Proteções altamente recomendáveis - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteções altamente recomendáveis

As proteções altamente recomendáveis são baseadas nas melhores práticas para ambientes de várias contas bem projetados. Essas proteções não são habilitadas por padrão e podem ser desabilitadas. A seguir, você encontrará uma referência para cada uma das proteções altamente recomendáveis disponíveis no AWS Control Tower.

Não permitir a criação de chaves de acesso para o usuário raiz

Como proteger suasAWScontas do ao desabilitar a criação de chaves de acesso para o usuário raiz. Em vez disso, recomendamos que você crie chaves de acesso para os usuários do IAM com permissões limitadas de interação com aAWSconta. Esta é uma proteção preventiva com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTROOTUSERACCESSKEYS", "Effect": "Deny", "Action": "iam:CreateAccessKey", "Resource": [ "*" ], "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } } ] }

Não permitir ações como usuário raiz

Como proteger suasAWScontas retirando a permissão de acesso à conta com credenciais de usuário raiz, que são as credenciais do proprietário da conta que permitem acesso sem restrições a todos os recursos nela. Em vez disso, recomendamos o uso deAWS Identity and Access Management(IAM) para a interação diária com oAWSconta. Esta é uma proteção preventiva com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é o SCP a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "GRRESTRICTROOTUSER", "Effect": "Deny", "Action": "*", "Resource": [ "*" ], "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } } ] }

Detectar se a criptografia está habilitada para volumes do Amazon EBS anexados a instâncias do Amazon EC2

Essa proteção detecta se os volumes do Amazon EBS anexados a uma instância do Amazon EC2 estão criptografados. Essa proteção não altera o status da conta. Esta é uma proteção detectora com orientação altamente recomendável. Por padrão, essa proteção não está habilitada em todas as UOs.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check for encryption of all storage volumes attached to compute Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForEncryptedVolumes: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether EBS volumes that are in an attached state are encrypted. Source: Owner: AWS SourceIdentifier: ENCRYPTED_VOLUMES Scope: ComplianceResourceTypes: - AWS::EC2::Volume

Detectar se o tráfego TCP de entrada irrestrito é permitido

Esse guarda-corpo ajuda a reduzir a exposição de um servidor ao risco, detectando se o tráfego TCP de entrada irrestrito é permitido. Ele detecta se as conexões com a Internet estão habilitadas a instâncias do Amazon EC2 por meio de serviços como o Remote Desktop Protocol (RDP). Essa proteção não altera o status da conta. Esta é uma proteção detectora com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether security groups that are in use disallow unrestricted incoming TCP traffic to the specified ports. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' blockedPort1: Type: String Default: '20' Description: Blocked TCP port number. blockedPort2: Type: String Default: '21' Description: Blocked TCP port number. blockedPort3: Type: String Default: '3389' Description: Blocked TCP port number. blockedPort4: Type: String Default: '3306' Description: Blocked TCP port number. blockedPort5: Type: String Default: '4333' Description: Blocked TCP port number. Conditions: blockedPort1: Fn::Not: - Fn::Equals: - '' - Ref: blockedPort1 blockedPort2: Fn::Not: - Fn::Equals: - '' - Ref: blockedPort2 blockedPort3: Fn::Not: - Fn::Equals: - '' - Ref: blockedPort3 blockedPort4: Fn::Not: - Fn::Equals: - '' - Ref: blockedPort4 blockedPort5: Fn::Not: - Fn::Equals: - '' - Ref: blockedPort5 Resources: CheckForRestrictedCommonPortsPolicy: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether security groups that are in use disallow unrestricted incoming TCP traffic to the specified ports. InputParameters: blockedPort1: Fn::If: - blockedPort1 - Ref: blockedPort1 - Ref: AWS::NoValue blockedPort2: Fn::If: - blockedPort2 - Ref: blockedPort2 - Ref: AWS::NoValue blockedPort3: Fn::If: - blockedPort3 - Ref: blockedPort3 - Ref: AWS::NoValue blockedPort4: Fn::If: - blockedPort4 - Ref: blockedPort4 - Ref: AWS::NoValue blockedPort5: Fn::If: - blockedPort5 - Ref: blockedPort5 - Ref: AWS::NoValue Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: RESTRICTED_INCOMING_TRAFFIC

Detectar se a conexão irrestrita à Internet por meio de SSH

Essa proteção detecta se as conexões com a Internet são permitidas por serviços remotos como o protocolo Secure Shell (SSH). Essa proteção não altera o status da conta. Esta é uma proteção detectora com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether security groups that are in use disallow SSH Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForRestrictedSshPolicy: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether security groups that are in use disallow unrestricted incoming SSH traffic. Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: INCOMING_SSH_DISABLED

Detectar se a MFA para o usuário raiz está habilitada

Essa proteção detecta se a autenticação multifator (MFA) está habilitada para o usuário raiz da conta de gerenciamento. A MFA reduz os riscos de vulnerabilidade de uma autenticação fraca exigindo outro código de autenticação depois do nome de usuário e da senha serem bem-sucedidos. Essa proteção não altera o status da conta. Esta é uma proteção detectora com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to require MFA for root access to accounts Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' MaximumExecutionFrequency: Type: String Default: 24hours Description: The frequency that you want AWS Config to run evaluations for the rule. AllowedValues: - 1hour - 3hours - 6hours - 12hours - 24hours Mappings: Settings: FrequencyMap: 1hour : One_Hour 3hours : Three_Hours 6hours : Six_Hours 12hours : Twelve_Hours 24hours : TwentyFour_Hours Resources: CheckForRootMfa: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether the root user of your AWS account requires multi-factor authentication for console sign-in. Source: Owner: AWS SourceIdentifier: ROOT_ACCOUNT_MFA_ENABLED MaximumExecutionFrequency: !FindInMap - Settings - FrequencyMap - !Ref MaximumExecutionFrequency

Detectar se o acesso público de leitura aos buckets do Amazon S3 é permitido

Essa proteção detecta se o acesso público de leitura é permitido para buckets do Amazon S3. Ele ajuda você a manter o acesso seguro aos dados armazenados nos buckets. Essa proteção não altera o status da conta. Esta é uma proteção detectora com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicRead: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public read access. If an S3 bucket policy or bucket ACL allows public read access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Detectar se o acesso público de gravação aos buckets do Amazon S3 é permitido

Essa proteção detecta se o acesso de gravação público é permitido para buckets do Amazon S3. Ele ajuda você a manter o acesso seguro aos dados armazenados nos buckets. Essa proteção não altera o status da conta. Esta é uma proteção detectora com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check that your S3 buckets do not allow public access Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForS3PublicWrite: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks that your S3 buckets do not allow public write access. If an S3 bucket policy or bucket ACL allows public write access, the bucket is noncompliant. Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Scope: ComplianceResourceTypes: - AWS::S3::Bucket

Detectar se os volumes do Amazon EBS estão anexados às instâncias do Amazon EC2

Esse guardrail detecta se um dispositivo de volume do Amazon EBS persiste independentemente de uma instância do Amazon EC2. Essa proteção não altera o status da conta. Esta é uma proteção detectora com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether EBS volumes are attached to EC2 instances Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' deleteOnTermination: Type: 'String' Default: 'None' Description: 'Check for Delete on termination' Conditions: deleteOnTermination: Fn::Not: - Fn::Equals: - 'None' - Ref: deleteOnTermination Resources: CheckForEc2VolumesInUse: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether EBS volumes are attached to EC2 instances InputParameters: deleteOnTermination: Fn::If: - deleteOnTermination - Ref: deleteOnTermination - Ref: AWS::NoValue Source: Owner: AWS SourceIdentifier: EC2_VOLUME_INUSE_CHECK Scope: ComplianceResourceTypes: - AWS::EC2::Volume

Detectar se a otimização do Amazon EBS está habilitada para instâncias do Amazon EC2

Detecta se as instâncias do Amazon EC2 são executadas sem um volume do Amazon EBS otimizado para desempenho. Os volumes otimizados para o Amazon EBS minimizam a contenção entre a E/S do Amazon EBS e outro tráfego da sua instância. Essa proteção não altera o status da conta. Esta é uma proteção detectora com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether EBS optimization is enabled for your EC2 instances that can be EBS-optimized Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForEbsOptimizedInstance: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether EBS optimization is enabled for your EC2 instances that can be EBS-optimized Source: Owner: AWS SourceIdentifier: EBS_OPTIMIZED_INSTANCE Scope: ComplianceResourceTypes: - AWS::EC2::Instance

Detectar se o acesso público às instâncias de banco de dados Amazon RDS está habilitado

Detecta se suas instâncias de banco de dados do Amazon RDS permitem acesso público. Você pode proteger suas instâncias de banco de dados do Amazon RDS proibindo o acesso público. Essa proteção não altera o status da conta. Esta é uma proteção detectora com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether Amazon RDS instances are not publicly accessible. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForRdsPublicAccess: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether the Amazon Relational Database Service (RDS) instances are not publicly accessible. The rule is non-compliant if the publiclyAccessible field is true in the instance configuration item. Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance

Detectar se o acesso público aos snapshots de banco de dados do Amazon RDS está

Detecta se seus snapshots de banco de dados do Amazon RDS têm acesso público habilitado. Você pode proteger suas informações desativando o acesso público. Essa proteção não altera o status da conta. Esta é uma proteção detectora com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Checks if Amazon Relational Database Service (Amazon RDS) snapshots are public. Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForRdsStorageEncryption: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks if Amazon Relational Database Service (Amazon RDS) snapshots are public. The rule is non-compliant if any existing and new Amazon RDS snapshots are public. Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot

Detectar se a criptografia de armazenamento está habilitada para instâncias de banco de dados

Detecta instâncias de banco de dados do Amazon RDS que não são criptografadas em repouso. Você pode proteger suas instâncias de banco de dados do Amazon RDS em repouso criptografando o armazenamento subjacente para instâncias de banco de dados e seus backups automatizados, réplicas de leitura e snapshots. Essa proteção não altera o status da conta. Esta é uma proteção detectora com orientação altamente recomendável. Por padrão, essa proteção não está habilitada.

O artefato dessa proteção é a regra de AWS Config a seguir.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config rules to check whether storage encryption is enabled for your RDS DB instances Parameters: ConfigRuleName: Type: 'String' Description: 'Name for the Config rule' Resources: CheckForRdsStorageEncryption: Type: AWS::Config::ConfigRule Properties: ConfigRuleName: !Sub ${ConfigRuleName} Description: Checks whether storage encryption is enabled for your RDS DB instances. Source: Owner: AWS SourceIdentifier: RDS_STORAGE_ENCRYPTED Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance