As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para CISAWSFoundations Benchmark v1.4 Nível 1
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operacionais ou de otimização de custos usando controles gerenciados ou personalizadosAWS Configregras eAWS Configações de remediação. Os pacotes de conformidade, como modelos de exemplo, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por fazer sua própria avaliação sobre se o uso dos Serviços atende aos requisitos legais e regulamentares aplicáveis.
O seguinte fornece um exemplo de mapeamento entre o Center for Internet Security (CIS) Amazon Web Services Foundation v1.4 Nível 1 eAWSregras de configuração gerenciadas/AWS ConfigVerificações de processo. Cada regra de configuração se aplica a um específicoAWSrecurso e está relacionado a um ou mais controles CIS Amazon Web Services Foundation v1.4 Nível 1. Um controle CIS Amazon Web Services Foundation v1.4 Nível 1 pode estar relacionado a várias regras de configuração. Consulte a tabela abaixo para obter mais detalhes e orientações relacionadas a esses mapeamentos.
Para obter mais informações sobre verificações de processo, consulteverificações de processo.
| ID de controle | Descrição do controle | AWSRegra de configuração | Orientação |
|---|---|---|---|
| 1.1 | Mantenha os detalhes de contato atuais | account-contact-details-configured(verificação do processo) | Garanta o e-mail de contato e o número de telefone paraAWSas contas são atuais e mapeadas para mais de um indivíduo em sua organização. Na seção Minha conta do console, certifique-se de que as informações corretas estejam especificadas na seção Informações de contato. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.2 | Garanta que as informações de contato de segurança sejam registradas | account-security-contact-configured(Verificação do processo) | Certifique-se de que o e-mail de contato e o número de telefone da equipe de segurança da sua organização estejam atualizados. Na seção Minha conta doAWSO Management Console assegure-se de que as informações corretas sejam especificadas na seção Segurança. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.3 | Certifique-se de que as perguntas de segurança sejam registradas noAWSconta | account-security-questions-configured(Verificação do processo) | Garanta as perguntas de segurança que podem ser usadas para autenticar pessoas que estão ligandoAWSo atendimento ao cliente para suporte está configurado. Na seção Minha conta doAWSO Management Console garante que três questões de desafio de segurança sejam configuradas. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.4 | Certifique-se de que não exista uma chave de acesso do usuário 'root' | O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade. | |
| 1.5 | Certifique-se de que o MFA esteja habilitado para o usuário “raiz” | Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção para um nome de usuário e senha. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas. | |
| 1,7 | Elimine o uso do usuário 'root' para tarefas administrativas e diárias | root-account-regular-use(Verificação do processo) | Garanta que o uso da conta raiz seja evitado nas tarefas diárias. No IAM, execute um relatório de credenciais para examinar quando o usuário raiz foi usado pela última vez. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.8 | Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| 1.9 | Garanta que a política de senha do IAM evite a reutilização de senhas | As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização. | |
| 1.10 | Certifique-se de que a autenticação multifator (MFA) esteja habilitada para todos os usuários que têm uma senha de console | Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados. | |
| 1.11 | Não configure teclas de acesso durante a configuração inicial do usuário para todos os usuários que têm uma senha de console | iam-user-console-and-api-access-at-creation(Verificação do processo) | Certifique-se de que as chaves de acesso não estejam configuradas durante a configuração inicial do usuário para todos os usuários que têm uma senha de console. Para todos os usuários com acesso ao console, compare a 'Hora de criação` do usuário com a data `de criação` da chave de acesso. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.12 | Certifique-se de que as credenciais não usadas por 45 dias ou mais sejam desativadas | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (valor padrão do CIS: 45). O valor real deve refletir as políticas da sua organização. | |
| 1.13 | Certifique-se de que haja apenas uma chave de acesso ativa disponível para qualquer usuário | iam-user-single-access-key (Verificação do processo) | Certifique-se de que haja somente uma chave de acesso ativa disponível para um único usuário. Para todos os usuários, verifique se há somente uma chave ativa usada na guia Credenciais de segurança para cada usuário no IAM. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1.14 | Garanta que as chaves de acesso sejam alternadas a cada 90 dias ou menos | As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso está ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra exige um valor de rotação da chave de acesso (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização. | |
| 1.15 | Garanta que os usuários recebam permissões somente por meio de grupos | Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos. | |
| 1.15 | Garanta que os usuários recebam permissões somente por meio de grupos | Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões. | |
| 1.15 | Garanta que os usuários recebam permissões somente por meio de grupos | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 1.16 | Certifique-se de que as políticas do IAM que permitem privilégios administrativos completos “*: *” não estejam anexadas | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções. | |
| 1.17 | Garanta que uma função de suporte tenha sido criada para gerenciar incidentes comAWSSuporte | AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a gerenciar permissões e autorizações de acesso, garantindo que as políticas do IAM sejam atribuídas aos usuários, funções ou grupos apropriados. Restringir essas políticas também incorpora os princípios de menor privilégio e separação de deveres. Essa regra exige que você defina o PolicYarn como arn:aws:iam: :aws:policy/AWSSupportAccess, para gerenciamento de incidentes comAWSSuporte. | |
| 1.19 | Certifique-se de que todos os certificados SSL/TLS expirados estejam armazenados noAWSO IAM é removido | iam-expired-certificates(Verificação do processo) | Certifique-se de que todos os certificados SSL/TLS expirados armazenados no IAM sejam removidos. Da linha de comando com o instaladoAWSCLI executa o 'AWSvisamlist-server-certificatescomando 'e determine se há algum certificado de servidor expirado. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 1,20 | Garanta queAWSO IAM Access Analyzer está ativado | iam-access-analyzer-enabled(Verificação do processo) | Certifique-se de que o IAM Access Analyzer esteja ativado. Na seção IAM do console, selecione Access Analyzer e certifique-se de que o STATUS esteja definido como Ativo. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 2.1.3 | Certifique-se de que o MFA Delete esteja ativado nos buckets do S3 | O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Adicionar a exclusão de autenticação multifator (MFA) a um bucket do S3 requer um fator adicional de autenticação para alterar o estado da versão do seu bucket ou excluir uma versão do objeto. A exclusão do MFA pode adicionar uma camada adicional de segurança caso as credenciais de segurança sejam comprometidas ou o acesso não autorizado seja concedido. | |
| 2.1.5 | Certifique-se de que os buckets do S3 estejam configurados com “Bloquear acesso público (configurações do bucket)” | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização. | |
| 2.1.5 | Certifique-se de que os buckets do S3 estejam configurados com “Bloquear acesso público (configurações do bucket)” | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 2.2.1 | Certifique-se de que a criptografia de volume do EBS esteja ativada | Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 2.2.1 | Certifique-se de que a criptografia de volume do EBS esteja ativada | Para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 2.3.1 | Certifique-se de que a criptografia esteja habilitada para instâncias do RDS | Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 2.3.1 | Certifique-se de que a criptografia esteja habilitada para instâncias do RDS | Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados. | |
| 3.1 | GarantaCloudTrailestá habilitado em todas as regiões | AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação. | |
| 3.3 | Certifique-se de que o bucket S3 seja usado para armazenarCloudTrailos registros não estão acessíveis ao público | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 3.3 | Certifique-se de que o bucket S3 seja usado para armazenarCloudTrailos registros não estão acessíveis ao público | Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 3.3 | Certifique-se de que o bucket S3 seja usado para armazenarCloudTrailos registros não estão acessíveis ao público | Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket. | |
| 3.4 | GarantaCloudTrailas trilhas são integradas comCloudWatchRegistros | Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta. | |
| 3.6 | Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado noCloudTrailBalde S3 | O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante. | |
| 4.1 | Certifique-se de que existam um filtro métrico de registro e um alarme para chamadas de API não autorizadas | alarm-unauthorized-api-calls(Verificação do processo) | Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.2 | Certifique-se de que existam um filtro métrico de registro e um alarme para o login no Management Console sem MFA | alarm-sign-in-without-mfa (Verificação do processo) | Certifique-se de que exista um filtro métrico de registro e um alarme paraAWSLogin no Management Console sem autenticação multifator (MFA). Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.3 | Certifique-se de que exista um filtro métrico de registro e um alarme para o uso da conta “raiz” | alarm-root-account-use(Verificação do processo) | Certifique-se de que exista um filtro de métrica de registro e um alarme para o uso da conta raiz. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.4 | Certifique-se de que existam um filtro de métricas de registro e um alarme para mudanças na política do IAM | alarm-iam-policy-change(Verificação do processo) | Certifique-se de que exista um filtro de métrica de registro e um alarme para mudanças na política do IAM. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.5 | Certifique-se de que existam um filtro métrico de registro e um alarme paraCloudTrailmudanças de configuração | alarm-cloudtrail-config-change(Verificação do processo) | Certifique-se de que exista um filtro métrico de registro e um alarme paraAWS CloudTrailmudanças de configuração. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.8 | Certifique-se de que existam um filtro de métricas de registro e um alarme para mudanças na política de bucket do S3 | alarmes-s3-bucket-policy-change(Verificação do processo) | Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política de bucket do Amazon S3. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.12 | Certifique-se de que existam um filtro métrico de registro e um alarme para alterações nos gateways de rede | alarm-vpc-network-gateway-change (Verificação do processo) | Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nos gateways de rede. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.13 | Certifique-se de que existam um filtro métrico de registro e um alarme para alterações na tabela de rotas | alarm-vpc-route-table-change (Verificação do processo) | Certifique-se de que exista um filtro métrico de registro e um alarme para alterações na tabela de rotas. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.14 | Certifique-se de que existam um filtro métrico de registro e um alarme para alterações na VPC | alarm-vpc-change(Verificação do processo) | Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na Amazon Virtual Private Cloud (VPC). Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 4.15 | Certifique-se de que exista um filtro métrico de registro e um alarme paraAWSMudanças nas organizações | alarm-organizations-change(Verificação do processo) | Certifique-se de que exista um filtro métrico de registro e um alarme paraAWSMudanças nas organizações. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ |
| 5.1 | Certifique-se de que nenhuma ACLs de rede permita a entrada de 0.0.0.0/0 nas portas de administração remota do servidor | Certifique-se de que nenhuma ACLs de rede permita a entrada pública nas portas de administração do servidor remoto. Na seção VPC do console, verifique se há ACLs de rede com uma origem de '0.0.0.0/0' com portas ou intervalos de portas permitidos, incluindo portas de administração de servidor remoto. Para obter mais detalhes sobre a auditoria desse controle, consulte o documento CIS Amazon Web Services Foundations Benchmark versão 1.4.0, disponível em https://www.cisecurity.org/benchmark/amazon_web_services/ | |
| 5.2 | Certifique-se de que nenhum grupo de segurança permita a entrada de 0.0.0.0/0 nas portas de administração remota do servidor | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto. | |
| 5.2 | Certifique-se de que nenhum grupo de segurança permita a entrada de 0.0.0.0/0 nas portas de administração remota do servidor | Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (valor padrão CIS: 3389). Os valores reais devem refletir as políticas da sua organização. |
Modelo
O modelo está disponível emGitHub:Melhores práticas operacionais para CISAWSFoundations Benchmark v1.4 Nível 1
