Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Referencia de controles de Security Hub
Esta referencia de controles proporciona una lista de AWS Security Hub los controles disponibles con enlaces a más información sobre cada control. La tabla de información general muestra los controles en orden alfabético por identificador de control. La tabla proporciona la siguiente información para cada control:
-
ID de control de seguridad: este ID se aplica a todos los estándares Servicio de AWS e indica el recurso al que se refiere el control. La consola Security Hub muestra los identificadores de control de seguridad, independientemente de si los resultados de control consolidados están activados o desactivados en su cuenta. Sin embargo, los resultados de Security Hub hacen referencia a los identificadores de control de seguridad solo si los resultados de control consolidado están activados en su cuenta. Si los resultados de control consolidados están desactivados en su cuenta, algunos identificadores de control varían según el estándar en los resultados de control. Para ver un mapeo de los identificadores de control específicos del estándar con los identificadores de control de seguridad, consulte Cómo afecta la consolidación a las identificaciones y títulos de control.
Si desea configurar las automatizaciones de los controles de seguridad, le recomendamos que filtre en función del identificador del control y no del título o la descripción. Si bien Security Hub podría actualizar ocasionalmente los títulos o descripciones de los controles, los ID de los controles permanecen invariables.
Los identificadores de control pueden omitir números. Estos son marcadores de posición para futuros controles.
-
Normas aplicables: indica a qué normas se aplica un control. Seleccione un control para ver los requisitos específicos de los marcos de cumplimiento de terceros.
-
Título de control de seguridad: este título se aplica a todos los estándares. La consola Security Hub muestra los títulos de los controles de seguridad, independientemente de si los resultados de control consolidados están activados o desactivados en su cuenta. Sin embargo, los resultados de Security Hub hacen referencia a los títulos de control de seguridad solo si los resultados de control consolidado están activados en su cuenta. Si los resultados de control consolidados están desactivados en su cuenta, algunos títulos de control varían según el estándar en los resultados de control. Para ver un mapeo de los identificadores de control específicos del estándar con los identificadores de control de seguridad, consulte Cómo afecta la consolidación a las identificaciones y títulos de control.
-
Gravedad: la gravedad de un control identifica su importancia desde el punto de vista de la seguridad. Para obtener información sobre cómo Security Hub determina la gravedad del control, consulte Asignación de la gravedad a los resultados de los controles.
-
Tipo de programa: indica cuándo se evalúa el control. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
-
Admite parámetros personalizados: indica si el control admite valores personalizados para uno o varios parámetros. Seleccione un control para ver los detalles de los parámetros. Para obtener más información, consulte Personalización de los parámetros de control.
Seleccione un control para ver sus detalles. Los controles se muestran en orden alfabético según el nombre del servicio.
| ID de control de seguridad | Título de control de seguridad | Estándares aplicables | Gravedad | Admite parámetros personalizados | Tipo de programación |
|---|---|---|---|---|---|
| Account.1 | La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | Periódico | |
| Account.2 | Cuenta de AWS debe ser AWS Organizations parte de una organización | NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| ACM.1 | Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | |
El cambio se desencadena y es periódico |
| ACM.2 | Los certificados RSA administrados por ACM deben usar una longitud de clave de al menos 2048 bits | AWS Mejores prácticas fundamentales de seguridad v1.0.0 | HIGH (ALTO) | |
El cambio se ha activado |
| APIGateway.1 | El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 | MEDIO | |
El cambio se ha activado |
| APIGateway.2 | Las etapas de la API de REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| APIGateway.3 | Las etapas de la API REST de API Gateway deberían tener AWS X-Ray el rastreo habilitado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 | BAJA | |
El cambio se ha activado |
| APIGateway.4 | La API de Gateway debe estar asociada a una ACL web de WAF | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| APIGateway.5 | Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| APIGateway.8 | Las rutas de API Gateway deben especificar un tipo de autorización | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periódico |
| APIGateway.9 | El registro de acceso debe configurarse para las etapas V2 de API Gateway | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| AppSync2. | AWS AppSync debe tener habilitado el registro a nivel de campo | AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0 | MEDIO | |
El cambio se ha activado |
| AppSync5. | AWS AppSync Las API de GraphQL no deben autenticarse con claves de API | AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
El cambio se ha activado |
| Athena.1 | Los grupos de trabajo de Athena deberían estar cifrados en reposo | AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| AutoScaling1. | Los grupos de escalado automático asociados a un equilibrador de carga clásico deben utilizar las comprobaciones de estado del equilibrador de carga | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 rev. 5 | BAJA | |
El cambio se ha activado |
| AutoScaling2. | El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | |
El cambio se ha activado |
| AutoScaling3. | Las configuraciones de lanzamiento de grupo de escalado automático deben configurar las instancias de EC2 para que requieran el servicio de metadatos de instancias versión 2 (IMDSv2) | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | HIGH (ALTO) | |
El cambio se ha activado |
| AutoScaling4. | La configuración de inicio de grupo de escalado automático no debe tener un límite de saltos de respuesta de metadatos superior a 1 | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
El cambio se ha activado |
| Autoscaling.5 | Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupo de escalado automático no deben tener direcciones IP públicas | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| AutoScaling6. | Los grupos de escalado automático deben usar varios tipos de instancias en varias zonas de disponibilidad | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| AutoScaling9. | Los grupos de escalado automático de EC2 deberían usar plantillas de lanzamiento de EC2 | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Backup.1 | AWS Backup los puntos de recuperación deben cifrarse en reposo | AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| CloudFormation1. | CloudFormation las pilas deben integrarse con Simple Notification Service (SNS) | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| CloudFront1. | CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | El cambio se ha activado | |
| CloudFront3. | CloudFront las distribuciones deberían requerir el cifrado en tránsito | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| CloudFront4. | CloudFront las distribuciones deben tener configurada la conmutación por error de origen | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| CloudFront5. | CloudFront las distribuciones deberían tener el registro habilitado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| CloudFront6. | CloudFront las distribuciones deben tener WAF habilitado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| CloudFront7. | CloudFront las distribuciones deben usar certificados SSL/TLS personalizados | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| CloudFront8. | CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| CloudFront9. | CloudFront las distribuciones deben cifrar el tráfico hacia orígenes personalizados | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| CloudFront1.0 | CloudFront las distribuciones no deben usar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| CloudFront1.2 | CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| CloudFront1.3 | CloudFront las distribuciones deben usar el control de acceso al origen | AWS Mejores prácticas fundamentales de seguridad v1.0.0 | MEDIO | |
El cambio se ha activado |
| CloudTrail1. | CloudTrail debe estar habilitado y configurado con al menos un registro multirregional que incluya eventos de administración de lectura y escritura | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
Periódico |
| CloudTrail2. | CloudTrail debe tener habilitada la encriptación en reposo | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 rev. 5 AWS | MEDIO | |
Periódico |
| CloudTrail3. | CloudTrail debería estar activado | PCI DSS v3.2.1 | HIGH (ALTO) | |
Periódico |
| CloudTrail4. | CloudTrail La validación del archivo de registro debe estar habilitada | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 rev. 5 AWS | BAJA | |
Periódico |
| CloudTrail5. | CloudTrail los senderos deben estar integrados con Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 rev. 5 AWS | BAJA | |
Periódico |
| CloudTrail6. | Asegúrese de que el depósito de S3 que se utiliza para almacenar CloudTrail los registros no sea de acceso público | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | CRÍTICO | |
El cambio se desencadena y es periódico |
| CloudTrail7. | Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el CloudTrail bucket de S3 | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | BAJA | |
Periódico |
| CloudWatch1. | Debe existir un filtro de métrica de registro y una alarma para el uso del usuario raíz | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0 AWS | BAJA | |
Periódico |
| CloudWatch4.2 | Asegurar que haya un filtro de métricas de registro y alarma para las llamadas a la API no autorizadas | Punto de referencia sobre AWS los fundamentos de la CEI v1.2.0 | BAJA | |
Periódico |
| CloudWatch3. | Garantizar que haya un filtro de métricas de registro y una alarma de registro para el inicio de sesión en la sin MFA en la consola de administración | Punto de referencia sobre AWS los fundamentos de la CEI v1.2.0 | BAJA | |
Periódico |
| CloudWatch4. | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de IAM | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | BAJA | |
Periódico |
| CloudWatch5. | Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | BAJA | |
Periódico |
| CloudWatch6. | Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | BAJA | |
Periódico |
| CloudWatch7. | Garantizar que haya un filtro de métricas de registro y una alarma para la deshabilitación o eliminación programada de las CMK creadas por el cliente | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | BAJA | |
Periódico |
| CloudWatch8. | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de S3 | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | BAJA | |
Periódico |
| CloudWatch9. | Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios AWS Config de configuración | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | BAJA | |
Periódico |
| CloudWatch.10 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de grupos de seguridad | Índice de referencia sobre AWS fundaciones de la CEI versión 1.2.0, punto de referencia sobre las bases de la CEI AWS versión 1.4.0 | BAJA | |
Periódico |
| CloudWatch1.1 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL) | Índice de referencia de AWS fundamentos de la CEI versión 1.2.0, punto de referencia de fundamentos de la CEI AWS versión 1.4.0 | BAJA | |
Periódico |
| CloudWatch1.2 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | BAJA | |
Periódico |
| CloudWatch1.3 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento | Índice de referencia sobre AWS fundaciones de la CEI versión 1.2.0, punto de referencia sobre las bases de la CEI AWS versión 1.4.0 | BAJA | |
Periódico |
| CloudWatch.14 | Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la VPC | Índice de referencia sobre AWS fundaciones de la CEI versión 1.2.0, punto de referencia sobre las bases de la CEI AWS versión 1.4.0 | BAJA | |
Periódico |
| CloudWatch.15 | CloudWatch las alarmas deben tener configuradas las acciones especificadas | NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
El cambio se ha activado |
| CloudWatch1.6 | CloudWatch Los grupos de registros deben conservarse durante un período de tiempo específico | NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| CloudWatch.17 | CloudWatch las acciones de alarma deben estar habilitadas | NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
El cambio se ha activado |
| CodeBuild1. | CodeBuild Las URL del repositorio fuente de Bitbucket no deben contener credenciales confidenciales | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 rev. 5 | CRÍTICO | El cambio se ha activado | |
| CodeBuild2. | CodeBuild las variables de entorno del proyecto no deben contener credenciales de texto claro | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | |
El cambio se ha activado |
| CodeBuild3. | CodeBuild Los registros de S3 deben estar cifrados | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | BAJA | |
El cambio se ha activado |
| CodeBuild4. | CodeBuild los entornos del proyecto deben tener una configuración de registro | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | |
El cambio se ha activado |
| CodeBuild5. | CodeBuild los entornos de proyecto no deberían tener habilitado el modo privilegiado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | HIGH (ALTO) | |
El cambio se ha activado |
| Config.1 | AWS Config debe estar activado | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| DMS.1 | Las instancias de replicación de Servicio de migración de bases de datos no deben ser públicas | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. 5 AWS Control Tower | CRÍTICO | |
Periódico |
| DMS.6 | Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DMS.7 | Las tareas de replicación del DMS para la base de datos de destino deben tener el registro habilitado | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DMS.8 | Las tareas de replicación del DMS para la base de datos de origen deben tener el registro habilitado | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DMS.9 | Los puntos finales del DMS deben usar SSL | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DocumentDB.1 | Los clústeres de Amazon DocumentDB deben estar cifrados en reposo | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| DocumentDB.2 | Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, estándar de administración de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| DocumentDB.3 | Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5 | CRÍTICO | |
El cambio se ha activado |
| DocumentDB.4 | Los clústeres de Amazon DocumentDB deben publicar los registros de auditoría en Logs CloudWatch | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DocumentDB.5 | Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DynamoDB.1 | Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periódico |
| DynamoDB.2 | Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| DynamoDB.3 | Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| DynamoDB.4 | Las tablas de DynamoDB deben estar presentes en un plan de copia de seguridad | NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| DynamoDB.6 | Las tablas de DynamoDB deben tener la protección contra eliminación habilitada | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| EC2.1 | Las instantáneas de EBS no se deben poder restaurar públicamente | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. 5 AWS Control Tower | CRÍTICO | |
Periódico |
| EC2.2 | Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente | CIS AWS Foundations Benchmark v1.2.0, prácticas recomendadas de seguridad AWS fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS Control Tower AWS | HIGH (ALTO) | |
El cambio se ha activado |
| EC2.3 | Los volúmenes de EBS asociados deben cifrarse en reposo | AWS Prácticas recomendadas de seguridad fundamentales, AWS Control Tower versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. 5 | MEDIO | |
El cambio se ha activado |
| EC2.4 | Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periódico |
| EC2.6 | El registro de flujos de VPC debe estar habilitado en todos los VPC | CIS AWS Foundations Benchmark v1.2.0, prácticas recomendadas de seguridad AWS fundamentales v1.0.0, estándar de administración de servicios: AWS Control Tower PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS | MEDIO | |
Periódico |
| EC2.7 | El cifrado predeterminado EBS debe estar habilitado | AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS Control Tower AWS | MEDIO | |
Periódico |
| EC2.8 | Las instancias EC2 deben usar el servicio de metadatos de instancias (IMDS) versión 2 (IMDSv2) | AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| EC2.9 | Las instancias EC2 no deben tener una dirección IPv4 pública | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| EC2.10 | Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2 | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periódico |
| EC2.12 | Los EIP EC2 sin utilizar deben eliminarse | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | BAJA | |
El cambio se ha activado |
| EC2.13 | Los grupos de seguridad no deben permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 22 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | HIGH (ALTO) | |
El cambio se ha activado |
| EC2.14 | Los grupos de seguridad no deberían permitir la entrada desde el 0.0.0.0/0 o: :/0 al puerto 3389 | AWS CIS Foundations Benchmark, versión 1.2.0 | HIGH (ALTO) | |
El cambio se ha activado |
| EC2.15 | Las subredes de EC2 no deberían asignar automáticamente direcciones IP públicas | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| EC2.16 | Deben eliminarse las listas de control de acceso a la red no utilizadas | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| EC2.17 | Las instancias de EC2 no tienen que ser compatibles con varios ENI | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| EC2.18 | Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| EC2.19 | Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | CRÍTICO | |
El cambio se ha activado |
| EC2.20 | Los dos túneles VPN de una conexión VPN de AWS Site-to-Site deberían estar activos | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| EC2.21 | Los ACL de red no deben permitir el ingreso desde 0.0.0.0/0 al puerto 22 o al puerto 3389 | AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS Control Tower AWS | MEDIO | |
El cambio se ha activado |
| EC2.22 | Los grupos de seguridad de EC2 que no se utilicen deben eliminarse | Estándar de administración de servicios: AWS Control Tower | MEDIO | Periódico | |
| EC2.23 | Las pasarelas de tránsito de EC2 no deberían aceptar automáticamente las solicitudes de adjuntos de VPC | AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
El cambio se ha activado |
| EC2.24 | No se deben utilizar los tipos de instancias paravirtuales EC2 | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| EC2.25 | Las plantillas de lanzamiento de EC2 no deben asignar direcciones IP públicas a las interfaces de red | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| EC2.28 | Los volúmenes de EBS tienen que ser parte de un plan de copia de seguridad | NIST SP 800-53 Rev. 5 | BAJA | |
Periódico |
| EC2.51 | Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| ECR.1 | Los repositorios privados de ECR deben tener configurado el escaneo de imágenes | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
Periódico |
| ECR.2 | Los repositorios privados de ECR deben tener configurada la inmutabilidad de las etiquetas | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ECR.3 | Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ECS.1 | Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario. | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| ECS.2 | Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| ECS.3 | Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| ECS.4 | Los contenedores ECS deben ejecutarse sin privilegios | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| ECS.5 | Los contenedores ECS deben estar limitados a un acceso de solo lectura a los sistemas de archivos raíz | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| ECS.8 | Los secretos no deben pasarse como variables de entorno del contenedor | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| ECS.9 | Las definiciones de tareas de ECS deben tener una configuración de registro | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
El cambio se ha activado |
| ECS.10 | Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ECS.12 | Los clústeres de ECS deben usar Container Insights | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| EFS.1 | El sistema de archivos elástico debe configurarse para cifrar los datos de los archivos en reposo mediante AWS KMS | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periódico |
| EFS.2 | Los volúmenes de Amazon EFS deben estar en los planes de copia de seguridad | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
Periódico |
| EFS.3 | Los puntos de acceso EFS deben aplicar un directorio raíz | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| EFS.4 | Los puntos de acceso EFS deben imponer una identidad de usuario | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| EKS.1 | Los puntos de conexión del clúster EKS no deben ser de acceso público | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| EKS.2 | Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| EKS.8 | Los clústeres de EKS deben tener habilitado el registro de auditoría | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ElastiCache1. | ElastiCache Los clústeres de Redis deberían tener habilitada la copia de seguridad automática | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| ElastiCache2. | ElastiCache para los clústeres de caché de Redis, deberían tener habilitadas las actualizaciones automáticas de las versiones secundarias | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| ElastiCache3. | ElastiCache los grupos de replicación deberían tener habilitada la conmutación por error automática | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ElastiCache4. | ElastiCache los grupos de replicación deberían estar habilitados encryption-at-rest | AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ElastiCache5. | ElastiCache los grupos de replicación deberían estar habilitados encryption-in-transit | AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ElastiCache6. | ElastiCache los grupos de replicación de versiones anteriores de Redis deberían tener habilitada la autenticación de Redis | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ElastiCache7. | ElastiCache los clústeres no deben usar el grupo de subredes predeterminado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| ElasticBeanstalk1. | Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | BAJA | |
El cambio se ha activado |
| ElasticBeanstalk2. | Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | HIGH (ALTO) | |
El cambio se ha activado |
| ElasticBeanstalk3. | Elastic Beanstalk debe transmitir los registros a CloudWatch | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0 | HIGH (ALTO) | |
El cambio se ha activado |
| ELB.1 | El Equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 AWS Control Tower Rev. 5 | MEDIO | |
Periódico |
| ELB.2 | Los equilibradores de carga clásicos con agentes de escucha SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.3 | Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.4 | Equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.5 | El registro de aplicaciones y de los equilibradores de carga clásicos debe estar habilitado | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.6 | La protección contra la eliminación de Equilibrador de carga de aplicación debe estar habilitada | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.7 | Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.8 | Los equilibradores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una configuración sólida | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.9 | Los equilibradores de carga clásicos deben tener habilitado el equilibrador de carga entre zonas | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.10 | Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.12 | Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto. | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.13 | Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.14 | Equilibrador de carga clásico debe configurarse con el modo defensivo o con el modo de mitigación de desincronización más estricto. | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.16 | Los balanceadores de carga de aplicaciones deben estar asociados a una ACL web AWS WAF | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| EMR.1 | Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| EMR.2 | La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Periódico |
| ES.1 | Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. 5 AWS Control Tower | MEDIO | |
Periódico |
| ES.2 | Los dominios de Elasticsearch no deben ser de acceso público | AWS Mejores prácticas fundamentales de seguridad v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. 5 AWS Control Tower | CRÍTICO | |
Periódico |
| ES.3 | Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ES.4 | Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ES.5 | Los dominios de Elasticsearch deben tener habilitado el registro de auditoría | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ES.6 | Los dominios de Elasticsearch deben tener al menos tres nodos de datos | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ES.7 | Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ES.8 | Las conexiones a los dominios de Elasticsearch deben cifrarse con la política de seguridad TLS más reciente | AWS Mejores prácticas de seguridad fundamentales, estándar de gestión de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| EventBridge3. | EventBridge los autobuses personalizados para eventos deberían tener adjunta una política basada en los recursos | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| EventBridge4. | EventBridge los puntos finales globales deberían tener habilitada la replicación de eventos | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| FSx.1 | Los sistemas de archivos de FSx para OpenZFS deben configurarse para copiar etiquetas en copias de seguridad y volúmenes | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| GuardDuty1. | GuardDuty debería estar habilitado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 rev. 5 | HIGH (ALTO) | |
Periódico |
| IAM.1 | Las políticas de IAM no deben permitir privilegios administrativos completos “*” | CIS AWS Foundations Benchmark v1.2.0, prácticas recomendadas de seguridad AWS fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS Control Tower AWS | HIGH (ALTO) | |
El cambio se ha activado |
| IAM.2 | Los usuarios de IAM no deben tener políticas de IAM asociadas | CIS AWS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 AWS rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| IAM.3 | Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Managed Standard: CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS Control Tower AWS | MEDIO | |
Periódico |
| IAM.4 | La clave de acceso del usuario raíz de IAM no debería existir | CIS AWS Foundations Benchmark v1.2.0, prácticas recomendadas de seguridad AWS fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS Control Tower AWS | CRÍTICO | |
Periódico |
| IAM.5 | MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola | CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, estándar de gestión de servicios: CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS Control Tower AWS | MEDIO | |
Periódico |
| IAM.6 | La MFA de hardware debe estar habilitada para el usuario raíz | CIS AWS Foundations Benchmark v1.2.0, prácticas recomendadas de seguridad AWS fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS Control Tower AWS | CRÍTICO | |
Periódico |
| IAM.7 | Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras | AWS Prácticas recomendadas de seguridad fundamentales, AWS Control Tower versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. 5 | MEDIO | |
Periódico |
| IAM.8 | Deben eliminarse las credenciales de usuario de IAM que no se utilicen | CIS AWS Foundations Benchmark v1.2.0, prácticas recomendadas de seguridad AWS fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. 5 AWS Control Tower | MEDIO | |
Periódico |
| IAM.9 | La MFA debe estar habilitada para el usuario raíz | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS | CRÍTICO | |
Periódico |
| IAM.10 | Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras | PCI DSS v3.2.1 | MEDIO | |
Periódico |
| IAM.11 | Asegurar que la política de contraseñas de IAM requiere al menos una letra mayúscula | AWS Índice de referencia CIS Foundations v1.2.0 | MEDIO | |
Periódico |
| IAM.12 | Asegurar que la política de contraseñas de IAM requiere al menos una letra minúscula | Punto de referencia sobre las AWS fundaciones de la CEI, versión | MEDIO | |
Periódico |
| IAM.13 | Asegurar que la política de contraseñas de IAM requiere al menos un símbolo | Punto de referencia sobre las AWS fundaciones de la CEI, versión | MEDIO | |
Periódico |
| IAM.14 | Asegurar que la política de contraseñas de IAM requiere al menos un número | Punto de referencia sobre las AWS fundaciones de la CEI, versión | MEDIO | |
Periódico |
| IAM.15 | Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más | CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0 AWS | MEDIO | |
Periódico |
| IAM.16 | Asegurar que la política de contraseñas de IAM impide la reutilización de contraseñas | CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0 AWS | BAJA | |
Periódico |
| IAM.17 | Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos | Índice de referencia sobre fundaciones CIS v1.2.0 AWS | BAJA | |
Periódico |
| IAM.18 | Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | BAJA | |
Periódico |
| IAM.19 | MFA se debe habilitar para todos los usuarios de IAM | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | MEDIO | |
Periódico |
| IAM.20 | Evite el uso del usuario raíz | Índice de referencia sobre fundaciones CIS v1.2.0 AWS | BAJA | |
Periódico |
| IAM.21 | Las políticas de IAM administrada por los clientes que usted cree no deberían permitir acciones comodín para los servicios | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| IAM.22 | Deben eliminarse las credenciales de usuario de IAM que no se hayan utilizado durante 45 días | Punto AWS de referencia de CIS Foundations, versión 1.4.0 | MEDIO | |
Periódico |
| Kinesis.1 | Las transmisiones de Kinesis deben cifrarse en reposo | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| KMS.1 | Las políticas administradas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| KMS.2 | Las entidades principales de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| KMS.3 | AWS KMS keys no debe borrarse involuntariamente | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | CRÍTICO | |
El cambio se ha activado |
| KMS.4 | AWS KMS key la rotación debe estar habilitada | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 | MEDIO | |
Periódico |
| Lambda.1 | Las funciones de Lambda deberían prohibir el acceso público | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. 5 AWS Control Tower | CRÍTICO | |
El cambio se ha activado |
| Lambda.2 | Las funciones de Lambda deben usar los últimos tiempos de ejecución | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Lambda.3 | Las funciones de Lambda deben estar en una VPC | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | BAJA | |
El cambio se ha activado |
| Lambda.5 | Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Macie.1 | Amazon Macie debería estar activado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| Macie. 2 | La detección automática de datos confidenciales por parte de Macie debería estar habilitada | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | Periódico | |
| MSK.1 | Los clústeres de MSK deben cifrarse en tránsito entre los nodos de los corredores | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| MSK.2 | Los clústeres de MSK deberían tener configurada una supervisión mejorada | NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| MQ.5 | Los corredores de ActiveMQ deben usar el modo de implementación activo/en espera | NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| MQ.6 | Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres | NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| Neptune.1 | Los clústeres de bases de datos de Neptune deberían estar cifrados en reposo | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Neptune.2 | Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Neptune.3 | Las instantáneas del clúster de base de datos de Neptune no deben ser públicas | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, estándar de administración de servicios: AWS Control Tower | CRÍTICO | |
El cambio se ha activado |
| Neptune.4 | Los clústers de Neptune DB deben tener habilitada la protección contra eliminación. | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, estándar de administración de servicios: AWS Control Tower | BAJA | |
El cambio se ha activado |
| Neptune.5 | Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automatizadas | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, estándar de administración de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Neptune.6 | Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, estándar de administración de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Neptune.7 | Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, estándar de administración de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Neptune.8 | Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, estándar de administración de servicios: AWS Control Tower | BAJA | |
El cambio se ha activado |
| Neptune.9 | Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall1. | Los firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall2. | El registro de Network Firewall debe estar habilitado | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| NetworkFirewall3. | Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall4. | La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos. | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall5. | La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados. | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall6. | El grupo de reglas de firewall de redes sin estado no debe estar vacío | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall9. | Los firewalls de Network Firewall deben tener habilitada la protección de eliminación | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.1 | OpenSearch los dominios deben tener activado el cifrado en reposo | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.2 | OpenSearch los dominios no deben ser de acceso público | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | |
El cambio se ha activado |
| Opensearch.3 | OpenSearch los dominios deben cifrar los datos enviados entre nodos | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.4 | OpenSearch El registro de errores de dominio en Logs debe estar habilitado CloudWatch | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.5 | OpenSearch los dominios deben tener habilitado el registro de auditoría | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.6 | OpenSearch los dominios deben tener al menos tres nodos de datos | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.7 | OpenSearch los dominios deben tener habilitado un control de acceso detallado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| Opensearch.8 | Las conexiones a los OpenSearch dominios deben cifrarse mediante la última política de seguridad de TLS | AWS Mejores prácticas fundamentales de seguridad, estándar de gestión de servicios: NIST SP 800-53 AWS Control Tower Rev. 5 | MEDIO | El cambio se ha activado | |
| Opensearch.10 | OpenSearch los dominios deben tener instalada la última actualización de software | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| PCA.1 | AWS Private CA la autoridad de certificación raíz debe estar deshabilitada | AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
Periódico |
| RDS.1 | Las instantáneas de RDS deben ser privadas | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. 5 AWS Control Tower | CRÍTICO | |
El cambio se ha activado |
| RDS.2 | Las instancias de base de datos de RDS deben prohibir el acceso público, según lo determine la configuración PubliclyAccessible | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | |
El cambio se ha activado |
| RDS.3 | Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo | AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: CIS Foundations Benchmark v1.4.0, NIST SP 800-53 rev. 5 AWS Control Tower AWS | MEDIO | |
El cambio se ha activado |
| RDS.4 | Las instantáneas del clúster de RDS y las instantáneas de las bases de datos deben cifrarse en reposo | AWS Mejores prácticas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| RDS.5 | Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| RDS.6 | Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| RDS.7 | Los clústeres RDS deben tener habilitada la protección contra la eliminación | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.8 | Indica si las instancias de base de datos de RDS debe tener la protección contra eliminación habilitada. | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| RDS.9 | Las instancias de base de datos de RDS deben publicar registros en Logs CloudWatch | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.10 | La autenticación de IAM debe configurarse para las instancias de RDS | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| RDS.11 | Las instancias RDS deben tener habilitadas las copias de seguridad automáticas | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| RDS.12 | La autenticación de IAM debe configurarse para los clústeres de RDS | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.13 | Deben habilitarse las actualizaciones automáticas entre versiones secundarias de RDS | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| RDS.14 | Los clústeres de Amazon Aurora deben tener habilitada la característica de búsqueda de datos anteriores | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.15 | Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.16 | Los clústeres de bases de datos de RDS deben configurarse para copiar etiquetas en las instantáneas | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.17 | Las instancias de base de datos de RDS deben configurarse para copiar etiquetas en las instantáneas | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| RDS.18 | Las instancias de RDS deben implementarse en una VPC | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| RDS.19 | Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos del clúster | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| RDS.20 | Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos de las instancias de bases de datos | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| RDS.21 | Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de parámetros de bases de datos | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| RDS.22 | Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de seguridad de bases de datos | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| RDS.23 | Las instancias RDS no deben usar el puerto predeterminado de un motor de base de datos | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| RDS.24 | Los clústeres de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.25 | Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| RDS.26 | Las instancias de base de datos de RDS tienen que ser protegidas por planes de copia de seguridad | NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| RDS.27 | Los clústeres de bases de datos de RDS deben cifrarse en reposo | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, NIST SP 800-53 rev. 5, estándar de administración de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| RDS.34 | Los clústeres de bases de datos Aurora MySQL deberían publicar los registros de auditoría en CloudWatch Logs | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.35 | Los clústeres de bases de datos de RDS deberían tener habilitada la actualización automática de las versiones secundarias | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.1 | Los clústeres de Amazon Redshift deberían prohibir el acceso público | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. 5 AWS Control Tower | CRÍTICO | |
El cambio se ha activado |
| Redshift.2 | Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Redshift.3 | Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.4 | Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Redshift.6 | Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Redshift.7 | Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Redshift.8 | Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Redshift.9 | Los clústeres de Redshift no deben usar el nombre de base de datos predeterminado | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Redshift.10 | Los clústeres de Redshift deben estar cifrados en reposo | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Route53.2 | Las zonas alojadas públicas de Route 53 deben registrar las consultas de DNS | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| S3.1 | Los depósitos de uso general de S3 deben tener habilitada la configuración de bloqueo de acceso público | AWS Mejores prácticas de seguridad fundamentales, estándar de gestión de servicios: PCI DSS v3.2.1 AWS Control Tower, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| S3.2 | Los depósitos de uso general de S3 deberían bloquear el acceso público de lectura | AWS Mejores prácticas fundamentales de seguridad, estándar de gestión de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | El cambio se desencadena y es periódico | |
| S3.3 | Los depósitos de uso general de S3 deberían bloquear el acceso de escritura público | AWS Mejores prácticas fundamentales de seguridad, estándar de gestión de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | El cambio se desencadena y es periódico | |
| S3.5 | Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL | AWS Mejores prácticas de seguridad fundamentales, estándar de gestión de servicios: PCI DSS v3.2.1 AWS Control Tower, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| S3.6 | Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS | AWS Mejores prácticas fundamentales de seguridad, estándar de gestión de servicios: NIST SP 800-53 AWS Control Tower Rev. 5 | HIGH (ALTO) | El cambio se ha activado | |
| S3.7 | Los cubos de uso general de S3 deben utilizar la replicación entre regiones | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | BAJA | El cambio se ha activado | |
| S3.8 | Los depósitos de uso general de S3 deberían bloquear el acceso público | AWS Mejores prácticas fundamentales de seguridad, estándar de gestión de servicios: CIS AWS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | El cambio se ha activado | |
| S3.9 | Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor | AWS Mejores prácticas fundamentales de seguridad, estándar de gestión de servicios: NIST SP 800-53 AWS Control Tower Rev. 5 | MEDIO | El cambio se ha activado | |
| S3.10 | Los depósitos de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida | AWS Mejores prácticas de seguridad fundamentales, estándar de gestión de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | El cambio se ha activado | |
| S3.11 | Los depósitos de uso general de S3 deben tener habilitadas las notificaciones de eventos | AWS Mejores prácticas fundamentales de seguridad, estándar de gestión de servicios: NIST SP 800-53 AWS Control Tower Rev. 5 | MEDIO | El cambio se ha activado | |
| S3.12 | Las ACL no deben usarse para administrar el acceso de los usuarios a los depósitos de uso general de S3 | AWS Mejores prácticas de seguridad fundamentales, estándar de gestión de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | El cambio se ha activado | |
| S3.13 | Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida | AWS Mejores prácticas de seguridad fundamentales, estándar de gestión de servicios: NIST SP 800-53 AWS Control Tower Rev. 5 | BAJA | El cambio se ha activado | |
| S3.14 | Los buckets de uso general de S3 deben tener habilitado el control de versiones | NIST SP 800-53 Rev. 5 | BAJA | El cambio se ha activado | |
| S3.15 | Los cubos de uso general de S3 deben tener activado Object Lock | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| S3.17 | Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys | Estándar de gestión de servicios: NIST SP AWS Control Tower 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| S3.19 | Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público | AWS Mejores prácticas fundamentales de seguridad, NIST SP 800-53 Rev. 5 | CRÍTICO | El cambio se ha activado | |
| S3.20 | Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA | Índice de referencia CIS AWS Foundations v1.4.0, NIST SP 800-53 rev. 5 | BAJA | El cambio se ha activado | |
| SageMaker1. | Las instancias de Amazon SageMaker Notebook no deben tener acceso directo a Internet | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
Periódico |
| SageMaker2. | SageMaker las instancias de notebook deben lanzarse en una VPC personalizada | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | HIGH (ALTO) | |
El cambio se ha activado |
| SageMaker3. | Los usuarios no deberían tener acceso root a las instancias de los SageMaker portátiles | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | HIGH (ALTO) | |
El cambio se ha activado |
| SecretsManager1. | Los secretos de Secrets Manager deberían tener habilitada la rotación automática | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | |
El cambio se ha activado |
| SecretsManager2. | Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | |
El cambio se ha activado |
| SecretsManager3. | Eliminación de secretos no utilizados de Secrets Manager | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. AWS Control Tower 5 | MEDIO | |
Periódico |
| SecretsManager4. | Los secretos de Secrets Manager deben rotarse en un número específico de días | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| SNS.1 | Los temas de SNS deben cifrarse en reposo mediante AWS KMS | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| SNS.2 | El registro del estado de entrega debe estar habilitado para los mensajes de notificación enviados a un tema | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| SQS.1 | Las colas de Amazon SQS deben cifrarse en reposo | AWS Prácticas recomendadas de seguridad fundamentales v1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | MEDIO | |
El cambio se ha activado |
| SSM.1 | Las instancias EC2 deben administrarse mediante AWS Systems Manager | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| SSM.2 | Las instancias EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche | AWS Mejores prácticas fundamentales de seguridad v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. 5 AWS Control Tower | HIGH (ALTO) | |
El cambio se ha activado |
| SSM.3 | Las instancias EC2 administradas por el Administrador de sistemas deben tener un estado de conformidad de asociación de COMPLIANT | AWS Mejores prácticas fundamentales de seguridad v1.0.0, estándar de administración de servicios: PCI DSS v3.2.1, NIST SP 800-53 rev. 5 AWS Control Tower | BAJA | |
El cambio se ha activado |
| SSM.4 | Los documentos del SSM no deben ser públicos | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 Rev. 5 AWS Control Tower | CRÍTICO | |
Periódico |
| StepFunctions1. | Step Functions indica que las máquinas deberían tener el registro activado | AWS Mejores prácticas de seguridad fundamentales | MEDIO | |
El cambio se ha activado |
| WAF.1 | AWS WAF El registro de ACL web global clásico debe estar habilitado | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| WAF.2 | AWS WAF Las reglas regionales clásicas deben tener al menos una condición | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 | MEDIO | |
El cambio se ha activado |
| WAF.3 | AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: NIST SP 800-53 rev. AWS Control Tower 5 | MEDIO | |
El cambio se ha activado |
| WAF.4 | AWS WAF Las ACL web regionales clásicas deben tener al menos una regla o grupo de reglas | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.6 | AWS WAF Las reglas globales clásicas deben tener al menos una condición | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.7 | AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla | AWS Prácticas recomendadas fundamentales de seguridad, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.8 | AWS WAF Las ACL web globales clásicas deben tener al menos una regla o grupo de reglas | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.10 | AWS WAF Las ACL web deben tener al menos una regla o grupo de reglas | AWS Prácticas recomendadas de seguridad fundamentales, versión 1.0.0, estándar de administración de servicios: AWS Control Tower NIST SP 800-53 rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.11 | AWS WAF El registro de ACL web debe estar habilitado | NIST SP 800-53 Rev. 5 | BAJA | |
Periódico |
| WAF.12 | AWS WAF las reglas deben tener CloudWatch las métricas habilitadas | AWS Mejores prácticas fundamentales de seguridad v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
Temas
- Cuenta de AWS controles
- AWS Certificate Manager controles
- Controles de Amazon API Gateway
- AWS AppSync controles
- Controles de Amazon Athena
- AWS Backup controles
- AWS CloudFormation controles
- CloudFront Controles de Amazon
- AWS CloudTrail controles
- CloudWatch Controles de Amazon
- AWS CodeBuild controles
- AWS Config controles
- AWS Database Migration Service controles
- Controles de Amazon DocumentDB
- Controles de Amazon DynamoDB
- Amazon Elastic Container registry
- Controles de Amazon ECS
- Controles de Amazon Elastic Compute Cloud
- Controles de Amazon EC2 Auto Scaling
- Controles de Amazon EC2 Systems Manager
- Controles de Amazon Elastic File System
- Controles de Amazon Elastic Kubernetes Service
- ElastiCache Controles de Amazon
- AWS Elastic Beanstalk controles
- Controles del equilibrador de carga elástico
- Controles de Amazon EMR
- Controles de Elasticsearch
- EventBridge Controles de Amazon
- Controles de Amazon FSx
- GuardDuty Controles de Amazon
- AWS Identity and Access Management controles
- Amazon Kinesis Kinesis Kinesis Controles
- AWS Key Management Service controles
- AWS Lambda controles
- Controles de Amazon Macie
- Controles de Amazon MSK
- Controles de Amazon MQ
- Controles de Amazon Neptune
- AWS Network Firewall controles
- Controles OpenSearch de Amazon Service
- AWS Private Certificate Authority controles
- Controles de Amazon Relational Database Service
- Controles de Amazon Redshift
- Controles de Amazon Route 53
- Controles de Amazon Simple Storage Service
- SageMaker Controles de Amazon
- AWS Secrets Manager controles
- Controles de Amazon Simple Notification Service
- Controles de Amazon Simple Queue Service
- AWS Step Functions controles
- AWS WAF controles
