaker.18 | SageMaker Las tiendas en línea del grupo de características con almacenamiento estándar deben cifrarse con claves AWS KMS | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| SageMaker.19 | SageMaker los modelos deben usar un registro privado en la VPC para las canalizaciones de inferencia de varios contenedores | AWSMejores prácticas de seguridad fundamentales | MEDIO | El cambio se ha activado | |
| SageMaker.20 | SageMaker las definiciones de los trabajos de explicabilidad del modelo deben tener habilitado el aislamiento de la red | AWSMejores prácticas fundamentales de seguridad | ALTO | El cambio se ha activado | |
| SageMaker.21 | SageMaker las instancias de notebook deben cifrarse con claves administradas por AWS KMS el cliente | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| SageMaker.22 | SageMaker los cronogramas de monitoreo deben tener habilitado el cifrado del tráfico entre contenedores | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| SageMaker.23 | SageMaker los experimentos de inferencia deben cifrar el volumen de almacenamiento de la instancia con claves administradas por el cliente AWS KMS | AWSMejores prácticas de seguridad fundamentales | MEDIO | El cambio se ha activado | |
| SageMaker.24 | SageMaker los experimentos de inferencia deben tener el almacenamiento de datos cifrado con claves administradas por el cliente AWS KMS | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| SageMaker.25 | SageMaker las definiciones de trabajos con calidad de modelo deben tener habilitado el aislamiento de la red | AWSMejores prácticas fundamentales de seguridad | ALTO | El cambio se ha activado | |
| SecretsManager.1 | Los secretos de Secrets Manager deberían tener habilitada la rotación automática | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| SecretsManager.2 | Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| SecretsManager.3 | Eliminación de secretos no utilizados de Secrets Manager | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| SecretsManager.4 | Los secretos de Secrets Manager deben rotarse en un número específico de días | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| SecretsManager.5 | Los secretos de Secrets Manager deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| ServiceCatalog.1 | Las carteras de Service Catalog solo deben compartirse dentro de una AWS organización | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| SES.1 | Las listas de contactos de SES deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| SES.2 | Los conjuntos de configuración de SES deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| SES.3 | Los conjuntos de configuración de SES deben tener el TLS activado para enviar correos electrónicos | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| SNS.1 | Los temas de SNS deben cifrarse en reposo mediante AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | El cambio se ha activado | |
| SNS.3 | Los temas de SNS deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| SNS.4 | Las políticas de acceso a los temas de SNS no deberían permitir el acceso público | AWSMejores prácticas fundamentales de seguridad | CRÍTICO | El cambio se ha activado | |
| SQS.1 | Las colas de Amazon SQS deben cifrarse en reposo | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| SQS.2 | Las colas de SQS deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| SQS.3 | Las políticas de acceso de la cola de SQS no deben permitir el acceso público | AWSMejores prácticas fundamentales de seguridad | CRÍTICO | El cambio se ha activado | |
| SSM.1 | Las instancias de EC2 deben administrarse mediante AWS Systems Manager | AWSPrácticas recomendadas de seguridad fundamentales v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | MEDIO | |
El cambio se ha activado |
| SSM.2 | Las instancias EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, NIST SP 800-171 rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| SSM.3 | Las instancias EC2 administradas por el Administrador de sistemas deben tener un estado de conformidad de asociación de COMPLIANT | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | BAJA | |
El cambio se ha activado |
| SSM.4 | Los documentos del SSM no deben ser públicos | AWSMejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Periódico |
| SSM.5 | Los documentos de SSM deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| SSM.6 | SSM Automation debería tener CloudWatch el registro habilitado | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | Periódico | |
| SSM.7 | Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público | AWSMejores prácticas fundamentales de seguridad, versión 1.0.0 | CRÍTICO | Periódico | |
| StepFunctions.1 | Step Functions indica que las máquinas deberían tener el registro activado | AWSMejores prácticas fundamentales de seguridad v1.0.0, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| StepFunctions.2 | Las actividades de Step Functions deben estar etiquetadas | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Transfer.1 | Los flujos de trabajo de Transfer Family deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Transfer.2 | Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | Periódico | |
| Transfer.3 | Los conectores de Transfer Family deben tener el registro habilitado | AWSMejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| Transfer.4 | Los acuerdos de Transfer Family deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Transfer.5 | Los certificados de Transfer Family deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Transfer.6 | Los conectores de Transfer Family deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| Transfer.7 | Los perfiles de Transfer Family deben estar etiquetados | AWSEstándar de etiquetado de recursos | BAJA | El cambio se ha activado | |
| WAF.1 | AWSEl registro WAF Classic Global Web ACL debe estar habilitado | AWSPrácticas recomendadas fundamentales de seguridad, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MEDIO | |
Periódico |
| WAF.2 | AWSLas reglas regionales clásicas de la WAF deben tener al menos una condición | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.3 | AWSLos grupos de reglas regionales clásicas de la WAF deben tener al menos una regla | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.4 | AWSLas ACL web regionales clásicas de WAF deben tener al menos una regla o grupo de reglas | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.6 | AWSLas reglas globales de WAF Classic deben tener al menos una condición | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.7 | AWSLos grupos de reglas globales de WAF Classic deben tener al menos una regla | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.8 | AWSLas ACL web globales de WAF Classic deben tener al menos una regla o grupo de reglas | AWSPrácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.10 | AWSLas ACL web de WAF deben tener al menos una regla o grupo de reglas | AWSPrácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.11 | AWSEl registro de ACL web en WAF debe estar habilitado | NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | BAJA | |
Periódico |
| WAF.12 | AWSLas reglas de WAF deben tener CloudWatch las métricas habilitadas | AWSPrácticas recomendadas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | |
El cambio se ha activado |
| WorkSpaces.1 | WorkSpaces los volúmenes de usuario deben cifrarse en reposo | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado | |
| WorkSpaces.2 | WorkSpaces los volúmenes raíz deben cifrarse en reposo | AWSMejores prácticas fundamentales de seguridad | MEDIO | El cambio se ha activado |