AWS Organizations AWS CloudTrail AWS Security Hub CSPM AWS Config Amazon GuardDuty IAM IAM Access Analyzer Amazon Detective AWS Firewall Manager Amazon Inspector Amazon Macie Amazon Security Lake AWS WAF AWS Shield Advanced AWS Resposta a incidentes de segurança AWS Audit Manager

AWS Lista de verificação das melhores práticas da SRA

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa

Esta seção resume as melhores práticas de AWS SRA detalhadas ao longo deste guia em uma lista de verificação que você pode seguir ao criar sua versão da arquitetura de segurança. AWS Use essa lista como um ponto de referência e não como um substituto para revisar o guia. A lista de verificação é agrupada por. AWS service (Serviço da AWS)Se você quiser validar programaticamente seu AWS ambiente existente em relação à lista de verificação de melhores práticas da AWS SRA, você pode usar o SRA Verify.

O SRA Verify é uma ferramenta de avaliação de segurança que ajuda você a avaliar o alinhamento da sua organização com o AWS SRA em várias Contas da AWS regiões. Ele mapeia diretamente as recomendações da AWS SRA, fornecendo verificações automatizadas que validam sua implementação de acordo com a orientação da AWS SRA. A ferramenta ajuda você a verificar se seus serviços de segurança estão configurados corretamente de acordo com a arquitetura de referência. Ele fornece descobertas detalhadas e etapas de remediação acionáveis para ajudar a garantir que seu AWS ambiente siga as melhores práticas de segurança. O SRA Verify foi projetado para ser executado AWS CodeBuild na conta de auditoria da organização (Ferramentas de Segurança). Você também pode executá-lo localmente ou estendê-lo usando a biblioteca SRA Verify.

nota

O SRA Verify contém verificações para vários serviços, mas pode não conter uma verificação para todas as considerações do AWS SRA. Para obter mais informações, consulte os guias na biblioteca da AWS SRA.

AWS Organizations

AWS Organizations está habilitado com todos os recursos.
As políticas de controle de serviço (SCPs) são usadas para definir diretrizes de controle de acesso para diretores do IAM.
As políticas de controle de recursos (RCPs) são usadas para definir diretrizes de controle de acesso para AWS recursos.
As políticas declarativas são usadas para declarar e aplicar centralmente a configuração desejada para uma determinada escala AWS service (Serviço da AWS) em toda a organização.
Três contas básicas OUs são criadas (segurança, infraestrutura e carga de trabalho) para agrupar contas de membros que fornecem serviços básicos.
A conta do Security Tooling é criada na OU de Segurança. Essa conta fornece gerenciamento centralizado de serviços de AWS segurança e outras ferramentas de segurança de terceiros.
A conta do Log Archive é criada na OU de Segurança. Essa conta fornece um repositório central de registros Serviços da AWS e registros de aplicativos rigidamente controlados.
A conta de rede é criada na UO de Infraestrutura. Essa conta gerencia o gateway entre seu aplicativo e a Internet em geral. Ele isola os serviços de rede, a configuração e a operação das cargas de trabalho de aplicativos individuais, da segurança e de outras infraestruturas.
A conta do Shared Service é criada na UO de Infraestrutura. Essa conta oferece suporte aos serviços que vários aplicativos e equipes usam para fornecer seus resultados.
A conta do aplicativo é criada na OU de cargas de trabalho. Essa conta hospeda a infraestrutura e os serviços principais para executar e manter um aplicativo corporativo. Este guia fornece uma representação, mas no mundo real, haverá várias OUs contas de membros segregadas por aplicativos, ambientes de desenvolvimento e outras considerações de segurança.
Informações de contato alternativas para cobrança, operações e segurança de todas as contas dos membros estão configuradas.

AWS CloudTrail

Uma trilha da organização é configurada para permitir a entrega de eventos de CloudTrail gerenciamento na conta de gerenciamento e em todas as contas de membros em uma AWS organização.
A trilha da organização é configurada como trilha multirregional.
A trilha da organização está configurada para capturar eventos de recursos globais.
Trilhas adicionais para capturar eventos de dados específicos são configuradas conforme necessário para monitorar atividades confidenciais AWS de recursos.
A conta do Security Tooling é definida como administrador delegado da trilha da organização.
A trilha da organização está configurada para ser ativada automaticamente para todas as novas contas de membros.
A trilha da organização está configurada para publicar registros em um bucket S3 centralizado hospedado na conta do Log Archive.
A trilha da organização tem a validação do arquivo de log habilitada para verificar a integridade dos arquivos de log.
A trilha da organização é integrada aos CloudWatch registros para retenção de registros.
A trilha da organização é criptografada usando uma chave gerenciada pelo cliente.
O bucket central do S3 usado para o repositório de registros na conta do Log Archive é criptografado com uma chave gerenciada pelo cliente.
O bucket central do S3 usado para o repositório de registros na conta do Log Archive é configurado com o S3 Object Lock para imutabilidade.
O controle de versão está habilitado para o bucket central do S3 que é usado para o repositório de registros na conta do Log Archive.
O bucket central do S3 usado para o repositório de registros na conta do Log Archive tem uma política de recursos definida que restringe o upload de objetos somente pela trilha da organização por meio do recurso Amazon Resource Name (ARN).

AWS Security Hub CSPM

O CSPM do Security Hub está habilitado para todas as contas de membros e para a conta de gerenciamento.
AWS Config está habilitado para todas as contas de membros como pré-requisito para o CSPM do Security Hub.
A conta do Security Tooling é definida como administrador delegado do Security Hub CSPM.
A Amazon GuardDuty e o Amazon Detective têm a mesma conta de administrador delegado do Security Hub CSPM para facilitar a integração dos serviços.
A configuração central é usada para configurar e gerenciar o CSPM do Security Hub em vários e. Contas da AWS Regiões da AWS
Todas as contas da OU e dos membros são designadas como gerenciadas centralmente pelo administrador delegado do Security Hub CSPM.
O CSPM do Security Hub é ativado automaticamente para todas as novas contas de membros.
O Security Hub CSPM é habilitado automaticamente para configuração de novos padrões.
As descobertas do CSPM do Security Hub de todas as regiões são agregadas em uma única região de origem.
As descobertas do CSPM do Security Hub de todas as contas dos membros são agregadas na conta do Security Tooling.
O padrão AWS Foundational Best Practices (FSBP) no Security Hub CSPM está habilitado para todas as contas dos membros.
O padrão CIS AWS Foundation Benchmark no Security Hub CSPM está habilitado para todas as contas dos membros.
Outros padrões CSPM do Security Hub são habilitados conforme aplicável.
Uma regra de automação CSPM do Security Hub é usada para enriquecer as descobertas com o contexto dos recursos.
O recurso automatizado de resposta e remediação do Security Hub CSPM é usado para criar EventBridge regras personalizadas para realizar ações automáticas em relação a descobertas específicas.

AWS Config

O AWS Config gravador está habilitado para todas as contas de membros e para a conta de gerenciamento.
O AWS Config gravador está habilitado para todas as regiões.
O bucket S3 do canal de AWS Config entrega está centralizado na conta do Log Archive.
A conta do administrador AWS Config delegado é definida como a conta do Security Tooling.
AWS Config tem um agregador organizacional configurado. O agregador inclui todas as regiões.
AWS Config os pacotes de conformidade são implantados uniformemente em todas as contas dos membros a partir da conta de administrador delegado.
AWS Config as descobertas das regras são enviadas automaticamente para o CSPM do Security Hub.

Amazon GuardDuty

GuardDuty O detector está ativado para todas as contas de membros e para a conta de gerenciamento.
GuardDuty O detector está habilitado para todas as regiões.
GuardDuty O detector é ativado automaticamente para todas as novas contas de membros.
GuardDuty a administração delegada é definida na conta do Security Tooling.
GuardDuty fontes de dados fundamentais, como eventos CloudTrail de gerenciamento, registros de fluxo de VPC e registros de consulta de DNS do Route 53 Resolver, estão habilitadas.
GuardDuty A Proteção S3 está ativada.
GuardDuty A proteção contra malware para volumes do EBS está ativada.
GuardDuty A proteção contra malware para S3 está ativada.
GuardDuty A Proteção RDS está ativada.
GuardDuty A Proteção Lambda está ativada.
GuardDuty A Proteção EKS está ativada.
GuardDuty O EKS Runtime Monitoring está ativado.
GuardDuty A detecção estendida de ameaças está ativada.
GuardDuty as descobertas são exportadas para um bucket central do S3 na conta do Log Archive para retenção.

IAM

Os usuários do IAM não são usados.
O gerenciamento centralizado do acesso root às contas dos membros é imposto.
A tarefa centralizada de usuário raiz privilegiado para a conta de gerenciamento é imposta pelo administrador delegado.
O gerenciamento centralizado do acesso raiz é delegado à conta do Security Tooling.
Todas as credenciais raiz da conta do membro são removidas.
Todas as políticas de Conta da AWS senha para membros e gerentes são definidas de acordo com o padrão de segurança da organização.
O consultor de acesso do IAM é usado para revisar as últimas informações usadas para grupos, usuários, funções e políticas do IAM.
Os limites de permissão são usados para restringir o máximo possível de permissões para funções do IAM.

IAM Access Analyzer

O IAM Access Analyzer está habilitado para todas as contas de membros e para a conta de gerenciamento.
O administrador delegado do IAM Access Analyzer está configurado para a conta do Security Tooling.
O analisador de acesso externo do IAM Access Analyzer é configurado com a zona de confiança da organização em cada região.
O analisador de acesso externo do IAM Access Analyzer é configurado com a zona de confiança da conta em cada região.
O analisador de acesso interno do IAM Access Analyzer é configurado com a zona de confiança da organização em cada região.
O analisador de acesso interno do IAM Access Analyzer é configurado com a zona de confiança da conta em cada região.
O analisador de acesso não utilizado do IAM Access Analyzer para a conta atual é criado.
O analisador de acesso não utilizado do IAM Access Analyzer para a organização atual é criado.

Amazon Detective

Detective está habilitado para todas as contas de membros.
Detective é ativado automaticamente para todas as novas contas de membros.
Detective está habilitado para todas as regiões.
O administrador delegado do Detective está configurado para a conta do Security Tooling.
O administrador delegado do Detective e do Security Hub CSPM está configurado para a mesma conta do Security Tooling. GuardDuty
O Detective é integrado ao Security Lake para armazenamento e análise de registros brutos.
O Detective é integrado GuardDuty para ingerir as descobertas.
Detective está ingerindo registros de auditoria do Amazon EKS para análise.
Detective está ingerindo registros CSPM do Security Hub para análise.

AWS Firewall Manager

As políticas de segurança do Firewall Manager estão definidas.
O administrador delegado do Firewall Manager está configurado para a conta do Security Tooling.
AWS Config é habilitado como pré-requisito.
Vários administradores do Firewall Manager estão configurados com escopo restrito por UO, conta e região.
Uma política de AWS WAF segurança do Firewall Manager é definida.
Uma política de registro AWS WAF centralizada do Firewall Manager é definida.
Uma política de segurança do Firewall Manager Shield Advanced é definida.
Uma política de segurança do grupo de segurança do Firewall Manager está definida.

Amazon Inspector

O Amazon Inspector está habilitado para todas as contas dos membros.
O Amazon Inspector é habilitado automaticamente para qualquer nova conta de membro.
O administrador delegado do Amazon Inspector está configurado para a conta do Security Tooling.
A verificação de EC2 vulnerabilidades do Amazon Inspector está ativada.
O escaneamento de vulnerabilidade de imagem ECR do Amazon Inspector está ativado.
A função Amazon Inspector Lambda e a verificação de vulnerabilidades de camadas estão habilitadas.
A digitalização de código do Amazon Inspector Lambda está ativada.
A verificação de segurança do código do Amazon Inspector está ativada.

Amazon Macie

O Macie está habilitado para contas de membros aplicáveis.
O Macie é ativado automaticamente para novas contas de membros aplicáveis.
O administrador delegado do Macie está configurado para a conta do Security Tooling.
As descobertas do Macie são exportadas para um bucket central do S3 na conta do log Archive.
Os buckets do S3 que armazenam as descobertas do Macie são criptografados com uma chave gerenciada pelo cliente.
A política e a política de classificação do Macie são publicadas no Security Hub CSPM.

Amazon Security Lake

A configuração da organização do Security Lake está ativada.
O administrador delegado do Security Lake está configurado para a conta do Security Tooling.
A configuração da organização Security Lake está habilitada para novas contas de membros.
A conta do Security Tooling é configurada como assinante de acesso a dados para realizar análises de registros.
A conta do Security Tooling é configurada como assinante de consulta de dados para realizar análises de registros.
Uma fonte CloudTrail de registro de gerenciamento está habilitada para o Security Lake em todas as contas de membros ativas ou em determinadas contas de membros.
Uma fonte de log de fluxo de VPC está habilitada para o Security Lake em todas as contas de membros ativas ou em determinadas contas de membros.
Uma fonte de log do Route 53 está habilitada para o Security Lake em todas as contas de membros ativos ou em determinadas contas de membros.
CloudTrail o evento de dados de uma fonte de log do S3 está habilitado para o Security Lake em todas as contas de membros ativas ou em determinadas contas de membros.
Uma fonte de log de execução do Lambda está habilitada para o Security Lake em todas as contas de membros ativas ou em determinadas contas de membros.
Uma fonte de log de auditoria do Amazon EKS está habilitada para o Security Lake em todas as contas de membros ativas ou em determinadas contas de membros.
Uma fonte de registro de descobertas do Security Hub está habilitada para o Security Lake em todas as contas de membros ativas ou em determinadas contas de membros.
Uma fonte de AWS WAF log está habilitada para o Security Lake em todas as contas de membros ativas ou em determinadas contas de membros.
As filas SQS do Security Lake na conta do administrador delegado são criptografadas com uma chave gerenciada pelo cliente.
A fila de mensagens mortas do Security Lake SQS na conta do administrador delegado é criptografada com uma chave gerenciada pelo cliente.
O bucket do Security Lake S3 é criptografado com uma chave gerenciada pelo cliente.
O bucket do Security Lake S3 tem uma política de recursos que restringe o acesso direto somente pelo Security Lake.

AWS WAF

Todas as CloudFront distribuições estão associadas a. AWS WAF
Todos os REST do Amazon API Gateway APIs estão associados AWS WAF a.
Todos os balanceadores de carga de aplicativos estão associados a. AWS WAF
Todos os AWS AppSync GraphQL APIs estão associados a. AWS WAF
Todos os grupos de usuários do Amazon Cognito estão associados a. AWS WAF
Todos os AWS App Runner serviços estão associados AWS WAF a.
Todas as Acesso Verificado pela AWS instâncias estão associadas AWS WAF a.
Todos os AWS Amplify aplicativos estão associados AWS WAF a.
AWS WAF o registro está ativado.
AWS WAF os registros são centralizados em um bucket do S3 na conta do Log Archive.

AWS Shield Advanced

A assinatura do Shield Advanced está ativada e configurada para renovação automática para todas as contas de aplicativos que tenham recursos voltados para o público.
O Shield Advanced está configurado para todas as CloudFront distribuições.
O Shield Advanced está configurado para todos os Application Load Balancers.
O Shield Advanced está configurado para todos os balanceadores de carga de rede.
O Shield Advanced está configurado para todas as zonas hospedadas do Route 53.
O Shield Advanced está configurado para todos os endereços IP elásticos.
O Shield Advanced está configurado para todos os aceleradores globais.
CloudWatch os alarmes são CloudFront configurados para recursos do Route 53 protegidos pelo Shield Advanced.
O acesso ao Shield Response Team (SRT) está configurado.
O engajamento proativo do Shield Advanced está ativado.
Os contatos de engajamento proativo do Shield Advanced estão configurados.
Os recursos protegidos do Shield Advanced têm uma AWS WAF regra personalizada configurada.
Os recursos protegidos do Shield Advanced têm a mitigação automática da camada de aplicação DDo S ativada.

AWS Resposta a incidentes de segurança

AWS O Security Incident Response está habilitado para toda a AWS organização.
O administrador delegado do AWS Security Incident Response está configurado para a conta do Security Tooling.
O fluxo de trabalho proativo de resposta e triagem de alertas está ativado.
AWS As ações de contenção da Equipe de Resposta a Incidentes do Cliente (CIRT) são autorizadas.

AWS Audit Manager

O Audit Manager está habilitado para todas as contas dos membros.
O Audit Manager é ativado automaticamente para novas contas de membros.
O administrador delegado do Audit Manager está configurado para a conta do Security Tooling.
AWS Config está habilitado como pré-requisito para o Audit Manager.
Uma chave gerenciada pelo cliente é usada para dados armazenados no Audit Manager.
O destino padrão do relatório de avaliação está configurado.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Construindo sua arquitetura de segurança — uma abordagem em fases

Recursos do IAM