Límites regionales - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Límites regionales

AlgunoAWSLas funciones de Security Hub solo están disponibles en algunosAWSRegiones. En las siguientes secciones se especifican estos límites regionales.

Restricciones de agregación entre regiones

EnAWS GovCloud (US),Agregación entre regionesestá disponible para obtener resultados, encontrar actualizaciones y obtener información enAWS GovCloud (US)Solo la . Específicamente, solo puede agregar hallazgos, encontrar actualizaciones e información entreAWS GovCloud (EE. UU. Este) yAWS GovCloud (EE.UU. Oeste).

En las regiones de China, la agregación interregional solo está disponible para los resultados, las actualizaciones de búsqueda y los conocimientos en las regiones de China. En concreto, solo puede agregar hallazgos, encontrar actualizaciones e información entre China (Pekín) y China (Ningxia).

No puede usar una región que esté deshabilitada de forma predeterminada como región de agregación. Para obtener una lista de regiones que están deshabilitadas de forma predeterminada, consulteActivación de una regiónen laAWSReferencia general de.

Integraciones no admitidas en todas las regiones

Algunas integraciones no están disponibles en todas las regiones. Si una integración no está disponible en una región específica, no aparece en laIntegracionesde la consola de Security Hub al elegir esa región.

Integraciones que se admiten en China (Pekín) y China (Ningxia)

Las regiones China (Pekín) y China (Ningxia) solo admiten lo siguienteintegraciones conAWSServicios de:

  • AWS Firewall Manager

  • Amazon GuardDuty

  • IAM Access Analyzer

  • Systems Manager Explorer

  • Systems Manager OpsCenter

  • Systems Manager

Las regiones China (Pekín) y China (Ningxia) solo admiten lo siguienteintegraciones de terceros:

  • Cloud Custodian

  • FireEye Helix

  • Helecloud

  • IBM QRadar

  • PagerDuty

  • Palo Alto Networks Cortex XSOAR

  • Palo Alto Networks VM-Series

  • Prowler

  • RSA Archer

  • Splunk Enterprise

  • Splunk Phantom

  • ThreatModeler

Integraciones que se admiten enAWS GovCloud (EE. UU. Este) yAWS GovCloud (EE. UU. Oeste)

LaAWS GovCloud (EE. UU. Este) yAWS GovCloud (EE. UU. Oeste) Las regiones solo admiten lo siguienteintegraciones conAWSServicios de:

  • Amazon Detective

  • AWS Firewall Manager

  • Amazon GuardDuty

  • Amazon Inspector

  • IAM Access Analyzer

LaAWS GovCloud (EE. UU. Este) yAWS GovCloud (EE. UU. Oeste) Las regiones solo admiten lo siguienteintegraciones de terceros:

  • Atlassian Jira Service Manager

  • Atlassian OpsGenie

  • Caveonix Cloud

  • Cloud Custodian

  • Cloud Storage Security Antivirus for Amazon S3

  • cloudtamer.io

  • CrowdStrike Falcon

  • FireEye Helix

  • Forcepoint CASB

  • Forcepoint DLP

  • Forcepoint NGFW

  • MicroFocus ArcSight

  • NETSCOUT Cyber Investigator

  • PagerDuty

  • Palo Alto Networks – Prisma Cloud Compute

  • Palo Alto Networks – Prisma Cloud Enterprise

  • Palo Alto Networks – VM-Series

  • Prowler

  • Rackspace Technology – Cloud Native Security

  • Rapid7 InsightConnect

  • RSA Archer

  • SecureCloudDb

  • ServiceNow ITSM

  • Slack

  • ThreatModeler

  • Vectra AI Cognito Detect

Controles no admitidos en todas las regiones

Las siguientes regiones no admiten todos los controles de Security Hub. Para cada región, esta lista muestra los controles que no se admiten.

Este de EE. UU. (Ohio)

Los siguientes controles no se admiten en EE. UU. Este (Ohio).

Oeste de EE. UU. (Norte de California)

Los siguientes controles no se admiten en EE. UU. Oeste (Norte de California).

Oeste de EE. UU. (Oregón)

Los siguientes controles no se admiten en EE. UU. Oeste (Oregón).

África (Ciudad del Cabo)

Los siguientes controles no se admiten en África (Ciudad del Cabo).

CISAWSEstándar Foundations

1.4 — Asegurar que las claves de acceso se rotan cada 90 días o menos

1.20 - Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

4.1 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 22

4.2 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 3389

La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

[PCI].CodeBuild1. 1] CodeBuild GitHub o Las URL del repositorio de origen de Bitbucket de deben usar OAuth

[PCI].CodeBuild2. 2] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

[PCI.DMS.1]AWS Database Migration Servicelas instancias de replicación no deben ser públicas

[PCI.EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente

[PCI.EC2.4] Los EIP EC2 sin utilizar deben eliminarse

[PCI.EC2.5] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22

[PCI.ELBV2.1] El Application Load Balancer debería configurarse para redirigir todas las solicitudes HTTP a HTTPS

[PCI].GuardDuty1. 1] GuardDuty debe estar habilitado

[PCI.IAM.1] La clave de acceso de usuario raíz de IAM no debe existir

[PCI.RDS.1] Las instantáneas de Amazon RDS deberían prohibir el acceso público

[PCI].SageMaker.1] Amazon SageMaker las instancias de portátiles no deben tener acceso directo a Internet

[PCI.SSM.1] Las instancias de Amazon EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche

[PCI.SSM.2] Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación deCOMPLIANT

Estándar de prácticas de seguridad básicas recomendadas de AWS

[ACM.1] Los certificados de importados y emitidos por ACM deben renovarse después de un período de tiempo especificado

[ApiGateway.1] API Gateway REST y WebSocket El registro de la API debe estar habilitado

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[CodeBuild.1] CodeBuild GitHub o las URL del repositorio de origen de Bitbucket de deben usar OAuth

[CodeBuild.5] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

[DMS.1]AWS Database Migration Servicelas instancias de replicación no deben ser públicas

[EC2.1] Las instantáneas de Amazon EBS no deben ser públicas, en función de su disponibilidad para ser restaurables por cualquier persona

[EC2.3] Los volúmenes de EBS asociados deben cifrarse en reposo

[EC2.4] Las instancias EC2 detenidas deben eliminarse tras un periodo de tiempo especificado

[EC2.8] Las instancias de EC2 deben usar IMDSv2

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[EFS.1] Amazon EFS debe configurarse para cifrar los datos del archivo en reposo medianteAWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[ELB.2] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar un certificado proporcionado porAWS Certificate Manager

[ELB.4] Los balanceadores de carga de aplicaciones deben configurarse para descartar encabezados HTTP

[ELB.8] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar una política de seguridad predefinida que tenga una configuración sólida

[ELBv2.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre los nodos

[GuardDuty.1] GuardDuty debe estar habilitado

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debe existir

[OpenSearch.7] OpenSearch Los dominios deben tener Control de acceso detallado habilitado

[RDS.1] Las instantáneas de RDS deben ser privadas

[RDS.9] El registro de bases de datos debe estar habilitado

[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

[S3.1] La configuración de S3 Block Public Access debe estar habilitada

[SageMaker.1] SageMaker las instancias de notebook no deben tener acceso directo a Internet

[SSM.2] Todas las instancias EC2 administradas por Systems Manager deben cumplir los requisitos de aplicación de parches

[SSM.3] Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación deCOMPLIANT

[OpenSearch.1] OpenSearch los dominios de deben tener habilitado el cifrado en reposo

[OpenSearch.5] OpenSearch Los dominios de deberían estar en una VPC

[OpenSearch.5] OpenSearch los dominios deben cifrar los datos enviados entre nodos

[OpenSearch.5] OpenSearch error de dominio al iniciar sesión en CloudWatch Los registros deben estar habilitados

[OpenSearch.5] OpenSearch los dominios deben tener habilitado el registro de auditoría

[OpenSearch.5] OpenSearch los dominios de deben tener tres nodos de datos como mínimo

[OpenSearch.8] Conexiones a OpenSearch Los dominios se deben cifrar mediante TLS 1.2

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Asia-Pacífico (Hong Kong)

Los siguientes controles no se admiten en Asia-Pacífico (Hong Kong).

Estándar de prácticas de seguridad básicas recomendadas de AWS

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[EC2.23] Las pasarelas de tránsito de EC2 no deben aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Asia-Pacífico (Yakarta)

Los siguientes controles no se admiten en Asia-Pacífico (Jakarta).

CISAWSEstándar Foundations

1.12 — Asegurar que no existe una clave de acceso del usuario raíz

1.20 - Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

2.9 — Asegurar que el registro de flujo de VPC está habilitado en todas las VPC

4.1 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 22

4.2 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 3389

4.3 Asegurar que el grupo de seguridad predeterminado de cada VPC limita todo el tráfico

La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

[PCI].CodeBuild1. 1] CodeBuild GitHub o Las URL del repositorio de origen de Bitbucket de deben usar OAuth

[PCI].CodeBuild2. 2] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

[PCI.DMS.1]AWS Database Migration Servicelas instancias de replicación no deben ser públicas

[PCI.EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente

[PCI.EC2.2] El grupo de seguridad predeterminado de la VPC debería prohibir el tráfico entrante y saliente

[PCI.EC2.5] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22

[PCI.EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[PCI.ELBV2.1] El Application Load Balancer debería configurarse para redirigir todas las solicitudes HTTP a HTTPS

[PCI.ES.1] Los dominios de Elasticsearch deben estar en una VPC

[PCI.ES.2] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[PCI].GuardDuty1. 1] GuardDuty debe estar habilitado

[PCI.IAM.1] La clave de acceso de usuario raíz de IAM no debe existir

[PCI.lambda.2] Las funciones de Lambda deben estar en una VPC

[PCI].OpenSearch.1] Amazon OpenSearch Los dominios de servicio de deben estar en una VPC

[PCI].OpenSearch2. 2] OpenSearch los dominios de deben tener habilitado el cifrado en reposo

[PCI.RDS.1] Las instantáneas de Amazon RDS deberían prohibir el acceso público

[PCI.Redshift.1] Los clústeres de Amazon Redshift deben prohibir el acceso público

[PCI].SageMaker.1] Amazon SageMaker las instancias de portátiles no deben tener acceso directo a Internet

[PCI.SSM.1] Las instancias de Amazon EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche

[PCI.SSM.2] Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación deCOMPLIANT

[PCI.SSM.3] Las instancias EC2 deben gestionarse porAWS Systems Manager

Estándar de prácticas de seguridad básicas recomendadas de AWS

[ApiGateway.1] API Gateway REST y WebSocket El registro de la API debe estar habilitado

[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend

[ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Rayrastreo habilitado

[ApiGateway.4] API Gateway debe asociarse a unAWS WAFACL de de

[AutoScaling.2] El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] El grupo de Auto Scaling debe configurar las instancias EC2 para requerir Servicio de metadatos de instancia versión 2 (IMDSv2)

[AutoScaling.4] La configuración de lanzamiento del grupo de Auto Scaling no debe tener un límite de salto de respuesta de metadatos1

[AutoScaling.5] Las instancias de Amazon EC2 lanzadas con configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[CodeBuild.1] CodeBuild GitHub o las URL del repositorio de origen de Bitbucket de deben usar OAuth

[CodeBuild.5] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

[CodeBuild.5] CodeBuild los entornos de proyecto deben tener una configuración de registro

[CodeBuild.5] CodeBuild los entornos de proyecto no deben tener habilitado el modo privilegiado

[DMS.1]AWS Database Migration Servicelas instancias de replicación no deben ser públicas

[DynamoDB.2] Las tablas de DynamoDB deben tener point-in-time recuperación habilitada

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[EC2.1] Las instantáneas de Amazon EBS no deben ser públicas, en función de su disponibilidad para ser restaurables por cualquier persona

[EC2.2] El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente

[EC2.3] Los volúmenes de EBS asociados deben cifrarse en reposo

[EC2.4] Las instancias EC2 detenidas deben eliminarse tras un periodo de tiempo especificado

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] Debe habilitarse el cifrado predeterminado de EBS

[EC2.8] Las instancias de EC2 deben usar IMDSv2

[EC2.9] Las instancias de EC2 no deben tener una dirección IP pública

[EC2.10] Amazon EC2 debe configurarse para usar puntos de enlace de VPC que se crean para el servicio Amazon EC2

[EC2.15] Las subredes de EC2 no deben asignar automáticamente direcciones IP públicas

[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

[EC2.17] Las instancias de EC2 no deben usar varios ENI

[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones para los puertos autorizados

[EC2.20] Ambos túneles VPN paraAWSLa conexión de Site-to-Site VPN debe estar activa

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389

[EC2.22] Los grupos de seguridad de EC2 que no se utilicen se deben eliminar

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[EC2.27] La ejecución de instancias de EC2 no debe usar pares de claves (retirado)

[ECR.1] Los repositorios privados de ECR deben tener configurada la exploración de imágenes

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

[ECR.3] Los repositorios de ECR deben tener al menos una política de ciclo de vida configurada

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de procesos del host

[ECS.4] Los contenedores de ECS deben ejecutarse como no privilegiados

[ECS.5] Los contenedores de ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

[ECS.10] Los servicios de Fargate deben ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben tener habilitado Container Insights

[EFS.1] Amazon EFS debe configurarse para cifrar los datos del archivo en reposo medianteAWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deben tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Deben habilitarse las actualizaciones de la plataforma gestionada de Elastic Beanstalk

[ELB.2] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar un certificado proporcionado porAWS Certificate Manager

[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con terminación HTTPS o TLS

[ELB.4] Los balanceadores de carga de aplicaciones deben configurarse para descartar encabezados HTTP

[ELB.6] La protección contra eliminación del balanceador de carga de aplicaciones debe estar habilitada

[ELB.8] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar una política de seguridad predefinida que tenga una configuración sólida

[ELB.9] Los balanceadores de cargas clásicos deben tener habilitado el balanceo de cargas entre zonas

[ELB.10] Los balanceadores de carga clásicos deben abarcar varias zonas de disponibilidad

[ELB.12] Los balanceadores de carga de aplicaciones deben configurarse con el modo de mitigación de desincronización defensivo o más estricto

[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELBv2.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch deben estar en una VPC

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre los nodos

[GuardDuty.1] GuardDuty debe estar habilitado

[IAM.4] La clave de acceso del usuario raíz de IAM no debe existir

[IAM.21] Las políticas administradas por el cliente de IAM que crees no deben permitir acciones comodín para los servicios

[KMS.1] Las políticas administradas por el cliente de IAM no deben permitir acciones de descifrado y re-cifrado en todas las claves de KMS

[KMS.2] Los principales de IAM no deben tener políticas en línea de IAM que permitan acciones de descifrado y re-cifrado en todas las claves de KMS

[Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

[Network Firewall red.3] Las directivas del Network Firewall deben tener al menos un grupo de reglas asociado

[NetworkFirewall.4] La acción sin estado predeterminada para las directivas del Network Firewall debe ser omitir o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser omitir o reenviar paquetes fragmentados

[OpenSearch.1] OpenSearch los dominios de deben tener habilitado el cifrado en reposo

[OpenSearch.5] OpenSearch Los dominios de deberían estar en una VPC

[OpenSearch.5] OpenSearch los dominios deben cifrar los datos enviados entre nodos

[OpenSearch.5] OpenSearch error de dominio al iniciar sesión en CloudWatch Los registros deben estar habilitados

[OpenSearch.5] OpenSearch los dominios deben tener habilitado el registro de auditoría

[OpenSearch.5] OpenSearch los dominios de deben tener tres nodos de datos como mínimo

[OpenSearch.7] OpenSearch Los dominios deben tener Control de acceso detallado habilitado

[OpenSearch.8] Conexiones a OpenSearch Los dominios se deben cifrar mediante TLS 1.2

[RDS.1] Las instantáneas de RDS deben ser privadas

[RDS.4] Las instantáneas del clúster RDS y las instantáneas de la base de datos deben cifrarse en reposo

[RDS.6] Se debe configurar la supervisión mejorada para los clústeres e instancias de base de datos de RDS

[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra eliminación

[RDS.8] Las instancias de base de datos de RDS deben tener habilitado la protección

[RDS.9] El registro de bases de datos debe estar habilitado

[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

[RDS.11] Las instancias de Amazon RDS deben tener habilitados los respaldos automáticos

[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

[RDS.13] Deben habilitarse las actualizaciones automáticas de versiones secundarias de RDS

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

[RDS.16] Los clústeres de base de datos de RDS se deben configurar para copiar etiquetas en instantáneas

[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario

[RDS.25] Las instancias de base de datos RDS deben usar un nombre de usuario de administrador

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito

[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

[Redshift.7] Los clústeres de Amazon Redshift deben usar enrutamiento de VPC mejorado

[Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

[Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

[S3.8] La configuración de S3 Block Public Access debe habilitarse en el nivel de bucket

[S3.10] Los buckets de S3 con control de versiones habilitado deben tener configuradas políticas de ciclo de vida

[S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

[S3.12] Las listas de control de acceso (ACL) de S3 no deben utilizarse para administrar el acceso de los usuarios a buckets

[S3.13] Los buckets de S3 deben tener políticas de ciclo de vida configuradas

[SageMaker.1] SageMaker las instancias de notebook no deben tener acceso directo a Internet

[SecretsManager.1] Los secretos de Secrets Manager deben tener habilitada la rotación automática

[SecretsManager.2] Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente

[SecretsManager.3] Eliminar secretos de Secrets Manager no utilizados

[SNS.1] Los temas de SNS se deben cifrar en reposo medianteAWS KMS

[SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

[SQS.1] Las colas de Amazon SQS deben cifrarse en reposo

[SSM.1] Las instancias EC2 deben ser administradas porAWS Systems Manager

[SSM.2] Todas las instancias EC2 administradas por Systems Manager deben cumplir los requisitos de aplicación de parches

[SSM.3] Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación deCOMPLIANT

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.2] Una regla regional de WAF debe tener al menos una condición

[WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

[WAF.4] Una ACL web regional clásica de WAF debe tener al menos una regla o grupo de reglas

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Asia-Pacífico (Bombay)

Los siguientes controles no se admiten en Asia-Pacífico (Mumbai).

Estándar de prácticas de seguridad básicas recomendadas de AWS

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[EC2.23] Las pasarelas de tránsito de EC2 no deben aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Asia-Pacífico (Osaka)

Los siguientes controles no se admiten en Asia-Pacífico (Osaka).

CISAWSEstándar Foundations

1.12 — Asegurar que no existe una clave de acceso del usuario raíz

1.20 - Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

4.1 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 22

4.2 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 3389

La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

[PCI].CodeBuild1. 1] CodeBuild GitHub o Las URL del repositorio de origen de Bitbucket de deben usar OAuth

[PCI].CodeBuild2. 2] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

[PCI.DMS.1]AWS Database Migration Servicelas instancias de replicación no deben ser públicas

[PCI.EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente

[PCI.EC2.5] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22

[PCI.ELBV2.1] El Application Load Balancer debería configurarse para redirigir todas las solicitudes HTTP a HTTPS

[PCI.ES.1] Los dominios de Elasticsearch deben estar en una VPC

[PCI.ES.2] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[PCI].GuardDuty1. 1] GuardDuty debe estar habilitado

[PCI.IAM.1] La clave de acceso de usuario raíz de IAM no debe existir

[PCI.lambda.1] Las funciones de lambda deberían prohibir el acceso público

[PCI.lambda.2] Las funciones de Lambda deben estar en una VPC

[PCI.RDS.1] Las instantáneas de Amazon RDS deberían prohibir el acceso público

[PCI.Redshift.1] Los clústeres de Amazon Redshift deben prohibir el acceso público

[PCI.S3.6] La configuración de S3 Block Public Access debe estar habilitada

[PCI].SageMaker.1] Amazon SageMaker las instancias de portátiles no deben tener acceso directo a Internet

[PCI.SSM.1] Las instancias de Amazon EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche

[PCI.SSM.2] Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación deCOMPLIANT

Estándar de prácticas de seguridad básicas recomendadas de AWS

[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend

[ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Rayrastreo habilitado

[ApiGateway.4] API Gateway debe asociarse a unAWS WAFACL de de

[AutoScaling.5] Las instancias de Amazon EC2 lanzadas con configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[CodeBuild.5] CodeBuild los entornos de proyecto deben tener una configuración de registro

[CodeBuild.5] CodeBuild los entornos de proyecto no deben tener habilitado el modo privilegiado

[EC2.15] Las subredes de EC2 no deben asignar automáticamente direcciones IP públicas

[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

[EC2.17] Las instancias de EC2 no deben usar varios ENI

[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones para los puertos autorizados

[EC2.20] Ambos túneles VPN paraAWSLa conexión de Site-to-Site VPN debe estar activa

[EC2.22] Los grupos de seguridad de EC2 que no se utilicen se deben eliminar

[EC2.23] Las pasarelas de tránsito de EC2 no deben aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario

[ECS.2] Los servicios de Amazon ECS no deben tener direcciones IP públicas asignadas automáticamente

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de procesos del host

[ECS.4] Los contenedores de ECS deben ejecutarse como no privilegiados

[ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

[ECS.10] Los servicios de Fargate deben ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben tener habilitado Container Insights

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deben tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Deben habilitarse las actualizaciones de la plataforma gestionada de Elastic Beanstalk

[ELB.2] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar un certificado proporcionado porAWS Certificate Manager

[ELB.4] Los balanceadores de carga de aplicaciones deben configurarse para descartar encabezados HTTP

[ELB.8] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar una política de seguridad predefinida que tenga una configuración sólida

[ELB.9] Los balanceadores de cargas clásicos deben tener habilitado el balanceo de cargas entre zonas

[IAM.21] Las políticas administradas por el cliente de IAM que crees no deben permitir acciones comodín para los servicios

[KMS.3]AWS KMSlas claves no se deben eliminar involuntariamente

[Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

[OpenSearch.1] OpenSearch los dominios de deben tener habilitado el cifrado en reposo

[OpenSearch.5] OpenSearch Los dominios de deberían estar en una VPC

[OpenSearch.5] OpenSearch los dominios deben cifrar los datos enviados entre nodos

[OpenSearch.5] OpenSearch error de dominio al iniciar sesión en CloudWatch Los registros deben estar habilitados

[OpenSearch.5] OpenSearch los dominios deben tener habilitado el registro de auditoría

[OpenSearch.5] OpenSearch los dominios de deben tener tres nodos de datos como mínimo

[OpenSearch.7] OpenSearch Los dominios deben tener Control de acceso detallado habilitado

[OpenSearch.8] Conexiones a OpenSearch Los dominios se deben cifrar mediante TLS 1.2

[RDS.9] El registro de bases de datos debe estar habilitado

[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

[RDS.13] Deben habilitarse las actualizaciones automáticas de versiones secundarias de RDS

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

[Redshift.7] Los clústeres de Amazon Redshift deben usar enrutamiento de VPC mejorado

[S3.8] La configuración de S3 Block Public Access debe habilitarse en el nivel de bucket

[SecretsManager.3] Eliminar secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse dentro de un número específico de días

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Asia-Pacífico (Seúl)

Los siguientes controles no se admiten en Asia-Pacífico (Seúl).

Asia-Pacífico (Singapur)

Los siguientes controles no se admiten en Asia-Pacífico (Singapur).

Asia-Pacífico (Sídney)

Los siguientes controles no se admiten en Asia-Pacífico (Sídney).

Asia-Pacífico (Tokio)

Los siguientes controles no se admiten en Asia-Pacífico (Tokio).

Canadá (centro)

Los siguientes controles no se admiten en Canadá (Central).

China (Pekín)

Los siguientes controles no se admiten en China (Pekín).

CISAWSEstándar Foundations

1.13 — Asegurar que la MFA está activada para el usuario raíz

1.14 — Asegurar que la MFA basada en hardware está activada para el usuario raíz

La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

[PCI].GuardDuty1. 1] GuardDuty debe estar habilitado

[PCI.IAM.4] La MFA de hardware debe estar habilitada para el usuario raíz

[PCI.IAM.5] La MFA virtual debe estar habilitada para el usuario raíz

[PCI.lambda.1] Las funciones de lambda deberían prohibir el acceso público

[PCI.lambda.2] Las funciones de Lambda deben estar en una VPC

[PCI].SageMaker.1] Amazon SageMaker las instancias de portátiles no deben tener acceso directo a Internet

Estándar de prácticas de seguridad básicas recomendadas de AWS

[ACM.1] Los certificados de importados y emitidos por ACM deben renovarse después de un período de tiempo especificado

[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend

[ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Rayrastreo habilitado

[ApiGateway.4] API Gateway debe asociarse a unAWS WAFACL de de

[AutoScaling.2] El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] El grupo de Auto Scaling debe configurar las instancias EC2 para requerir Servicio de metadatos de instancia versión 2 (IMDSv2)

[AutoScaling.4] La configuración de lanzamiento del grupo de Auto Scaling no debe tener un límite de salto de respuesta de metadatos1

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[CodeBuild.5] CodeBuild los entornos de proyecto deben tener una configuración de registro

[CodeBuild.5] CodeBuild los entornos de proyecto no deben tener habilitado el modo privilegiado

[EC2.15] Las subredes de EC2 no deben asignar automáticamente direcciones IP públicas

[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

[EC2.20] Ambos túneles VPN paraAWSLa conexión de Site-to-Site VPN debe estar activa

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389

[EC2.22] Los grupos de seguridad de EC2 que no se utilicen se deben eliminar

[EC2.23] Las pasarelas de tránsito de EC2 no deben aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[EC2.27] La ejecución de instancias de EC2 no debe usar pares de claves (retirado)

[ECR.1] Los repositorios privados de ECR deben tener configurada la exploración de imágenes

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

[ECR.3] Los repositorios de ECR deben tener al menos una política de ciclo de vida configurada

[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de procesos del host

[ECS.4] Los contenedores de ECS deben ejecutarse como no privilegiados

[ECS.5] Los contenedores de ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

[ECS.10] Los servicios de Fargate deben ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben tener habilitado Container Insights

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deben tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Deben habilitarse las actualizaciones de la plataforma gestionada de Elastic Beanstalk

[ELB.2] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar un certificado proporcionado porAWS Certificate Manager

[ELB.10] Los balanceadores de carga clásicos deben abarcar varias zonas de disponibilidad

[ELB.12] Los balanceadores de carga de aplicaciones deben configurarse con el modo de mitigación de desincronización defensivo o más estricto

[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] Los balanceadores de carga clásicos deben configurarse con el modo de mitigación de desincronización defensivo o más estricto

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre los nodos

[ES.4] Error de dominio de Elasticsearch al iniciar sesión en CloudWatch Los registros deben estar habilitados

[GuardDuty.1] GuardDuty debe estar habilitado

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.21] Las políticas administradas por el cliente de IAM que crees no deben permitir acciones comodín para los servicios

[Kinesis.1] Kinesis Data Streams debe cifrarse en reposo

[Lambda.1] Las políticas de funciones de Lambda deberían prohibir el acceso público

[Lambda.2] Las funciones de Lambda deben usar tiempos de ejecución compatibles

[Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

[Network Firewall red.3] Las directivas del Network Firewall deben tener al menos un grupo de reglas asociado

[NetworkFirewall.4] La acción sin estado predeterminada para las directivas del Network Firewall debe ser omitir o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser omitir o reenviar paquetes fragmentados

[OpenSearch.1] OpenSearch los dominios de deben tener habilitado el cifrado en reposo

[OpenSearch.5] OpenSearch Los dominios de deberían estar en una VPC

[OpenSearch.5] OpenSearch los dominios deben cifrar los datos enviados entre nodos

[OpenSearch.5] OpenSearch error de dominio al iniciar sesión en CloudWatch Los registros deben estar habilitados

[OpenSearch.5] OpenSearch los dominios deben tener habilitado el registro de auditoría

[OpenSearch.5] OpenSearch los dominios de deben tener tres nodos de datos como mínimo

[OpenSearch.7] OpenSearch Los dominios deben tener Control de acceso detallado habilitado

[OpenSearch.8] Conexiones a OpenSearch Los dominios se deben cifrar mediante TLS 1.2

[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra eliminación

[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

[RDS.13] Deben habilitarse las actualizaciones automáticas de versiones secundarias de RDS

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

[RDS.16] Los clústeres de base de datos de RDS se deben configurar para copiar etiquetas en instantáneas

[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario

[RDS.25] Las instancias de base de datos RDS deben usar un nombre de usuario de administrador

[Redshift.7] Los clústeres de Amazon Redshift deben usar enrutamiento de VPC mejorado

[Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

[Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

[S3.8] La configuración de S3 Block Public Access debe habilitarse en el nivel de bucket

[S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

[S3.12] Las listas de control de acceso (ACL) de S3 no deben utilizarse para administrar el acceso de los usuarios a buckets

[S3.13] Los buckets de S3 deben tener políticas de ciclo de vida configuradas

[SageMaker.1] SageMaker las instancias de notebook no deben tener acceso directo a Internet

[SecretsManager.3] Eliminar secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse dentro de un número específico de días

[SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

[SSM.4] Los documentos del MUS no deben ser públicos

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.2] Una regla regional de WAF debe tener al menos una condición

[WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

[WAF.4] Una ACL web regional clásica de WAF debe tener al menos una regla o grupo de reglas

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

China (Ningxia)

Los siguientes controles no se admiten en China (Ningxia).

CISAWSEstándar Foundations

1.13 — Asegurar que la MFA está activada para el usuario raíz

1.14 — Asegurar que la MFA basada en hardware está activada para el usuario raíz

La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

[PCI].GuardDuty1. 1] GuardDuty debe estar habilitado

[PCI.IAM.4] La MFA de hardware debe estar habilitada para el usuario raíz

[PCI.IAM.5] La MFA virtual debe estar habilitada para el usuario raíz

[PCI.lambda.1] Las funciones de lambda deberían prohibir el acceso público

[PCI.lambda.2] Las funciones de Lambda deben estar en una VPC

[PCI].SageMaker.1] Amazon SageMaker las instancias de portátiles no deben tener acceso directo a Internet

Estándar de prácticas de seguridad básicas recomendadas de AWS

[ACM.1] Los certificados de importados y emitidos por ACM deben renovarse después de un período de tiempo especificado

[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend

[ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Rayrastreo habilitado

[ApiGateway.4] API Gateway debe asociarse a unAWS WAFACL de de

[AutoScaling.2] El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] El grupo de Auto Scaling debe configurar las instancias EC2 para requerir Servicio de metadatos de instancia versión 2 (IMDSv2)

[AutoScaling.4] La configuración de lanzamiento del grupo de Auto Scaling no debe tener un límite de salto de respuesta de metadatos1

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[CodeBuild.5] CodeBuild los entornos de proyecto deben tener una configuración de registro

[CodeBuild.5] CodeBuild los entornos de proyecto no deben tener habilitado el modo privilegiado

[EC2.15] Las subredes de EC2 no deben asignar automáticamente direcciones IP públicas

[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

[EC2.20] Ambos túneles VPN paraAWSLa conexión de Site-to-Site VPN debe estar activa

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389

[EC2.22] Los grupos de seguridad de EC2 que no se utilicen se deben eliminar

[EC2.23] Las pasarelas de tránsito de EC2 no deben aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[EC2.27] La ejecución de instancias de EC2 no debe usar pares de claves (retirado)

[ECR.1] Los repositorios privados de ECR deben tener configurada la exploración de imágenes

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

[ECR.3] Los repositorios de ECR deben tener al menos una política de ciclo de vida configurada

[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de procesos del host

[ECS.4] Los contenedores de ECS deben ejecutarse como no privilegiados

[ECS.5] Los contenedores de ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

[ECS.10] Los servicios de Fargate deben ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben tener habilitado Container Insights

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deben tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Deben habilitarse las actualizaciones de la plataforma gestionada de Elastic Beanstalk

[ELB.2] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar un certificado proporcionado porAWS Certificate Manager

[ELB.10] Los balanceadores de carga clásicos deben abarcar varias zonas de disponibilidad

[ELB.12] Los balanceadores de carga de aplicaciones deben configurarse con el modo de mitigación de desincronización defensivo o más estricto

[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] Los balanceadores de carga clásicos deben configurarse con el modo de mitigación de desincronización defensivo o más estricto

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre los nodos

[ES.4] Error de dominio de Elasticsearch al iniciar sesión en CloudWatch Los registros deben estar habilitados

[GuardDuty.1] GuardDuty debe estar habilitado

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.21] Las políticas administradas por el cliente de IAM que crees no deben permitir acciones comodín para los servicios

[Kinesis.1] Kinesis Data Streams debe cifrarse en reposo

[Lambda.1] Las políticas de funciones de Lambda deberían prohibir el acceso público

[Lambda.2] Las funciones de Lambda deben usar tiempos de ejecución compatibles

[Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

[Network Firewall red.3] Las directivas del Network Firewall deben tener al menos un grupo de reglas asociado

[NetworkFirewall.4] La acción sin estado predeterminada para las directivas del Network Firewall debe ser omitir o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser omitir o reenviar paquetes fragmentados

[OpenSearch.1] OpenSearch los dominios de deben tener habilitado el cifrado en reposo

[OpenSearch.5] OpenSearch Los dominios de deberían estar en una VPC

[OpenSearch.5] OpenSearch los dominios deben cifrar los datos enviados entre nodos

[OpenSearch.5] OpenSearch error de dominio al iniciar sesión en CloudWatch Los registros deben estar habilitados

[OpenSearch.5] OpenSearch los dominios deben tener habilitado el registro de auditoría

[OpenSearch.5] OpenSearch los dominios de deben tener tres nodos de datos como mínimo

[OpenSearch.7] OpenSearch Los dominios deben tener Control de acceso detallado habilitado

[OpenSearch.8] Conexiones a OpenSearch Los dominios se deben cifrar mediante TLS 1.2

[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra eliminación

[RDS.9] El registro de bases de datos debe estar habilitado

[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS

[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

[RDS.13] Deben habilitarse las actualizaciones automáticas de versiones secundarias de RDS

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario

[RDS.25] Las instancias de base de datos RDS deben usar un nombre de usuario de administrador

[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

[Redshift.7] Los clústeres de Amazon Redshift deben usar enrutamiento de VPC mejorado

[Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

[Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

[S3.8] La configuración de S3 Block Public Access debe habilitarse en el nivel de bucket

[S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

[S3.12] Las listas de control de acceso (ACL) de S3 no deben utilizarse para administrar el acceso de los usuarios a buckets

[S3.13] Los buckets de S3 deben tener políticas de ciclo de vida configuradas

[SageMaker.1] SageMaker las instancias de notebook no deben tener acceso directo a Internet

[SecretsManager.3] Eliminar secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse dentro de un número específico de días

[SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

[SSM.4] Los documentos del MUS no deben ser públicos

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.2] Una regla regional de WAF debe tener al menos una condición

[WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

[WAF.4] Una ACL web regional clásica de WAF debe tener al menos una regla o grupo de reglas

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Europa (Fráncfort)

Los siguientes controles no se admiten en Europa (Fráncfort).

Europa (Irlanda)

Los siguientes controles no se admiten en Europa (Irlanda).

Europa (Londres)

Los siguientes controles no se admiten en Europa (Londres).

Europa (Milán)

Los siguientes controles no se admiten en Europa (Milán).

CISAWSEstándar Foundations

1.4 — Asegurar que las claves de acceso se rotan cada 90 días o menos

1.20 - Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

4.1 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 22

4.2 — Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0.0.0.0.0.0.0.0 al puerto 3389

La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

[PCI].CodeBuild1. 1] CodeBuild GitHub o Las URL del repositorio de origen de Bitbucket de deben usar OAuth

[PCI].CodeBuild2. 2] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

[PCI.DMS.1]AWS Database Migration Servicelas instancias de replicación no deben ser públicas

[PCI.EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente

[PCI.EC2.4] Los EIP EC2 sin utilizar deben eliminarse

[PCI.EC2.5] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22

[PCI.ELBV2.1] El Application Load Balancer debería configurarse para redirigir todas las solicitudes HTTP a HTTPS

[PCI].GuardDuty1. 1] GuardDuty debe estar habilitado

[PCI.RDS.1] Las instantáneas de Amazon RDS deberían prohibir el acceso público

[PCI.S3.6] La configuración de S3 Block Public Access debe estar habilitada

[PCI].SageMaker.1] Amazon SageMaker las instancias de portátiles no deben tener acceso directo a Internet

[PCI.SSM.1] Las instancias de Amazon EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche

[PCI.SSM.2] Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación deCOMPLIANT

Estándar de prácticas de seguridad básicas recomendadas de AWS

[ACM.1] Los certificados de importados y emitidos por ACM deben renovarse después de un período de tiempo especificado

[ApiGateway.1] API Gateway REST y WebSocket El registro de la API debe estar habilitado

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[CodeBuild.1] CodeBuild GitHub o las URL del repositorio de origen de Bitbucket de deben usar OAuth

[CodeBuild.5] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

[DMS.1]AWS Database Migration Servicelas instancias de replicación no deben ser públicas

[EC2.1] Las instantáneas de Amazon EBS no deben ser públicas, en función de su disponibilidad para ser restaurables por cualquier persona

[EC2.3] Los volúmenes de EBS asociados deben cifrarse en reposo

[EC2.4] Las instancias EC2 detenidas deben eliminarse tras un periodo de tiempo especificado

[EC2.8] Las instancias de EC2 deben usar IMDSv2

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[EFS.1] Amazon EFS debe configurarse para cifrar los datos del archivo en reposo medianteAWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[ELB.2] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar un certificado proporcionado porAWS Certificate Manager

[ELB.4] Los balanceadores de carga de aplicaciones deben configurarse para descartar encabezados HTTP

[ELB.8] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar una política de seguridad predefinida que tenga una configuración sólida

[ELBv2.1] El Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre los nodos

[GuardDuty.1] GuardDuty debe estar habilitado

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[KMS.3]AWS KMSlas claves no se deben eliminar involuntariamente

[OpenSearch.1] OpenSearch los dominios de deben tener habilitado el cifrado en reposo

[OpenSearch.5] OpenSearch Los dominios de deberían estar en una VPC

[OpenSearch.5] OpenSearch los dominios deben cifrar los datos enviados entre nodos

[OpenSearch.5] OpenSearch error de dominio al iniciar sesión en CloudWatch Los registros deben estar habilitados

[OpenSearch.5] OpenSearch los dominios deben tener habilitado el registro de auditoría

[OpenSearch.5] OpenSearch los dominios de deben tener tres nodos de datos como mínimo

[OpenSearch.7] OpenSearch Los dominios deben tener Control de acceso detallado habilitado

[OpenSearch.8] Conexiones a OpenSearch Los dominios se deben cifrar mediante TLS 1.2

[RDS.1] Las instantáneas de RDS deben ser privadas

[RDS.9] El registro de bases de datos debe estar habilitado

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito

[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas

[S3.1] La configuración de S3 Block Public Access debe estar habilitada

[SageMaker.1] SageMaker las instancias de notebook no deben tener acceso directo a Internet

[SSM.2] Todas las instancias EC2 administradas por Systems Manager deben cumplir los requisitos de aplicación de parches

[SSM.3] Las instancias administradas por Systems Manager deben tener un estado de cumplimiento de asociación deCOMPLIANT

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Europa (París)

Los siguientes controles no se admiten en Europa (París).

Estándar de prácticas de seguridad básicas recomendadas de AWS

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Europa (Estocolmo)

Los siguientes controles no se admiten en Europa (Estocolmo).

Estándar de prácticas de seguridad básicas recomendadas de AWS

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

Medio Oriente (Baréin)

Los siguientes controles no se admiten en Medio Oriente (Baréin).

La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

[PCI].GuardDuty1. 1] GuardDuty debe estar habilitado

[PCI.S3.6] La configuración de S3 Block Public Access debe estar habilitada

Estándar de prácticas de seguridad básicas recomendadas de AWS

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[EC2.20] Ambos túneles VPN paraAWSLa conexión de Site-to-Site VPN debe estar activa

[EC2.23] Las pasarelas de tránsito de EC2 no deben aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[GuardDuty.1] GuardDuty debe estar habilitado

[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra eliminación

[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

[RDS.16] Los clústeres de base de datos de RDS se deben configurar para copiar etiquetas en instantáneas

[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario

[Redshift.6] Amazon Redshift debe tener habilitadas las actualizaciones automáticas a las versiones principales

[S3.1] La configuración de S3 Block Public Access debe estar habilitada

[SSM.2] Todas las instancias EC2 administradas por Systems Manager deben cumplir los requisitos de aplicación de parches

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

América del Sur (São Paulo)

Los siguientes controles no se admiten en América del Sur (São Paulo).

Estándar de prácticas de seguridad básicas recomendadas de AWS

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra eliminación

[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

[RDS.16] Los clústeres de base de datos de RDS se deben configurar para copiar etiquetas en instantáneas

[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

AWS GovCloud (EE. UU. Este)

Los siguientes controles no se admiten enAWS GovCloud (EE. UU. Este).

CISAWSEstándar Foundations

1.13 — Asegurar que la MFA está activada para el usuario raíz

1.14 — Asegurar que la MFA basada en hardware está activada para el usuario raíz

La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

[PCI].CodeBuild1. 1] CodeBuild GitHub o Las URL del repositorio de origen de Bitbucket de deben usar OAuth

[PCI].CodeBuild2. 2] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

[PCI].GuardDuty1. 1] GuardDuty debe estar habilitado

[PCI.IAM.4] La MFA de hardware debe estar habilitada para el usuario raíz

[PCI.IAM.5] La MFA virtual debe estar habilitada para el usuario raíz

[PCI].SageMaker.1] Amazon SageMaker las instancias de portátiles no deben tener acceso directo a Internet

Estándar de prácticas de seguridad básicas recomendadas de AWS

[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend

[ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Rayrastreo habilitado

[ApiGateway.4] API Gateway debe asociarse a unAWS WAFACL de de

[AutoScaling.2] El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] El grupo de Auto Scaling debe configurar las instancias EC2 para requerir Servicio de metadatos de instancia versión 2 (IMDSv2)

[AutoScaling.4] La configuración de lanzamiento del grupo de Auto Scaling no debe tener un límite de salto de respuesta de metadatos1

[AutoScaling.5] Las instancias de Amazon EC2 lanzadas con configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[CodeBuild.1] CodeBuild GitHub o las URL del repositorio de origen de Bitbucket de deben usar OAuth

[CodeBuild.5] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

[CodeBuild.5] CodeBuild los entornos de proyecto deben tener una configuración de registro

[CodeBuild.5] CodeBuild los entornos de proyecto no deben tener habilitado el modo privilegiado

[DynamoDB.1] Las tablas de DynamoDB deben escalar automáticamente la capacidad en función de la demanda

[EC2.15] Las subredes de EC2 no deben asignar automáticamente direcciones IP públicas

[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

[EC2.17] Las instancias de EC2 no deben usar varios ENI

[EC2.20] Ambos túneles VPN paraAWSLa conexión de Site-to-Site VPN debe estar activa

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389

[EC2.22] Los grupos de seguridad de EC2 que no se utilicen se deben eliminar

[EC2.23] Las pasarelas de tránsito de EC2 no deben aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[EC2.27] La ejecución de instancias de EC2 no debe usar pares de claves (retirado)

[ECR.1] Los repositorios privados de ECR deben tener configurada la exploración de imágenes

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

[ECR.3] Los repositorios de ECR deben tener al menos una política de ciclo de vida configurada

[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario

[ECS.2] Los servicios de Amazon ECS no deben tener direcciones IP públicas asignadas automáticamente

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de procesos del host

[ECS.4] Los contenedores de ECS deben ejecutarse como no privilegiados

[ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

[ECS.10] Los servicios de Fargate deben ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben tener habilitado Container Insights

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deben tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Deben habilitarse las actualizaciones de la plataforma gestionada de Elastic Beanstalk

[ELB.2] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar un certificado proporcionado porAWS Certificate Manager

[ELB.8] Los balanceadores de carga clásicos con escuchas HTTPS/SSL deben usar una política de seguridad predefinida que tenga una configuración sólida

[ELB.10] Los balanceadores de carga clásicos deben abarcar varias zonas de disponibilidad

[ELB.12] Los balanceadores de carga de aplicaciones deben configurarse con el modo de mitigación de desincronización defensivo o más estricto

[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] Los balanceadores de carga clásicos deben configurarse con el modo de mitigación de desincronización defensivo o más estricto

[ES.4] Error de dominio de Elasticsearch al iniciar sesión en CloudWatch Los registros deben estar habilitados

[GuardDuty.1] GuardDuty debe estar habilitado

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.21] Las políticas administradas por el cliente de IAM que crees no deben permitir acciones comodín para los servicios

[Kinesis.1] Kinesis Data Streams debe cifrarse en reposo

[Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

[Network Firewall red.3] Las directivas del Network Firewall deben tener al menos un grupo de reglas asociado

[NetworkFirewall.4] La acción sin estado predeterminada para las directivas del Network Firewall debe ser omitir o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser omitir o reenviar paquetes fragmentados

[OpenSearch.1] OpenSearch los dominios de deben tener habilitado el cifrado en reposo

[OpenSearch.5] OpenSearch Los dominios de deberían estar en una VPC

[OpenSearch.5] OpenSearch los dominios deben cifrar los datos enviados entre nodos

[OpenSearch.5] OpenSearch error de dominio al iniciar sesión en CloudWatch Los registros deben estar habilitados

[OpenSearch.5] OpenSearch los dominios deben tener habilitado el registro de auditoría

[OpenSearch.5] OpenSearch los dominios de deben tener tres nodos de datos como mínimo

[OpenSearch.7] OpenSearch Los dominios deben tener Control de acceso detallado habilitado

[OpenSearch.8] Conexiones a OpenSearch Los dominios se deben cifrar mediante TLS 1.2

[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

[RDS.13] Deben habilitarse las actualizaciones automáticas de versiones secundarias de RDS

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario

[RDS.25] Las instancias de base de datos RDS deben usar un nombre de usuario de administrador

[Redshift.7] Los clústeres de Amazon Redshift deben usar enrutamiento de VPC mejorado

[Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

[Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

[S3.8] La configuración de S3 Block Public Access debe habilitarse en el nivel de bucket

[S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

[S3.12] Las listas de control de acceso (ACL) de S3 no deben utilizarse para administrar el acceso de los usuarios a buckets

[S3.13] Los buckets de S3 deben tener políticas de ciclo de vida configuradas

[SecretsManager.3] Eliminar secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse dentro de un número específico de días

[SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

[SSM.4] Los documentos del MUS no deben ser públicos

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.2] Una regla regional de WAF debe tener al menos una condición

[WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

[WAF.4] Una ACL web regional clásica de WAF debe tener al menos una regla o grupo de reglas

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas

AWS GovCloud (EE. UU. Oeste)

Los siguientes controles no se admiten enAWS GovCloud (EE. UU. Oeste).

CISAWSEstándar Foundations

1.13 — Asegurar que la MFA está activada para el usuario raíz

1.14 — Asegurar que la MFA basada en hardware está activada para el usuario raíz

La norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

[PCI].CodeBuild1. 1] CodeBuild GitHub o Las URL del repositorio de origen de Bitbucket de deben usar OAuth

[PCI].CodeBuild2. 2] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

[PCI.IAM.4] La MFA de hardware debe estar habilitada para el usuario raíz

[PCI.IAM.5] La MFA virtual debe estar habilitada para el usuario raíz

Estándar de prácticas de seguridad básicas recomendadas de AWS

[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend

[ApiGateway.3] Las etapas de la API REST de API Gateway deben tenerAWS X-Rayrastreo habilitado

[ApiGateway.4] API Gateway debe asociarse a unAWS WAFACL de de

[AutoScaling.2] El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] El grupo de Auto Scaling debe configurar las instancias EC2 para requerir Servicio de metadatos de instancia versión 2 (IMDSv2)

[AutoScaling.4] La configuración de lanzamiento del grupo de Auto Scaling no debe tener un límite de salto de respuesta de metadatos1

[AutoScaling.5] Las instancias de Amazon EC2 lanzadas con configuraciones de lanzamiento de grupos de Auto Scaling no deben tener direcciones IP públicas

[AutoScaling.6] Los grupos de Auto Scaling deben usar varios tipos de instancias en varias zonas de disponibilidad

[CloudFormation.1] CloudFormation Las pilas de deben integrarse con Simple Notification Service (SNS)

[CloudFront.1] CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado

[CloudFront.5] CloudFront las distribuciones deben tener habilitada la identidad de acceso al origen

[CloudFront.5] CloudFront las distribuciones deben requerir cifrado en tránsito

[CloudFront.5] CloudFront las distribuciones deben tener configurada la conmutación por error de origen

[CloudFront.5] CloudFront las distribuciones deben tener habilitado el registro

[CloudFront.5] CloudFront las distribuciones de deberían tenerAWS WAFenabled

[CloudFront.7] CloudFront las distribuciones de deben usar certificados SSL/TLS personalizados

[CloudFront.8] CloudFront las distribuciones de deben usar SNI para atender solicitudes HTTPS

[CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] CloudFront las distribuciones no deben usar protocolos SSL en desuso entre las ubicaciones de borde y los orígenes personalizados

[CodeBuild.1] CodeBuild GitHub o las URL del repositorio de origen de Bitbucket de deben usar OAuth

[CodeBuild.5] CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto sin cifrar

[CodeBuild.5] CodeBuild los entornos de proyecto deben tener una configuración de registro

[CodeBuild.5] CodeBuild los entornos de proyecto no deben tener habilitado el modo privilegiado

[DynamoDB.1] Las tablas de DynamoDB deben escalar automáticamente la capacidad en función de la demanda

[EC2.15] Las subredes de EC2 no deben asignar automáticamente direcciones IP públicas

[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas

[EC2.17] Las instancias de EC2 no deben usar varios ENI

[EC2.20] Ambos túneles VPN paraAWSLa conexión de Site-to-Site VPN debe estar activa

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389

[EC2.22] Los grupos de seguridad de EC2 que no se utilicen se deben eliminar

[EC2.23] Las pasarelas de tránsito de EC2 no deben aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben usar tipos de instancias EC2 paravirtuales

[EC2.27] La ejecución de instancias de EC2 no debe usar pares de claves (retirado)

[ECR.1] Los repositorios privados de ECR deben tener configurada la exploración de imágenes

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

[ECR.3] Los repositorios de ECR deben tener al menos una política de ciclo de vida configurada

[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario

[ECS.2] Los servicios de Amazon ECS no deben tener direcciones IP públicas asignadas automáticamente

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de procesos del host

[ECS.4] Los contenedores de ECS deben ejecutarse como no privilegiados

[ECS.8] Los secretos no deben pasarse como variables de entorno de contenedor

[ECS.10] Los servicios de Fargate deben ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben tener habilitado Container Insights

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EKS.2] Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deben tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Deben habilitarse las actualizaciones de la plataforma gestionada de Elastic Beanstalk

[ELB.10] Los balanceadores de carga clásicos deben abarcar varias zonas de disponibilidad

[ELB.12] Los balanceadores de carga de aplicaciones deben configurarse con el modo de mitigación de desincronización defensivo o más estricto

[ELB.13] Los balanceadores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] Los balanceadores de carga clásicos deben configurarse con el modo de mitigación de desincronización defensivo o más estricto

[ES.4] Error de dominio de Elasticsearch al iniciar sesión en CloudWatch Los registros deben estar habilitados

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.21] Las políticas administradas por el cliente de IAM que crees no deben permitir acciones comodín para los servicios

[Kinesis.1] Kinesis Data Streams debe cifrarse en reposo

[Lambda.5] Las funciones Lambda de VPC deben funcionar en más de una zona de disponibilidad

[Network Firewall red.3] Las directivas del Network Firewall deben tener al menos un grupo de reglas asociado

[NetworkFirewall.4] La acción sin estado predeterminada para las directivas del Network Firewall debe ser omitir o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser omitir o reenviar paquetes fragmentados

[OpenSearch.1] OpenSearch los dominios de deben tener habilitado el cifrado en reposo

[OpenSearch.5] OpenSearch Los dominios de deberían estar en una VPC

[OpenSearch.5] OpenSearch los dominios deben cifrar los datos enviados entre nodos

[OpenSearch.5] OpenSearch error de dominio al iniciar sesión en CloudWatch Los registros deben estar habilitados

[OpenSearch.5] OpenSearch los dominios deben tener habilitado el registro de auditoría

[OpenSearch.5] OpenSearch los dominios de deben tener tres nodos de datos como mínimo

[OpenSearch.7] OpenSearch Los dominios deben tener Control de acceso detallado habilitado

[OpenSearch.8] Conexiones a OpenSearch Los dominios se deben cifrar mediante TLS 1.2

[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS

[RDS.13] Deben habilitarse las actualizaciones automáticas de versiones secundarias de RDS

[RDS.14] Los clústeres de Amazon Aurora deben tener habilitado el retroceso

[RDS.15] Los clústeres de base de datos de RDS deben configurarse para varias zonas de disponibilidad

[RDS.24] Los clústeres de bases de datos de RDS deben usar un nombre de usuario

[RDS.25] Las instancias de base de datos RDS deben usar un nombre de usuario de administrador

[Redshift.7] Los clústeres de Amazon Redshift deben usar enrutamiento de VPC mejorado

[Redshift.8] Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado

[Redshift.9] Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado

[S3.8] La configuración de S3 Block Public Access debe habilitarse en el nivel de bucket

[S3.11] Los buckets de S3 deben tener habilitadas las notificaciones de eventos

[S3.12] Las listas de control de acceso (ACL) de S3 no deben utilizarse para administrar el acceso de los usuarios a buckets

[S3.13] Los buckets de S3 deben tener políticas de ciclo de vida configuradas

[SecretsManager.3] Eliminar secretos de Secrets Manager no utilizados

[SecretsManager.4] Los secretos de Secrets Manager deben rotarse dentro de un número específico de días

[SNS.2] Se debe habilitar el registro del estado de entrega para los mensajes de notificación enviados a un tema

[SSM.4] Los documentos del MUS no deben ser públicos

[WAF.1]AWS WAFDebe habilitarse el registro de ACL web global clásico

[WAF.2] Una regla regional de WAF debe tener al menos una condición

[WAF.3] Un grupo de reglas regionales de WAF debe tener al menos una regla

[WAF.4] Una ACL web regional clásica de WAF debe tener al menos una regla o grupo de reglas

[WAF.6] Una regla global del WAF debe tener al menos una condición

[WAF.7] Un grupo de reglas globales de WAF debe tener al menos una regla

[WAF.8] Una ACL web global de WAF debe tener al menos una regla o grupo de reglas