AWS Referência CIS v1.2.0

AWS Audit Manager fornece duas estruturas pré-criadas que suportam o Benchmark v1.2.0 do Center for Internet Security (CIS) Amazon Web Services (AWS).

nota

• Para obter informações sobre as frameworks do Audit Manager que oferecem suporte à v1.3.0, consulte AWS Referência CIS v1.3.0.

• Para obter informações sobre as frameworks do Audit Manager que oferecem suporte à v1.4.0, consulte AWS Referência CIS v1.4.0.

O que é CIS?

O CIS é uma organização sem fins lucrativos que desenvolveu o CIS AWS Foundations Benchmark. Esse benchmark serve como um conjunto de melhores práticas de configuração de segurança para AWS. Essas melhores práticas aceitas pelo setor vão além das diretrizes de segurança de alto nível já disponíveis, pois fornecem procedimentos claros de step-by-step implementação e avaliação.

Para obter mais informações, consulte as postagens do blog do CIS AWS Foundations Benchmark no Blog AWS de Segurança.

Diferença entre o CIS Benchmarks e o CIS Controls

Os CIS Benchmarks são diretrizes de práticas recomendadas de segurança específicas para produtos de fornecedores. Por variarem de sistemas operacionais a serviços em nuvem e dispositivos de rede, as configurações aplicadas a partir de um benchmark protegem os sistemas específicos que sua organização usa. Os CIS Controls são diretrizes básicas de práticas recomendadas que os sistemas em nível organizacional devem seguir para ajudar a se proteger contra vetores conhecidos de ataques cibernéticos.

Exemplos

• Os CIS Benchmarks são prescritivos. Eles normalmente fazem referência a uma configuração específica, que pode ser analisada e definida no produto do fornecedor.

  Exemplo: CIS AWS Benchmark v1.2.0 - Certifique-se de que o MFA esteja habilitado para a conta de “usuário root”.

  Essa recomendação fornece orientação prescritiva sobre como verificar isso e como configurá-lo na conta raiz do ambiente. AWS

• Os CIS Controls são para a organização como um todo. Eles não são específicos apenas a um produto de um fornecedor.

  Exemplo: CIS v7.1 - Use a autenticação multifator para todo o acesso administrativo

  Esse controle descreve o que se espera que seja aplicado em sua organização. Ele não descreve como você deve aplicá-la aos sistemas e workloads que você está executando (independentemente de onde eles estejam).

Como usar esse framework

Você pode usar as estruturas do CIS AWS Benchmark v1.2 AWS Audit Manager para ajudá-lo a se preparar para as auditorias do CIS. Você também pode personalizar esses frameworks e seus controles para apoiar auditorias internas com requisitos específicos.

Usando as frameworks como ponto de partida, você pode criar uma avaliação do Audit Manager e começar a coletar evidências relevantes para sua auditoria. Depois de criar uma avaliação, o Audit Manager começa a avaliar seus AWS recursos. Ele faz isso com base nos controles definidos no framework CIS. Na hora de fazer uma auditoria, você ou um representante de sua escolha pode analisar as evidências que o Audit Manager coletou. Como alternativa, você pode navegar pelas pastas de evidências na sua avaliação e escolher quais evidências deseja incluir no relatório de avaliação. Ou, se você ativou o localizador de evidências, pode pesquisar evidências específicas e exportá-las no formato CSV ou criar um relatório de avaliação baseado nos resultados da pesquisa. De qualquer uma das formas, você pode usar esse relatório de avaliação para mostrar que seus controles estão funcionando conforme o esperado.

Os detalhes do framework são:

Nome da estrutura em AWS Audit Manager	Número de controles automatizados	Número de controles manuais	Número de conjuntos de controle
Centro de segurança na Internet (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, nível 1	35	1	4
Centro de segurança na Internet (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, níveis 1 e 2	48	1	4

dica

Para revisar uma lista das AWS Config regras usadas como mapeamentos de fontes de dados para essas estruturas padrão, baixe os seguintes arquivos:

1. AuditManager_ ConfigDataSourceMappings _CIS-AWS-Benchmark-v1.2.0, -Level-1.zip

2. AuditManager_ ConfigDataSourceMappings _CIS-AWS-Benchmark-v1.2.0, -Level-1-and-2.zip

Os controles nessas estruturas não têm como objetivo verificar se seus sistemas estão em conformidade com as melhores práticas do CIS AWS Benchmark. Além disso, eles não podem garantir que você passará por uma auditoria do CIS. AWS Audit Manager não verifica automaticamente os controles processuais que exigem a coleta manual de evidências.

Você pode encontrar essas estruturas na guia Estruturas padrão da biblioteca de estruturas no Audit Manager.

Pré-requisitos para usar esses frameworks

Muitos controles nas estruturas do CIS AWS Benchmark v1.2 são usados AWS Config como um tipo de fonte de dados. Para suportar esses controles, você deve habilitar AWS Config em todas as contas em cada uma em Região da AWS que você habilitou o Audit Manager. Você também deve se certificar de que AWS Config regras específicas estejam habilitadas e que essas regras estejam configuradas corretamente.

AWS Config As regras e parâmetros a seguir são necessários para coletar as evidências corretas e capturar um status de conformidade preciso para o CIS AWS Foundations Benchmark v1.2. Para obter instruções sobre como habilitar ou configurar uma regra, consulte Trabalhando com Regras Gerenciadas AWS Config.

AWS Config Regra obrigatória	Parâmetros necessários
ACCESS_KEYS_ROTATED	maxAccessKeyAge O número máximo de dias sem rotação. Tipo: Int Padrão: 90 dias Requisito de conformidade: máximo de 90 dias
CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED	Não aplicável
CLOUD_TRAIL_ENCRYPTION_ENABLED	Não aplicável
CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED	Não aplicável
CMK_BACKING_KEY_ROTATION_ENABLED	Não aplicável
IAM_PASSWORD_POLICY	MaxPasswordAge (opcional) Número de dias antes da expiração da senha. Tipo: int Padrão: 90 Requisito de conformidade: máximo de 90 dias
IAM_PASSWORD_POLICY	MinimumPasswordLength (opcional) O tamanho mínimo da senha. Tipo: int Padrão: 14 Requisito de conformidade: mínimo de 14 caracteres
IAM_PASSWORD_POLICY	PasswordReusePrevention (opcional) Número de senhas antes de permitir a reutilização. Tipo: int Padrão: 24 Requisito de conformidade: mínimo de 24 senhas antes da reutilização
IAM_PASSWORD_POLICY	RequireLowercaseCharacters (opcional) Exige pelo menos um caractere minúsculo na senha. Tipo: booleano Padrão: verdadeiro Requisito de conformidade: pelo menos um caractere minúsculo
IAM_PASSWORD_POLICY	RequireNumbers (opcional) Exige pelo menos um número na senha. Tipo: booleano Padrão: verdadeiro Requisito de conformidade: senha de pelo menos um caractere número
IAM_PASSWORD_POLICY	RequireSymbols (Opcional) Exige pelo menos um símbolo na senha. Tipo: booleano Padrão: verdadeiro Requisito de conformidade: pelo menos um símbolo
IAM_PASSWORD_POLICY	RequireUppercaseCharacters (opcional) Exige pelo menos um caractere maiúsculo na senha. Tipo: booleano Padrão: verdadeiro Requisito de conformidade: pelo menos um caractere maiúsculo
IAM_POLICY_IN_USE	policyARN Um ARN da política do IAM a ser verificado. Tipo: string Requisito de conformidade: cria uma função do IAM para gerenciar incidentes com AWS. policyUsageType (Opcional) Especifica se você espera que a política seja anexada a um usuário, grupo ou função. Tipo: string Valores válidos: IAM_USER | IAM_GROUP | IAM_ROLE | ANY Valor padrão: ANY Requisito de conformidade: anexe a política de confiança ao perfil do IAM criado
IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS	Não aplicável
IAM_ROOT_ACCESS_KEY_CHECK	Não aplicável
IAM_USER_NO_POLICIES_CHECK	Não aplicável
IAM_USER_UNUSED_CREDENTIALS_CHECK	maxCredentialUsageAge O número máximo de dias que uma credencial não pode ser usada. Tipo: Int Padrão: 90 dias Requisito de conformidade: 90 dias ou mais
INCOMING_SSH_DISABLED	Não aplicável
MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS	Não aplicável
MULTI_REGION_CLOUD_TRAIL_ENABLED	Não aplicável
RESTRICTED_INCOMING_TRAFFIC	blockedPort1 (Opcional) Número de porta TCP bloqueado. Tipo: int Padrão: 20 Requisito de conformidade: garantir que nenhum grupo de segurança permita a entrada em portas bloqueadas blockedPort2 (opcional) Número de porta TCP bloqueado. Tipo: int Padrão: 21 Requisito de conformidade: garantir que nenhum grupo de segurança permita a entrada em portas bloqueadas blockedPort3 (opcional) Número de porta TCP bloqueado. Tipo: int Padrão: 3389 Requisito de conformidade: garantir que nenhum grupo de segurança permita a entrada em portas bloqueadas blockedPort4 (opcional) Número de porta TCP bloqueado. Tipo: int Padrão: 3306 Requisito de conformidade: garantir que nenhum grupo de segurança permita a entrada em portas bloqueadas blockedPort5 (opcional) Número de porta TCP bloqueado. Tipo: int Padrão: 4333 Requisito de conformidade: garantir que nenhum grupo de segurança permita a entrada em portas bloqueadas
ROOT_ACCOUNT_HARDWARE_MFA_ENABLED	Não aplicável
ROOT_ACCOUNT_MFA_ENABLED	Não aplicável
S3_BUCKET_LOGGING_ENABLED	targetBucket (Opcional) Bucket do S3 de destino para armazenar os logs de acesso ao servidor. Tipo: string Requisito de conformidade: habilitar a efetuação de login targetPrefix (Opcional) O prefixo do bucket do S3 de destino para armazenar os logs de acesso ao servidor. Tipo: string Requisito de conformidade: identificar o bucket S3 para registro CloudTrail
S3_BUCKET_PUBLIC_READ_PROHIBITED	Não aplicável
VPC_DEFAULT_SECURITY_GROUP_CLOSED	Não aplicável
VPC_FLOW_LOGS_ENABLED	trafficType (Opcional) O trafficType dos logs de fluxo. Tipo: string Requisito de conformidade: o registro de fluxo está habilitado

Próximas etapas

Para obter instruções sobre como criar uma avaliação usando esses frameworks, consulte Criando uma avaliação em AWS Audit Manager.

Para obter instruções sobre como personalizar essas estruturas para atender às suas necessidades específicas, consulteFazendo uma cópia editável de uma estrutura existente no AWS Audit Manager.

Recursos adicionais

• O benchmark do CIS AWS Foundations v1.2.0

• Publicações do blog sobre CIS AWS Foundations Benchmark no Blog de Segurança AWS