Melhores práticas operacionais para CMMC nível 2 - AWS Config
Modelo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas operacionais para CMMC nível 2

Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operacionais ou de otimização de custos usando controles gerenciados ou personalizadosAWS Configregras eAWS Configações de remediação. Os pacotes de conformidade, como modelos de exemplo, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por fazer sua própria avaliação sobre se o uso dos Serviços atende aos requisitos legais e regulamentares aplicáveis.

O seguinte fornece um exemplo de mapeamento entre o nível 2 da Certificação do Modelo de Maturidade Cibernética (CMMC) eAWSregras de configuração gerenciadas. Cada regra de configuração se aplica a um específicoAWSrecurso e está relacionado a um ou mais controles CMMC de nível 2. Um controle CMMC de nível 2 pode estar relacionado a várias regras de configuração. Consulte a tabela abaixo para obter mais detalhes e orientações relacionadas a esses mapeamentos.

ID de controle Descrição do controle AWSRegra de configuração Orientação
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

access-keys-rotated

 As credenciais são auditadas para dispositivos, usuários e processos autorizados, garantindo que as chaves de acesso do IAM sejam alternadas de acordo com a política organizacional. Alterar as chaves de acesso regularmente é uma prática recomendada de segurança. Isso reduz o período em que uma chave de acesso está ativa e reduz o impacto nos negócios se as chaves forem comprometidas. Essa regra exige um valor de rotação da chave de acesso (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

dms-replication-not-public

 Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

ebs-snapshot-public-restorable-verifique

 Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

ec2-imdsv2-check

 Certifique-se de que o método Instance Metadata Service Versão 2 (IMDSv2) esteja ativado para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir as alterações nos metadados da instância.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

ec2-instance-no-public-ip

 Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

ec2-instance-profile-attached

 Os perfis de instância do EC2 transmitem uma função do IAM para uma instância do EC2. Anexar um perfil de instância às suas instâncias pode ajudar no menor gerenciamento de privilégios e permissões.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

elasticsearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

emr-kerberos-enabled

 As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

emr-master-no-public-ip

 Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-customer-policy-blocked-kms - ações

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-group-has-users-verifique

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-inline-policy-blocked-kms - ações

 Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-no-inline-policy-verifique

 Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-password-policy

 As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-policy-no-statements-with-admin-access

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-policy-no-statements-with-full-access

 Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-root-access-key-verifique

 O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-user-group-membership-verifique

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-user-mfa-enabled

 Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-user-no-policies-verifique

 Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

iam-user-unused-credentials-verifique

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período de tempo especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desativar e/ou remover as credenciais, pois isso pode violar o princípio do menor privilégio. Essa regra exige que você defina um valor para omaxCredentialUsageIdade (padrão de configuração: 90). O valor real deve refletir as políticas da sua organização.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

ssh restrito

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

ec2-instances-in-vpc

 Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

internet-gateway-authorized-vpc-somente

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

lambda-function-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

lambda-inside-vpc

 ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

mfa-enabled-for-iam-acesso ao console

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

rds-instance-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

rds-snapshots-public-prohibited

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

redshift-cluster-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

restricted-common-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

root-account-hardware-mfa-ativado

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

root-account-mfa-enabled

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

s3-account-level-public-access-blocos periódicos

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

s3-bucket-level-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

s3-bucket-policy-grantee-check

 Gerencie o acesso aoAWSNuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dosAWSdiretores, usuários federados, diretores de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

s3-bucket-public-read-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

s3-bucket-public-write-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

sagemaker-notebook-no-direct-acesso à internet

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

secretsmanager-rotation-enabled-check

 Esta regra garanteAWSOs segredos do Secrets Manager têm a rotação ativada. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se o segredo for comprometido.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

secretsmanager-scheduled-rotation-success-verifique

 Essa regra garante queAWSOs segredos do Secrets Manager foram alternados com sucesso de acordo com o cronograma de rotação. A rotação de segredos em um cronograma regular pode reduzir o período em que um segredo está ativo e, potencialmente, reduzir o impacto nos negócios se ele for comprometido.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

ssm-document-not-public

 GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

vpc-default-security-group-fechado

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

vpc-sg-open-only-to-authorized-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
AC.1.001 Limite o acesso ao sistema de informações a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação).

opensearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

dms-replication-not-public

 Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

ebs-snapshot-public-restorable-verifique

 Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

ec2-imdsv2-check

 Certifique-se de que o método Instance Metadata Service Versão 2 (IMDSv2) esteja ativado para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir as alterações nos metadados da instância.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

ec2-instance-no-public-ip

 Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

elasticsearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

emr-kerberos-enabled

 As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

emr-master-no-public-ip

 Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

iam-no-inline-policy-verifique

 Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

iam-password-policy

 As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

iam-policy-no-statements-with-admin-access

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

iam-root-access-key-verifique

 O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

iam-user-group-membership-verifique

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

iam-user-mfa-enabled

 Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

iam-user-no-policies-verifique

 Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

ssh restrito

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

ec2-instances-in-vpc

 Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

internet-gateway-authorized-vpc-somente

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

lambda-function-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

lambda-inside-vpc

 ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

mfa-enabled-for-iam-acesso ao console

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

rds-instance-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

rds-snapshots-public-prohibited

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

redshift-cluster-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

restricted-common-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

root-account-hardware-mfa-ativado

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

root-account-mfa-enabled

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

s3-account-level-public-access-blocos periódicos

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

s3-bucket-level-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

s3-bucket-policy-grantee-check

 Gerencie o acesso aoAWSNuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dosAWSdiretores, usuários federados, diretores de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

s3-bucket-public-read-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

s3-bucket-public-write-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

sagemaker-notebook-no-direct-acesso à internet

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

vpc-default-security-group-fechado

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

vpc-sg-open-only-to-authorized-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
AC.1.002 Limite o acesso ao sistema de informações aos tipos de transações e funções que os usuários autorizados podem executar.

opensearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

alb-waf-enabled

 GarantaAWSO WAF está habilitado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

autoscaling-launch-config-public-ip desativado

 Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

ec2-instance-no-public-ip

 Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

emr-master-no-public-ip

 Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

ssh restrito

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

internet-gateway-authorized-vpc-somente

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

lambda-function-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

no-unrestricted-route-to-igw

 Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

rds-instance-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

redshift-cluster-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

restricted-common-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

s3-account-level-public-access-blocos periódicos

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

s3-bucket-level-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

s3-bucket-public-read-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

s3-bucket-public-write-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

sagemaker-notebook-no-direct-acesso à internet

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

ssm-document-not-public

 GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

subnet-auto-assign-public-ip desativado

 Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

vpc-default-security-group-fechado

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos.
AC.1.003 Verifique e controle/limite as conexões e o uso de sistemas de informação externos.

vpc-sg-open-only-to-authorized-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

dms-replication-not-public

 Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

ebs-snapshot-public-restorable-verifique

 Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

ec2-imdsv2-check

 Certifique-se de que o método Instance Metadata Service Versão 2 (IMDSv2) esteja ativado para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir as alterações nos metadados da instância.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

ec2-instance-no-public-ip

 Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

elasticsearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

emr-kerberos-enabled

 As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

emr-master-no-public-ip

 Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

iam-customer-policy-blocked-kms - ações

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

iam-group-has-users-verifique

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

iam-inline-policy-blocked-kms - ações

 Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

iam-no-inline-policy-verifique

 Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

iam-policy-no-statements-with-admin-access

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

iam-policy-no-statements-with-full-access

 Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

iam-root-access-key-verifique

 O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

iam-user-group-membership-verifique

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

iam-user-no-policies-verifique

 Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

internet-gateway-authorized-vpc-somente

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

lambda-function-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

rds-instance-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

rds-snapshots-public-prohibited

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

redshift-cluster-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

s3-account-level-public-access-blocos periódicos

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

s3-bucket-level-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

s3-bucket-policy-grantee-check

 Gerencie o acesso aoAWSNuvem ativando s3_ bucket_policy_grantee_check. Essa regra verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dosAWSdiretores, usuários federados, diretores de serviços, endereços IP ou IDs da Amazon Virtual Private Cloud (Amazon VPC) que você fornece.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

s3-bucket-public-read-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

s3-bucket-public-write-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

sagemaker-notebook-no-direct-acesso à internet

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

ssm-document-not-public

 GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
AC.2.007 Use o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas.

opensearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
AC.2.008 Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança.

emr-kerberos-enabled

 As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal.
AC.2.008 Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança.

iam-customer-policy-blocked-kms - ações

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de deveres. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização
AC.2.008 Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança.

iam-group-has-users-verifique

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, garantindo que os grupos do IAM tenham pelo menos um usuário. Colocar usuários em grupos com base nas permissões associadas ou na função de trabalho é uma forma de incorporar o mínimo de privilégios.
AC.2.008 Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança.

iam-inline-policy-blocked-kms - ações

 Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política embutida para permitir ações bloqueadas em todosAWSChaves do serviço de gerenciamento de chaves.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o controle de versões, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina oblockedActionsPatternsparâmetro. (AWSValor fundamental das melhores práticas de segurança: kms:decrypt, kms:ReEncryptFrom). Os valores reais devem refletir as políticas da sua organização.
AC.2.008 Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança.

iam-no-inline-policy-verifique

 Garanta umAWSO usuário, a função ou o grupo do IAM (Identity and Access Management) não têm uma política em linha para controlar o acesso a sistemas e ativos.AWSrecomenda usar políticas gerenciadas em vez de políticas em linha. As políticas gerenciadas permitem reutilização, controle de versão e reversão, além de delegar o gerenciamento de permissões.
AC.2.008 Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança.

iam-policy-no-statements-with-admin-access

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudá-lo a incorporar os princípios de menor privilégio e separação de funções com permissões e autorizações de acesso, impedindo que as políticas contenham “Efeito”: “Permitir” com “Ação”: “*” em vez de “Recurso”: “*”. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções.
AC.2.008 Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança.

iam-policy-no-statements-with-full-access

 Certifique-se de que as ações do IAM sejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções.
AC.2.008 Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança.

iam-root-access-key-verifique

 O acesso a sistemas e ativos pode ser controlado verificando se o usuário root não tem chaves de acesso anexadas aos seusAWSFunção de gerenciamento de identidade e acesso (IAM). Certifique-se de que as chaves de acesso root sejam excluídas. Em vez disso, crie e use com base em funçõesAWScontas para ajudar a incorporar o princípio da menor funcionalidade.
AC.2.008 Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança.

iam-user-group-membership-verifique

 AWSO Gerenciamento de Identidade e Acesso (IAM) pode ajudar você a restringir as permissões e autorizações de acesso, garantindo que os usuários sejam membros de pelo menos um grupo. Permitir aos usuários mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio do menor privilégio e da separação de funções.
AC.2.008 Use contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança.

iam-user-no-policies-verifique

 Esta regra garanteAWSAs políticas de gerenciamento de identidade e acesso (IAM) são vinculadas somente a grupos ou funções para controlar o acesso a sistemas e ativos. A atribuição de privilégios no nível do grupo ou da função ajuda a reduzir a oportunidade de uma identidade receber ou reter privilégios excessivos.
AC.2.013 Monitore e controle as sessões de acesso remoto.

cloudwatch-alarm-action-check

 AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente.
AC.2.013 Monitore e controle as sessões de acesso remoto.

cloud-trail-cloud-watch-registros habilitados

 Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta.
AC.2.013 Monitore e controle as sessões de acesso remoto.

guardduty-enabled-centralized

 AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem.
AC.2.013 Monitore e controle as sessões de acesso remoto.

habilitado para hub de segurança

 AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

alb-waf-enabled

 GarantaAWSO WAF está habilitado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

api-gw-associated-with-guerra

 AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

autoscaling-launch-config-public-ip desativado

 Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

dms-replication-not-public

 Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

ebs-snapshot-public-restorable-verifique

 Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

ec2-instance-no-public-ip

 Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

elasticsearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

emr-master-no-public-ip

 Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

ssh restrito

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

ec2-instances-in-vpc

 Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

internet-gateway-authorized-vpc-somente

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

lambda-function-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

lambda-inside-vpc

 ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

no-unrestricted-route-to-igw

 Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

rds-instance-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

rds-snapshots-public-prohibited

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

redshift-cluster-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

restricted-common-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

s3-account-level-public-access-blocos periódicos

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

s3-bucket-level-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

s3-bucket-public-read-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

s3-bucket-public-write-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

sagemaker-notebook-no-direct-acesso à internet

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

ssm-document-not-public

 GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

subnet-auto-assign-public-ip desativado

 Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

vpc-default-security-group-fechado

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

vpc-sg-open-only-to-authorized-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
AC.2.016 Controle o fluxo do CUI de acordo com as autorizações aprovadas.

opensearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
AU.2.041 Garanta que as ações de usuários individuais do sistema possam ser atribuídas exclusivamente a esses usuários, para que eles possam ser responsabilizados por suas ações.

api-gw-execution-logging-ativado

 O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário.
AU.2.041 Garanta que as ações de usuários individuais do sistema possam ser atribuídas exclusivamente a esses usuários, para que eles possam ser responsabilizados por suas ações.

cloudtrail-s3 - eventos de dados habilitados

 A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento.
AU.2.041 Garanta que as ações de usuários individuais do sistema possam ser atribuídas exclusivamente a esses usuários, para que eles possam ser responsabilizados por suas ações.

cloud-trail-cloud-watch-registros habilitados

 Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta.
AU.2.041 Garanta que as ações de usuários individuais do sistema possam ser atribuídas exclusivamente a esses usuários, para que eles possam ser responsabilizados por suas ações.

habilitado para cloudtrail

 AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo.
AU.2.041 Garanta que as ações de usuários individuais do sistema possam ser atribuídas exclusivamente a esses usuários, para que eles possam ser responsabilizados por suas ações.

elb-logging-enabled

 A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
AU.2.041 Garanta que as ações de usuários individuais do sistema possam ser atribuídas exclusivamente a esses usuários, para que eles possam ser responsabilizados por suas ações.

multi-region-cloudtrail-enabled

 AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
AU.2.041 Garanta que as ações de usuários individuais do sistema possam ser atribuídas exclusivamente a esses usuários, para que eles possam ser responsabilizados por suas ações.

rds-logging-enabled

 Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
AU.2.041 Garanta que as ações de usuários individuais do sistema possam ser atribuídas exclusivamente a esses usuários, para que eles possam ser responsabilizados por suas ações.

s3-bucket-logging-enabled

 O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
AU.2.041 Garanta que as ações de usuários individuais do sistema possam ser atribuídas exclusivamente a esses usuários, para que eles possam ser responsabilizados por suas ações.

wafv2 ativado para registro

 Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
AU.2.042 Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema.

api-gw-execution-logging-ativado

 O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário.
AU.2.042 Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema.

cloudtrail-s3 - eventos de dados habilitados

 A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento.
AU.2.042 Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema.

cloud-trail-cloud-watch-registros habilitados

 Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta.
AU.2.042 Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema.

habilitado para cloudtrail

 AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo.
AU.2.042 Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema.

cw-loggroup-retention-period-verifique

 Garanta que uma duração mínima dos dados do registro de eventos seja mantida para seus grupos de registros para ajudar na solução de problemas e nas investigações forenses. A falta de dados de registros de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos potencialmente maliciosos.
AU.2.042 Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema.

elb-logging-enabled

 A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
AU.2.042 Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema.

multi-region-cloudtrail-enabled

 AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
AU.2.042 Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema.

rds-logging-enabled

 Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
AU.2.042 Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema.

s3-bucket-logging-enabled

 O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
AU.2.042 Crie e retenha registros e registros de auditoria do sistema na medida do necessário para permitir o monitoramento, a análise, a investigação e a emissão de relatórios de atividades ilegais ou não autorizadas do sistema.

wafv2 ativado para registro

 Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
CA.2.159 Desenvolva e implemente planos de ação projetados para corrigir deficiências e reduzir ou eliminar vulnerabilidades nos sistemas organizacionais. vuln-management-plan-exists(Verificação do processo) Garanta que um plano de gerenciamento de vulnerabilidades seja desenvolvido e implementado para ter processos formalmente definidos para lidar com as vulnerabilidades em seu ambiente. Isso pode incluir ferramentas de gerenciamento de vulnerabilidades, cadência de escaneamento ambiental, funções e responsabilidades.
CM.2.061 Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema.

ec2-instance-managed-by-systems-gerente

 É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UseAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente.
CM.2.061 Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema.

ec2-managedinstance-association-compliance-status-verifique

 UseAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente.
CM.2.061 Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema.

ec2-managedinstance-patch-compliance-status-verifique

 Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização.
CM.2.061 Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema.

instância ec2 interrompida

 Habilite essa regra para ajudar na configuração básica das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) verificando se as instâncias do Amazon EC2 foram interrompidas por mais do que o número permitido de dias, de acordo com os padrões da sua organização.
CM.2.061 Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema.

ec2-volume-inuse-check

 Essa regra garante que os volumes do Amazon Elastic Block Store anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) sejam marcados para exclusão quando uma instância for encerrada. Se um volume do Amazon EBS não for excluído quando a instância à qual ele está conectado for encerrada, ele poderá violar o conceito de menor funcionalidade.
CM.2.061 Estabeleça e mantenha configurações básicas e inventários de sistemas organizacionais (incluindo hardware, software, firmware e documentação) durante os respectivos ciclos de vida de desenvolvimento do sistema.

anexado ao EPI

 Essa regra garante que os IPs elásticos alocados para uma Amazon Virtual Private Cloud (Amazon VPC) sejam conectados a instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou interfaces de rede elásticas em uso. Essa regra ajuda a monitorar EIPs não utilizados em seu ambiente.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

autoscaling-launch-config-public-ip desativado

 Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. Os recursos do EC2 não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus aplicativos ou servidores.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

dms-replication-not-public

 Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

ebs-snapshot-public-restorable-verifique

 Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

ec2-instance-managed-by-systems-gerente

 É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UseAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

ec2-instance-no-public-ip

 Gerencie o acesso aoAWSNuvem garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

ec2-managedinstance-association-compliance-status-verifique

 UseAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

ec2-volume-inuse-check

 Essa regra garante que os volumes do Amazon Elastic Block Store anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) sejam marcados para exclusão quando uma instância for encerrada. Se um volume do Amazon EBS não for excluído quando a instância à qual ele está conectado for encerrada, ele poderá violar o conceito de menor funcionalidade.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

elasticsearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

emr-master-no-public-ip

 Gerencie o acesso aoAWSNuvem, garantindo que os nós principais do cluster Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

ssh restrito

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

internet-gateway-authorized-vpc-somente

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

lambda-function-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

no-unrestricted-route-to-igw

 Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

rds-instance-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

rds-snapshots-public-prohibited

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

redshift-cluster-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

restricted-common-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

s3-account-level-public-access-blocos periódicos

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

s3-bucket-level-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

s3-bucket-public-read-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

s3-bucket-public-write-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

sagemaker-notebook-no-direct-acesso à internet

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

ssm-document-not-public

 GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

subnet-auto-assign-public-ip desativado

 Gerencie o acesso aoAWSNuvem garantindo que as sub-redes Amazon Virtual Private Cloud (VPC) não recebam automaticamente um endereço IP público. As instâncias do Amazon Elastic Compute Cloud (EC2) que são lançadas em sub-redes que têm esse atributo ativado têm um endereço IP público atribuído à sua interface de rede primária.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

vpc-default-security-group-fechado

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

vpc-sg-open-only-to-authorized-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
CM.2.062 Empregue o princípio da menor funcionalidade configurando sistemas organizacionais para fornecer somente recursos essenciais.

opensearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
CM.2.063 Controle e monitore o software instalado pelo usuário.

ec2-instance-managed-by-systems-gerente

 É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UseAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente.
CM.2.063 Controle e monitore o software instalado pelo usuário.

ec2-managedinstance-association-compliance-status-verifique

 UseAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente.
CM.2.063 Controle e monitore o software instalado pelo usuário.

ec2-managedinstance-patch-compliance-status-verifique

 Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização.
CM.2.064 Estabeleça e aplique definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais.

account-part-of-organizations

 Gerenciamento centralizado deAWScontas dentroAWSAs organizações ajudam a garantir a conformidade das contas. A falta de governança centralizada da conta pode levar a configurações de conta inconsistentes, o que pode expor recursos e dados confidenciais.
CM.2.064 Estabeleça e aplique definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais.

cloudtrail-security-trail-enabled

 Essa regra ajuda a garantir o uso deAWSmelhores práticas de segurança recomendadas paraAWS CloudTrail, verificando a ativação de várias configurações. Isso inclui o uso de criptografia de log, validação de log e habilitaçãoAWS CloudTrailem várias regiões.
CM.2.064 Estabeleça e aplique definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais.

cloud-trail-log-file-validação ativada

 UtilizeAWS CloudTrailvalidação do arquivo de log para verificar a integridade doCloudTrailtroncos. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado apósCloudTrailentregou. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log CloudTrail sem detectar tais ações.
CM.2.064 Estabeleça e aplique definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais.

ec2-instance-managed-by-systems-gerente

 É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UseAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente.
CM.2.064 Estabeleça e aplique definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais.

ec2-managedinstance-association-compliance-status-verifique

 UseAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente.
CM.2.064 Estabeleça e aplique definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais.

ec2-managedinstance-patch-compliance-status-verifique

 Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização.
CM.2.064 Estabeleça e aplique definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais.

elastic-beanstalk-managed-updates-ativado

 A ativação de atualizações gerenciadas de plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação de patches é a melhor prática para proteger os sistemas.
CM.2.064 Estabeleça e aplique definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais.

guardduty-enabled-centralized

 AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem.
CM.2.064 Estabeleça e aplique definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais.

rds-automatic-minor-version-habilitado para atualização

 Habilite atualizações automáticas de versões secundárias em suas instâncias do Amazon Relational Database Service (RDS) para garantir que as atualizações secundárias mais recentes do Sistema de Gerenciamento de Banco de Dados Relacional (RDBMS) sejam instaladas, o que pode incluir patches de segurança e correções de erros.
CM.2.064 Estabeleça e aplique definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais.

redshift-cluster-maintenancesettings-check

 Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferenciais para sua organização. Especificamente, que eles têm janelas de manutenção preferidas e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina oallowVersionUpgrade. O padrão é verdadeiro. Também permite que você defina opcionalmente opreferredMaintenanceWindow(o padrão é sáb: 16:00 -sáb: 16:30), e oautomatedSnapshotRetentionPeríodo (o padrão é 1). Os valores reais devem refletir as políticas da sua organização.
CM.2.064 Estabeleça e aplique definições de configuração de segurança para produtos de tecnologia da informação empregados em sistemas organizacionais.

habilitado para hub de segurança

 AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

api-gw-execution-logging-ativado

 O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

cloudtrail-s3 - eventos de dados habilitados

 A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

cloud-trail-cloud-watch-registros habilitados

 Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

habilitado para cloudtrail

 AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

ec2-instance-managed-by-systems-gerente

 É possível fazer um inventário das plataformas de software e aplicativos dentro da organização gerenciando instâncias do Amazon Elastic Compute Cloud (Amazon EC2) comAWSGerente de sistemas. UseAWSSystems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome do aplicativo, editor e versão e outros detalhes sobre seu ambiente.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

ec2-managedinstance-association-compliance-status-verifique

 UseAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

ec2-managedinstance-patch-compliance-status-verifique

 Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

elb-logging-enabled

 A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

multi-region-cloudtrail-enabled

 AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

rds-logging-enabled

 Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

s3-bucket-logging-enabled

 O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
CM.2.065 Acompanhe, revise, aprove ou desaprove e registre as alterações nos sistemas organizacionais.

wafv2 ativado para registro

 Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
IA.1.076 Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos.

api-gw-execution-logging-ativado

 O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário.
IA.1.076 Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos.

cloudtrail-s3 - eventos de dados habilitados

 A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento.
IA.1.076 Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos.

cloud-trail-cloud-watch-registros habilitados

 Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta.
IA.1.076 Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos.

habilitado para cloudtrail

 AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo.
IA.1.076 Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos.

elb-logging-enabled

 A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
IA.1.076 Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos.

emr-kerberos-enabled

 As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal.
IA.1.076 Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos.

multi-region-cloudtrail-enabled

 AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
IA.1.076 Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos.

rds-logging-enabled

 Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
IA.1.076 Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos.

s3-bucket-logging-enabled

 O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
IA.1.076 Identifique usuários do sistema de informações, processos que atuam em nome de usuários ou dispositivos.

wafv2 ativado para registro

 Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
IA.1.077 Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais.

emr-kerberos-enabled

 As permissões e autorizações de acesso podem ser gerenciadas e incorporadas com os princípios de menor privilégio e separação de funções, habilitando o Kerberos para clusters do Amazon EMR. No Kerberos, os serviços e os usuários que precisam se autenticar são conhecidos como principais. Os diretores existem dentro de um reino de Kerberos. Dentro do reino, um servidor Kerberos é conhecido como o centro de distribuição de chaves (KDC). Ele fornece um meio para os diretores se autenticarem. O KDC se autentica emitindo tíquetes para autenticação. O KDC mantém um banco de dados das entidades principais dentro do realm, as senhas e outras informações administrativas sobre cada principal.
IA.1.077 Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais.

iam-password-policy

 As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização.
IA.1.077 Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais.

iam-user-mfa-enabled

 Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários.
IA.1.077 Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais.

mfa-enabled-for-iam-acesso ao console

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados.
IA.1.077 Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais.

root-account-hardware-mfa-ativado

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA de hardware esteja habilitada para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas.
IA.1.077 Autentique (ou verifique) as identidades desses usuários, processos ou dispositivos, como pré-requisito para permitir o acesso aos sistemas de informações organizacionais.

root-account-mfa-enabled

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que o MFA esteja habilitado para o usuário root. O usuário root é o usuário mais privilegiado em umAWSconta. O MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir MFA para o usuário root, você pode reduzir os incidentes de comprometimentoAWScontas.
IA.2.078 Imponha uma complexidade mínima de senha e a alteração de caracteres quando novas senhas forem criadas.

iam-password-policy

 As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização.
IA.2.079 Proibir a reutilização de senhas por um número específico de gerações.

iam-password-policy

 As identidades e as credenciais são emitidas, gerenciadas e verificadas com base em uma política de senha organizacional do IAM. Eles atendem ou excedem os requisitos, conforme declarado pelo NIST SP 800-63 e peloAWSPadrão básico de melhores práticas de segurança para a segurança da senha. Essa regra permite que você defina opcionalmenteRequireUppercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireLowercaseCharacters(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireSymbols(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),RequireNumbers(AWSAs melhores práticas básicas de segurança (valor: verdadeiro),MinimumPasswordLength(AWSValor fundamental das melhores práticas de segurança: 14),PasswordReusePrevention(AWSValor fundamental das melhores práticas de segurança: 24) eMaxPasswordAge(AWSValor fundamental das melhores práticas de segurança: 90) para sua política de senha do IAM. Os valores reais devem refletir as políticas da sua organização.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

alb-http-drop-invalid-habilitado para cabeçalho

 Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para eliminar cabeçalhos http. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

alb-http-to-https-verificação de redirecionamento

 Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

api-gw-cache-enabled-e criptografado

 Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja ativada para o cache do estágio do API Gateway. Como dados confidenciais podem ser capturados pelo método da API, ative a criptografia em repouso para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

api-gw-ssl-enabled

 Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

ec2-ebs-encryption-by-default

 Para ajudar a proteger os dados em repouso, certifique-se de que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS). Como dados confidenciais podem existir em repouso nesses volumes, habilite a criptografia em repouso para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

efs-encrypted-check

 Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seu Amazon Elastic File System (EFS).
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

elasticsearch-encrypted-at-rest

 Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchServiço (OpenSearchDomínios de serviço ().
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

elasticsearch-node-to-node-verificação de criptografia

 Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

elbv2-acm-certificate-required

 Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UseAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

elb-acm-certificate-required

 Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UseAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

elb-tls-https-listeners-somente

 Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

volumes criptografados

 Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus volumes do Amazon Elastic Block Store (Amazon EBS).
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

rds-snapshot-encrypted

 Certifique-se de que a criptografia esteja habilitada para seus snapshots do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso, habilite a criptografia em repouso para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

rds-storage-encrypted

 Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas instâncias do Amazon Relational Database Service (Amazon RDS). Como dados confidenciais podem existir em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

redshift-cluster-kms-enabled

 Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seu cluster do Amazon Redshift. Como dados confidenciais podem existir em repouso nos clusters do Redshift, habilite a criptografia em repouso para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

redshift-require-tls-ssl

 Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

s3-bucket-server-side-encryption-ativado

 Para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

s3-bucket-ssl-requests-only

 Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

s3-default-encryption-kms

 Certifique-se de que a criptografia esteja habilitada para seus buckets do Amazon Simple Storage Service (Amazon S3). Como dados confidenciais podem existir em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

sagemaker-endpoint-configuration-kms-configurado por chave

 Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakerponto final. Porque dados confidenciais podem existir em repouso noSageMakerendpoint, habilite a criptografia em repouso para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

sagemaker-notebook-instance-kms-configurado por chave

 Para ajudar a proteger os dados em repouso, garanta a criptografia comAWSServiço de gerenciamento de chaves (AWSO KMS) está habilitado para seuSageMakercaderno. Porque dados confidenciais podem existir em repouso noSageMakernotebook, habilite a criptografia em repouso para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

sns-encrypted-kms

 Para ajudar a proteger os dados em repouso, certifique-se de que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia usandoAWSServiço de gerenciamento de chaves (AWSKMS). Como dados confidenciais podem existir em repouso nas mensagens publicadas, habilite a criptografia em repouso para ajudar a proteger esses dados.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

opensearch-encrypted-at-rest

 Como dados confidenciais podem existir e, para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para sua AmazonOpenSearchDomínios de serviço.
IA.2.081 Armazene e transmita somente senhas protegidas criptograficamente.

opensearch-node-to-node-verificação de criptografia

 Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
IR.2.092 Estabeleça uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário.

cloudwatch-alarm-action-check

 AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente.
IR.2.092 Estabeleça uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário.

guardduty-enabled-centralized

 AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem.
IR.2.092 Estabeleça uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário.

guardduty-non-archived-findings

 AmazôniaGuardDutyajuda você a entender o impacto de um incidente classificando as descobertas por gravidade: baixa, média e alta. Você pode usar essas classificações para determinar as estratégias e prioridades de remediação. Essa regra permite que você defina opcionalmente odaysLowSev(Configuração padrão: 30),daysMediumSev(Configuração padrão: 7) edaysHighSev(Padrão de configuração: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
IR.2.092 Estabeleça uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário.

lambda-dlq-check

 Ative essa regra para ajudar a notificar a equipe apropriada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notification Service (Amazon SNS) quando uma função falhar.
IR.2.092 Estabeleça uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário.

habilitado para hub de segurança

 AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros.
IR.2.092 Estabeleça uma capacidade operacional de tratamento de incidentes para sistemas organizacionais que inclua atividades de preparação, detecção, análise, contenção, recuperação e resposta do usuário. response-plan-exists-maintained(Verificação do processo) Garanta que os planos de resposta a incidentes sejam estabelecidos, mantidos e distribuídos ao pessoal responsável. Ter planos de resposta atualizados e formalmente documentados pode ajudar a garantir que a equipe de resposta compreenda as funções, responsabilidades e processos a serem seguidos durante um incidente.
IR.2.093 Detecte e reporte eventos.

autoscaling-group-elb-healthcheck-obrigatório

 As verificações de integridade do Elastic Load Balancer (ELB) para grupos de Auto Scaling do Amazon Elastic Compute Cloud (Amazon EC2) oferecem suporte à manutenção de capacidade e disponibilidade adequadas. O balanceador de carga envia periodicamente pings, tenta conexões ou envia solicitações para testar a integridade das instâncias do Amazon EC2 em um grupo de escalabilidade automática. Se uma instância não estiver reportando, o tráfego será enviado para uma nova instância do Amazon EC2.
IR.2.093 Detecte e reporte eventos.

cloudwatch-alarm-action-check

 AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente.
IR.2.093 Detecte e reporte eventos.

guardduty-enabled-centralized

 AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem.
IR.2.093 Detecte e reporte eventos.

lambda-dlq-check

 Ative essa regra para ajudar a notificar a equipe apropriada por meio do Amazon Simple Queue Service (Amazon SQS) ou do Amazon Simple Notification Service (Amazon SNS) quando uma função falhar.
IR.2.093 Detecte e reporte eventos.

habilitado para hub de segurança

 AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros.
MA.2.113 Exigir autenticação multifatorial para estabelecer sessões de manutenção não locais por meio de conexões de rede externas e encerrar essas conexões quando a manutenção não local for concluída.

iam-user-mfa-enabled

 Ative essa regra para restringir o acesso aos recursos noAWSNuvem. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção às credenciais de login. Reduza os incidentes de contas comprometidas exigindo MFA para os usuários.
MA.2.113 Exigir autenticação multifatorial para estabelecer sessões de manutenção não locais por meio de conexões de rede externas e encerrar essas conexões quando a manutenção não local for concluída.

mfa-enabled-for-iam-acesso ao console

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a MFA esteja habilitada para todosAWSUsuários do Gerenciamento de Identidade e Acesso (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção às credenciais de login. Ao exigir a MFA para os usuários, você pode reduzir os incidentes de contas comprometidas e impedir que dados confidenciais sejam acessados por usuários não autorizados.
RE.2.137 Execute e teste regularmente backups de dados.

backup-plan-min-frequency-and-min-retention-check

 Para ajudar nos processos de backup de dados, garanta queAWSO plano de backup está definido para uma frequência e retenção mínimas.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup. Essa regra permite que você defina orequiredFrequencyValue(Configuração padrão: 1),requiredRetentionDays(Configuração padrão: 35) erequiredFrequencyUnit(Padrão de configuração: dias) parâmetros. O valor real deve refletir os requisitos de sua organização.
RE.2.137 Execute e teste regularmente backups de dados.

db-instance-backup-enabled

 O recurso de backup do Amazon RDS cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um snapshot do volume de armazenamento da sua instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos seus requisitos de resiliência.
RE.2.137 Execute e teste regularmente backups de dados.

dynamodb-in-backup-plan

 Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup.
RE.2.137 Execute e teste regularmente backups de dados.

dynamodb-pitr-enabled

 Ative essa regra para verificar se as informações foram copiadas. Ele também mantém os backups, garantindo quepoint-in-timea recuperação está habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos de sua tabela nos últimos 35 dias.
RE.2.137 Execute e teste regularmente backups de dados.

ebs-in-backup-plan

 Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup.
RE.2.137 Execute e teste regularmente backups de dados.

efs-in-backup-plan

 Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup.
RE.2.137 Execute e teste regularmente backups de dados.

elasticache-redis-cluster-automatic-verificação de backup

 Quando os backups automáticos estão habilitados, a AmazonElastiCachecria um backup do cluster diariamente. O backup pode ser retido por alguns dias, conforme especificado pela sua organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Se ocorrer uma falha, você poderá criar um novo cluster, que restaura seus dados do backup mais recente.
RE.2.137 Execute e teste regularmente backups de dados.

rds-in-backup-plan

 Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (Amazon RDS) façam parte de umAWSPlano de backup.AWS O Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos de conformidade comercial e regulamentar de backup.
RE.2.137 Execute e teste regularmente backups de dados.

redshift-backup-enabled

 Para ajudar nos processos de backup de dados, garanta que seus clusters do Amazon Redshift tenham snapshots automatizados. Quando os instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, ou o que ocorrer primeiro.
RE.2.137 Execute e teste regularmente backups de dados.

s3-bucket-replication-enabled

 A replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) suporta a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos em buckets do Amazon S3 para ajudar a garantir que a disponibilidade dos dados seja mantida.
RE.2.137 Execute e teste regularmente backups de dados.

s3-bucket-versioning-enabled

 O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos.
RE.2.139 Realize regularmente backups de dados completos, abrangentes e resilientes, conforme definido pela organização.

s3-bucket-versioning-enabled

 O controle de versão do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter várias variantes de um objeto no mesmo bucket do Amazon S3. Use o controle de versão para preservar, recuperar e restaurar todas as versões de cada objeto armazenado em seu bucket do Amazon S3. O controle de versão ajuda você a se recuperar facilmente de ações não intencionais do usuário e falhas de aplicativos.
RM.2.142 Verifique periodicamente se há vulnerabilidades em sistemas e aplicativos organizacionais e quando novas vulnerabilidades que afetam esses sistemas e aplicativos forem identificadas.

ec2-managedinstance-patch-compliance-status-verifique

 Ative essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com o patch emAWSGerenciador de sistemas conforme exigido pelas políticas e procedimentos da sua organização.
RM.2.142 Verifique periodicamente se há vulnerabilidades em sistemas e aplicativos organizacionais e quando novas vulnerabilidades que afetam esses sistemas e aplicativos forem identificadas.

guardduty-enabled-centralized

 AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem.
RM.2.142 Verifique periodicamente se há vulnerabilidades em sistemas e aplicativos organizacionais e quando novas vulnerabilidades que afetam esses sistemas e aplicativos forem identificadas.

guardduty-non-archived-findings

 AmazôniaGuardDutyajuda você a entender o impacto de um incidente classificando as descobertas por gravidade: baixa, média e alta. Você pode usar essas classificações para determinar as estratégias e prioridades de remediação. Essa regra permite que você defina opcionalmente odaysLowSev(Configuração padrão: 30),daysMediumSev(Configuração padrão: 7) edaysHighSev(Padrão de configuração: 1) para descobertas não arquivadas, conforme exigido pelas políticas da sua organização.
RM.2.142 Verifique periodicamente se há vulnerabilidades em sistemas e aplicativos organizacionais e quando novas vulnerabilidades que afetam esses sistemas e aplicativos forem identificadas.

habilitado para hub de segurança

 AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros.
RM.2.142 Verifique periodicamente se há vulnerabilidades em sistemas e aplicativos organizacionais e quando novas vulnerabilidades que afetam esses sistemas e aplicativos forem identificadas. vuln-scans-performed(Verificação do processo) Garanta que as verificações de vulnerabilidade sejam realizadas de acordo com seus requisitos de conformidade. A cadência do escaneamento, as ferramentas usadas e o uso dos resultados devem ser definidos pela sua organização.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

alb-http-drop-invalid-habilitado para cabeçalho

 Certifique-se de que seus Elastic Load Balancers (ELB) estejam configurados para eliminar cabeçalhos http. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

alb-http-to-https-verificação de redirecionamento

 Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

alb-waf-enabled

 GarantaAWSO WAF está habilitado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

api-gw-associated-with-guerra

 AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

cloudwatch-alarm-action-check

 AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

dms-replication-not-public

 Gerencie o acesso aoAWSNuvem, garantindo que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

ebs-snapshot-public-restorable-verifique

 Gerencie o acesso aoAWSNuvem garantindo que os snapshots do EBS não possam ser restaurados publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

elasticsearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchServiço (OpenSearch(Serviço) Os domínios estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). UmOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entreOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

elasticsearch-node-to-node-verificação de criptografia

 Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

elb-acm-certificate-required

 Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UseAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

elb-tls-https-listeners-somente

 Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

guardduty-enabled-centralized

 AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

ssh restrito

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Não permitir tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 em seus recursos ajuda a restringir o acesso remoto.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

ec2-instances-in-vpc

 Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Atribua instâncias do Amazon EC2 a uma Amazon VPC para gerenciar adequadamente o acesso.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

internet-gateway-authorized-vpc-somente

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os gateways de internet estejam conectados somente à Amazon Virtual Private Cloud (Amazon VPC) autorizada. Os gateways da Internet permitem acesso bidirecional à Internet de e para o Amazon VPC, o que pode potencialmente levar ao acesso não autorizado aos recursos do Amazon VPC.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

lambda-function-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem, garantindoAWSAs funções do Lambda não podem ser acessadas publicamente. O acesso público pode potencialmente levar à degradação da disponibilidade de recursos.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

lambda-inside-vpc

 ImplantarAWSO Lambda funciona em uma Amazon Virtual Private Cloud (Amazon VPC) para uma comunicação segura entre uma função e outros serviços dentro da Amazon VPC. Com essa configuração, não há necessidade de um gateway de Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece seguro dentro doAWSNuvem. Devido ao isolamento lógico, os domínios que residem em um Amazon VPC têm uma camada extra de segurança quando comparados aos domínios que usam endpoints públicos. Para gerenciar adequadamente o acesso,AWSAs funções lambda devem ser atribuídas a uma VPC.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

no-unrestricted-route-to-igw

 Certifique-se de que as tabelas de rotas do Amazon EC2 não tenham rotas irrestritas para um gateway da Internet. Remover ou limitar o acesso à Internet para cargas de trabalho nas Amazon VPCs pode reduzir o acesso não intencional em seu ambiente.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

rds-instance-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais, e princípios e controle de acesso são necessários para essas contas.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

rds-snapshots-public-prohibited

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

redshift-cluster-public-access-verifique

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações e princípios confidenciais, e o controle de acesso é necessário para essas contas.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

redshift-require-tls-ssl

 Certifique-se de que seus clusters do Amazon Redshift exijam criptografia TLS/SSL para se conectar aos clientes SQL. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

restricted-common-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Essa regra permite que você defina opcionalmente os parâmetros BlockedPort1 - BlockedPort5 (Padrões de configuração: 20,21,3389,3306,4333). Os valores reais devem refletir as políticas da sua organização.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

s3-account-level-public-access-blocos periódicos

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra permite que você defina opcionalmente oignorePublicAcls(Padrão de configuração: verdadeiro),blockPublicPolicy(Padrão de configuração: verdadeiro),blockPublicAcls(Config Default: True), erestrictPublicBucketsparâmetros (Config Default: True). Os valores reais devem refletir as políticas da sua organização.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

s3-bucket-level-public-access-proibido

 Gerencie o acesso aos recursos noAWSNuvem garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Essa regra ajuda a manter os dados confidenciais protegidos de usuários remotos não autorizados, impedindo o acesso público no nível do bucket.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

s3-bucket-public-read-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

s3-bucket-public-write-prohibited

 Gerencie o acesso aos recursos noAWSNuvem ao permitir que usuários, processos e dispositivos autorizados acessem apenas buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

s3-bucket-ssl-requests-only

 Para ajudar a proteger os dados em trânsito, certifique-se de que seus buckets do Amazon Simple Storage Service (Amazon S3) exijam solicitações para usar o Secure Socket Layer (SSL). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

sagemaker-notebook-no-direct-acesso à internet

 Gerencie o acesso aos recursos noAWSNuvem, garantindo que a AmazonSageMakeros notebooks não permitem acesso direto à internet. Ao impedir o acesso direto à Internet, você pode impedir que dados confidenciais sejam acessados por usuários não autorizados.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

habilitado para hub de segurança

 AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

ssm-document-not-public

 GarantaAWSOs documentos do Systems Manager (SSM) não são públicos, pois isso pode permitir acesso não intencional aos seus documentos SSM. Um documento SSM público pode expor informações sobre sua conta, recursos e processos internos.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

vpc-default-security-group-fechado

 Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede paraAWSrecursos. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto ao seuAWSrecursos.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

vpc-sg-open-only-to-authorized-ports

 Gerencie o acesso aos recursos noAWSNuvem garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode levar a ataques contra a disponibilidade, integridade e confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0.0/0), o acesso remoto pode ser controlado aos sistemas internos.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

opensearch-in-vpc-only

 Gerencie o acesso aoAWSNuvem ao garantir a AmazonOpenSearchOs domínios de serviço estão dentro de uma Amazon Virtual Private Cloud (Amazon VPC). Uma AmazôniaOpenSearchO domínio de serviço em um Amazon VPC permite a comunicação segura entre a AmazonOpenSearchServiço e outros serviços dentro do Amazon VPC sem a necessidade de um gateway de internet, dispositivo NAT ou conexão VPN.
SC.1.175 Monitore, controle e proteja as comunicações organizacionais (ou seja, informações transmitidas ou recebidas pelos sistemas de informação organizacionais) nos limites externos e nos principais limites internos dos sistemas de informação.

opensearch-node-to-node-verificação de criptografia

 Garantanode-to-nodecriptografia para AmazonOpenSearchO serviço está ativado. Node-to-nodea criptografia permite a criptografia TLS 1.2 para todas as comunicações dentro da Amazon Virtual Private Cloud (Amazon VPC). Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
SC.2.179 Use sessões criptografadas para o gerenciamento de dispositivos de rede.

alb-http-to-https-verificação de redirecionamento

 Para ajudar a proteger os dados em trânsito, certifique-se de que seu Application Load Balancer redirecione automaticamente solicitações HTTP não criptografadas para HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
SC.2.179 Use sessões criptografadas para o gerenciamento de dispositivos de rede.

api-gw-ssl-enabled

 Certifique-se de que os estágios da API REST do Amazon API Gateway estejam configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas do API Gateway.
SC.2.179 Use sessões criptografadas para o gerenciamento de dispositivos de rede.

elbv2-acm-certificate-required

 Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UseAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos.
SC.2.179 Use sessões criptografadas para o gerenciamento de dispositivos de rede.

elb-acm-certificate-required

 Como dados confidenciais podem existir e, para ajudar a proteger os dados em trânsito, garanta que a criptografia esteja habilitada para seu Elastic Load Balancing. UseAWSGerenciador de certificados para gerenciar, provisionar e implantar certificados SSL/TLS públicos e privados comAWSserviços e recursos internos.
SC.2.179 Use sessões criptografadas para o gerenciamento de dispositivos de rede.

elb-tls-https-listeners-somente

 Certifique-se de que seus Elastic Load Balancers (ELBs) estejam configurados com ouvintes SSL ou HTTPS. Como dados confidenciais podem existir, habilite a criptografia em trânsito para ajudar a proteger esses dados.
SI.1.210 Identifique, reporte e corrija as informações e as falhas do sistema de informação em tempo hábil.

cloudwatch-alarm-action-check

 AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente.
SI.1.210 Identifique, reporte e corrija as informações e as falhas do sistema de informação em tempo hábil.

guardduty-enabled-centralized

 AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem.
SI.1.210 Identifique, reporte e corrija as informações e as falhas do sistema de informação em tempo hábil.

habilitado para hub de segurança

 AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros.
SI.1.211 Forneça proteção contra códigos maliciosos em locais apropriados nos sistemas de informações organizacionais.

guardduty-enabled-centralized

 AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem.
SI.2.214 Monitore alertas e avisos de segurança do sistema e tome medidas em resposta.

alb-waf-enabled

 GarantaAWSO WAF está habilitado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
SI.2.214 Monitore alertas e avisos de segurança do sistema e tome medidas em resposta.

api-gw-associated-with-guerra

 AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos
SI.2.214 Monitore alertas e avisos de segurança do sistema e tome medidas em resposta.

cloudwatch-alarm-action-check

 AmazôniaCloudWatchalertam quando uma métrica ultrapassa o limite de um determinado número de períodos de avaliação. O alarme realiza uma ou mais ações com base no valor da métrica ou na expressão relativa a um limite em alguns períodos. Essa regra exige um valor paraalarmActionRequired(Padrão de configuração: verdadeiro),insufficientDataActionObrigatório (padrão de configuração: verdadeiro),okActionRequired(Padrão de configuração: falso). O valor real deve refletir as ações de alarme do seu ambiente.
SI.2.214 Monitore alertas e avisos de segurança do sistema e tome medidas em resposta.

cloud-trail-cloud-watch-registros habilitados

 Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta.
SI.2.214 Monitore alertas e avisos de segurança do sistema e tome medidas em resposta.

habilitado para cloudtrail

 AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo.
SI.2.214 Monitore alertas e avisos de segurança do sistema e tome medidas em resposta.

ec2-managedinstance-association-compliance-status-verifique

 UseAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente.
SI.2.214 Monitore alertas e avisos de segurança do sistema e tome medidas em resposta.

guardduty-enabled-centralized

 AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem.
SI.2.214 Monitore alertas e avisos de segurança do sistema e tome medidas em resposta.

multi-region-cloudtrail-enabled

 AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
SI.2.214 Monitore alertas e avisos de segurança do sistema e tome medidas em resposta.

habilitado para hub de segurança

 AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros.
SI.2.216 Monitore os sistemas organizacionais, incluindo o tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques.

alb-waf-enabled

 GarantaAWSO WAF está habilitado nos Elastic Load Balancers (ELB) para ajudar a proteger aplicativos da web. Um WAF ajuda a proteger seus aplicativos ou APIs da web contra explorações comuns da web. Essas explorações na web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
SI.2.216 Monitore os sistemas organizacionais, incluindo o tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques.

api-gw-associated-with-guerra

 AWSO WAF permite que você configure um conjunto de regras (chamado de lista de controle de acesso à web (ACL da web)) que permitem, bloqueiam ou contam solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do Amazon API Gateway esteja associado a uma WAF Web ACL para protegê-lo contra ataques maliciosos
SI.2.216 Monitore os sistemas organizacionais, incluindo o tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques.

cloud-trail-cloud-watch-registros habilitados

 Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta.
SI.2.216 Monitore os sistemas organizacionais, incluindo o tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques.

habilitado para cloudtrail

 AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo.
SI.2.216 Monitore os sistemas organizacionais, incluindo o tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques.

guardduty-enabled-centralized

 AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem.
SI.2.216 Monitore os sistemas organizacionais, incluindo o tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques.

multi-region-cloudtrail-enabled

 AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
SI.2.216 Monitore os sistemas organizacionais, incluindo o tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques.

habilitado para hub de segurança

 AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros.
SI.2.216 Monitore os sistemas organizacionais, incluindo o tráfego de comunicação de entrada e saída, para detectar ataques e indicadores de possíveis ataques.

wafv2 ativado para registro

 Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

api-gw-execution-logging-ativado

 O registro do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como acessaram a API. Esse insight permite a visibilidade das atividades do usuário.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

cloudtrail-s3 - eventos de dados habilitados

 A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluemAWSinformações da conta que acessaram um bucket do Amazon S3, endereço IP e hora do evento.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

cloud-trail-cloud-watch-registros habilitados

 Use a AmazonCloudWatchpara coletar e gerenciar centralmente a atividade de eventos de registro. Inclusão deAWS CloudTrailos dados fornecem detalhes da atividade de chamadas de API em seuAWSconta.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

habilitado para cloudtrail

 AWS CloudTrailpode ajudar na não repúdio gravandoAWSAções do Management Console e chamadas de API. Você pode identificar os usuários eAWScontas que chamaram umAWSserviço, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos emAWS CloudTrailGrave o conteúdo.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

ec2-managedinstance-association-compliance-status-verifique

 UseAWSAssociações de gerentes de sistemas para ajudar no inventário de plataformas e aplicativos de software em uma organização.AWS O Systems Manager atribui um estado de configuração às suas instâncias gerenciadas e permite que você defina linhas de base dos níveis de patch do sistema operacional, instalações de software, configurações de aplicativos e outros detalhes sobre seu ambiente.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

elb-logging-enabled

 A atividade do Elastic Load Balancing é um ponto central de comunicação dentro de um ambiente. Certifique-se de que o registro do ELB esteja ativado. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

guardduty-enabled-centralized

 AmazôniaGuardDutypode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência de ameaças. Isso inclui listas de IPs maliciosos e aprendizado de máquina para identificar atividades inesperadas, não autorizadas e maliciosas em seuAWSAmbiente em nuvem.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

multi-region-cloudtrail-enabled

 AWS CloudTrailregistrosAWSAções do Management Console e chamadas de API. Você pode identificar quais usuários e contas ligaramAWS, o endereço IP de origem de onde as chamadas foram feitas e quando as chamadas ocorreram. CloudTrailentregará arquivos de log de todosAWSRegiões para seu bucket do S3 se MULTI_REGION_CLOUD_TRAIL_ENABLED estiver ativado. Além disso, quandoAWSlança uma nova região,CloudTrailcriará a mesma trilha na nova região. Como resultado, você receberá arquivos de log contendo a atividade da API para a nova região sem realizar nenhuma ação.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

rds-logging-enabled

 Para ajudar com o registro e o monitoramento em seu ambiente, certifique-se de que o registro do Amazon Relational Database Service (Amazon RDS) esteja ativado. Com o registro do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

s3-bucket-logging-enabled

 O registro de acesso ao servidor do Amazon Simple Storage Service (Amazon S3) fornece um método para monitorar a rede em busca de possíveis eventos de segurança cibernética. Os eventos são monitorados por meio da captura de registros detalhados das solicitações feitas a um bucket do Amazon S3. Cada registro de registro de acesso fornece detalhes sobre uma única solicitação de acesso. Os detalhes incluem o solicitante, nome do bucket, hora da solicitação, ação da solicitação, status da resposta e um código de erro, se relevante.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

habilitado para hub de segurança

 AWSO Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados.AWS O Security Hub agrega, organiza e prioriza os alertas de segurança, ou descobertas, de váriosAWSserviços. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie,AWSAnalisador de acesso de gerenciamento de identidade e acesso (IAM) eAWSGerenciador de Firewall eAWSSoluções de parceiros.
SI.2.217 Identifique o uso não autorizado de sistemas organizacionais.

wafv2 ativado para registro

 Para ajudar com o registro e o monitoramento em seu ambiente, habiliteAWSRegistro WAF (V2) em ACLs da web regionais e globais.AWS O registro do WAF fornece informações detalhadas sobre o tráfego que é analisado pela sua ACL da web. Os registros registram a hora em queAWSO WAF recebeu a solicitação do seuAWSrecurso, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.

Modelo

O modelo está disponível emGitHub:Melhores práticas operacionais para CMMC nível 2.