As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 e v1.4.0
O CIS AWS Foundations Benchmark serve como um conjunto de melhores práticas de configuração de segurança para. AWS Essas melhores práticas aceitas pelo setor fornecem procedimentos claros de step-by-step implementação e avaliação. Variando de sistemas operacionais a serviços em nuvem e dispositivos de rede, as configurações aplicadas a partir de um benchmark protegem os sistemas específicos que sua organização usa.
AWS Security Hub suporta o CIS AWS Foundations Benchmark v1.2.0 e v1.4.0.
Esta página lista IDs e títulos de controle de segurança. Nas regiões AWS GovCloud (US) Region e na China, IDs e títulos de controle específicos do padrão são usados. A tabela a seguir mostra o mapeamento de IDs e títulos de controle de segurança para IDs e títulos de controle específicos do padrão.
Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0
O satisfez os requisitos de segurança do CIS Software Certification e recebeu a CIS Security Software Certification para as seguintes referências da CIS:
-
Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 1
-
Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 2
Controles que se aplicam ao CIS AWS Foundations Benchmark v1.2.0
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs
[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”
[Config.1] AWS Config deve estar habilitado
[EC2.2] O grupo de segurança padrão da VPC não deve permitir o tráfego de entrada e saída
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs
[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22
[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389
[IAM.1] As políticas do não devem permitir privilégios administrativos completos "*"
[IAM.2] Os usuários do não devem ter políticas do IAM anexadas
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
[IAM.4] A chave de acesso do usuário raiz do não deve existir
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
As credenciais de usuário do IAM não utilizadas devem ser removidas
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula
1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula
1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo
Certifique-se de que política de senha do IAM exija pelo menos um número
1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais
1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas
1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos
A rotação de AWS KMS teclas [KMS.4] deve estar ativada
Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0
O Security Hub é compatível com a versão 1.4.0 do CIS Foundations Benchmark AWS .
Controles que se aplicam ao CIS AWS Foundations Benchmark v1.4.0
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs
[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”
[Config.1] AWS Config deve estar habilitado
[EC2.2] O grupo de segurança padrão da VPC não deve permitir o tráfego de entrada e saída
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs
[EC2.7] A criptografia padrão do EBS deve estar ativada
As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389
[IAM.1] As políticas do não devem permitir privilégios administrativos completos "*"
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
[IAM.4] A chave de acesso do usuário raiz do não deve existir
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais
1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas
As credenciais de usuário do IAM não utilizadas devem ser removidas
A rotação de AWS KMS teclas [KMS.4] deve estar ativada
[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações para usar SSL
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada
CIS AWS Foundations Benchmark v1.2.0 em comparação com v1.4.0
Esta seção resume as diferenças entre o Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 e v1.2.0. O Security Hub oferece suporte às duas versões desse padrão.
nota
Recomendamos atualizar para o CIS AWS Foundations Benchmark v1.4.0 para se manter atualizado sobre as melhores práticas de segurança, mas você pode ter a v1.4.0 e a v1.2.0 habilitadas ao mesmo tempo. Para ter mais informações, consulte Disabling or enabling a security standard (Desabilitar ou habilitar um padrão de segurança). Se você quiser atualizar para a v1.4.0, é melhor habilitar a v1.4.0 antes de desabilitar a v1.2.0. Se você usa a integração do Security Hub com AWS Organizations para gerenciar centralmente várias contas e quiser habilitar em lote a v1.4.0 em todas elas (e, opcionalmente, desativar a v1.2.0), você pode executar um script de várias contas do Security Hub
Controles que existem no CIS AWS Foundations Benchmark v1.4.0, mas não na v1.2.0
Os controles a seguir foram adicionados no CIS AWS Foundations Benchmark v1.4.0. Esses controles não estão incluídos no CIS AWS Foundations Benchmark v1.2.0.
ID do controle de segurança | Requisito do CISv1.4.0 | Títulos de controles |
---|---|---|
2.2.1 |
2.2.1 Certifique-se de que a criptografia de volume do EBS esteja ativada |
|
5.1 |
5.1 Garanta que nenhuma ACL de rede permita a entrada de 0.0.0.0/0 para as portas de administração do servidor remoto |
|
1.12 |
1.3 Certifique-se de que as credenciais não usadas por 90 dias ou mais sejam desativadas |
|
2.3.1 |
2.3.1 Certifique-se de que a criptografia esteja habilitada para instâncias do RDS |
|
2.1.5.1 |
A configuração do S3 Block Public Access deve estar habilitada |
|
2.1.2 |
2.1.2 Certifique-se de que a política de bucket do S3 esteja configurada para negar solicitações HTTP |
|
2.1.5.2 |
A configuração de acesso público do bloco S3 deve ser ativada no nível do bucket |
|
2.1.3 |
Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada |
Controles que existem no CIS AWS Foundations Benchmark v1.2.0, mas não na v1.4.0
Os controles a seguir existem somente no CIS AWS Foundations Benchmark v1.2.0. Esses controles não estão incluídos no CIS AWS Foundations Benchmark v1.4.0.
ID do controle de segurança | Requisito do CISv1.2.0 | Títulos de controles | Motivo não incluído na v1.4.0 |
---|---|---|---|
3.1 |
Certifique-se que um filtro e um alarme de métrica de logs existam para chamadas de API não autorizadas |
Verificação automática de que o Security Hub não suporta |
|
3.2 |
3.2 Certifique-se de que um filtro e um alarme de métrica de logs existam para login do AWS Management Console sem a MFA |
Verificação automática de que o Security Hub não suporta |
|
4.1 |
4.1 Certifique-se de nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 22 |
Use As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389 em vez disso. |
|
4.2 |
4.2 Certifique-se de que nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 3389 |
Verificação automática de que o Security Hub não suporta |
|
1.16 |
Os usuários do IAM não devem ter políticas do IAM anexadas |
Verificação automática de que o Security Hub não suporta |
|
1.3 |
1.3 Certifique-se de que as credenciais não usadas por 90 dias ou mais sejam desativadas |
Use As credenciais de usuário do IAM não utilizadas devem ser removidas em vez disso. |
|
1.5 |
Certifique-se que A política de senha do IAM exija pelo menos uma letra maiúscula |
Não é um requisito no CISv1.4.0 |
|
1.6 |
Certifique-se que a política de senha do IAM exija pelo menos uma letra minúscula |
Não é um requisito no CISv1.4.0 |
|
1,7 |
Certifique-se que política de senha do IAM exija pelo menos um símbolo |
Não é um requisito no CISv1.4.0 |
|
1.8 |
Certifique-se que política de senha do IAM exija pelo menos um número |
Não é um requisito no CISv1.4.0 |
|
1.11 |
Certifique-se que a política de senha do IAM expire senhas em até 90 dias ou menos |
Não é um requisito no CISv1.4.0 |
|
1.1 |
Evitar o uso do usuário raiz |
Use [CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root” em vez disso. |
Controles que existem no CIS AWS Foundations Benchmark v1.2.0 e v1.4.0
Os controles a seguir existem no CIS AWS Foundations Benchmark v1.2.0 e v1.4.0. Entretanto, os IDs dos controles e alguns dos títulos de controle diferem em cada versão.
ID do controle de segurança | Requisito do CISv1.2.0 | Título de controle no CISv1.2.0 | Requisito do CISv1.4.0 | Título de controle no CISv1.2.0 |
---|---|---|---|---|
2.1 |
Certifique-se de CloudTrail que está ativado em todas as regiões |
3.1 |
Certifique-se de CloudTrail que está ativado em todas as regiões |
|
2.7 |
Garanta que CloudTrail os registros sejam criptografados em repouso usando AWS KMS keys |
3.7 |
Garanta que CloudTrail os registros sejam criptografados em repouso usando AWS KMS keys |
|
2.2 |
Certifique-se de que a validação do arquivo de CloudTrail log esteja ativada |
3.2 |
Certifique-se de que a validação do arquivo de CloudTrail log esteja ativada |
|
2.4 |
Garanta que as CloudTrail trilhas sejam integradas aos CloudWatch registros |
3.4 |
Garanta que as CloudTrail trilhas sejam integradas aos CloudWatch registros |
|
2.3 |
Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público |
3.3 |
Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público |
|
2.6 |
Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3 |
3.6 |
Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3 |
|
1.1 3.3 |
1.1 Evitar o uso do usuário raiz 3.3 Certifique-se de que um filtro e um alarme de métrica de logs existam para uso da conta "raiz" |
1,7 |
1.7 Elimine o uso do usuário raiz para tarefas administrativas e diárias |
|
3.4 |
3.4 Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de política do IAM |
4.4 |
Verificar se existe um alarme e um filtro de métrica de log para alterações de política do IAM |
|
3.5 |
Certifique-se de que exista um filtro métrico de registro e um alarme para alteração CloudTrail de configuração |
4.5 |
Certifique-se de que exista um filtro métrico de registro e um alarme para alteração CloudTrail de configuração |
|
3.6 |
3.6 Certifique-se de que um filtro e um alarme de métrica de logs existam para falhas de autenticação do |
4.6 |
3.6 Certifique-se de que um filtro e um alarme de métrica de logs existam para falhas de autenticação do |
|
3.7 |
3.7 Certifique-se de que um filtro e um alarme de métrica de logs existam para a desativação ou exclusão programada de CMKs criadas pelo cliente |
4.7 |
3.7 Certifique-se de que um filtro e um alarme de métrica de logs existam para a desativação ou exclusão programada de CMKs criadas pelo cliente |
|
3.8 |
03.8 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política de bucket do S3 |
4.8 |
Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3 |
|
3.9 |
Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de configuração do AWS Config |
4,9 |
Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de configuração do AWS Config |
|
3.10 |
Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de grupo de segurança |
4.10 |
Verificar se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança |
|
3.11 |
Garanta que um filtro e um alarme de métrica de logs existem para alterações em listas de controle de acesso à rede (NACL) |
4.11 |
Verificar se existe um alarme e um filtro de métrica de log para alterações em listas de controle de acesso à rede (NACL) |
|
3.12 |
Garanta que um filtro e um alarme de métrica de logs existem para alterações em gateways de rede |
4.12 |
Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede |
|
3.13 |
Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de tabela de rotas |
4.13 |
Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas |
|
3,14 |
Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de VPC |
4.14 |
Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de VPC |
|
2,5 |
Certifique-se de AWS Config que está ativado |
3.5 |
Certifique-se de AWS Config que está ativado em todas as regiões |
|
4.3 |
4.3 Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego |
5.3 |
4.3 Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego |
|
2.9 |
2.9 Verifique se o registro de fluxo da VPC está ativado em todas as VPCs |
3.9 |
2.9 Verifique se o registro de fluxo da VPC está ativado em todas as VPCs |
|
1,22 |
Certifique-se que as políticas do IAM que permitem privilégios administrativos "*:*" completos não sejam criadas |
1.16 |
Certifique-se que as políticas do IAM que permitem privilégios administrativos "*:*" completos não sejam criadas |
|
1.4 |
1.4 Certifique-se de que as chaves de acesso sejam mudadas a cada 90 dias ou menos |
1.14 |
1.4 Certifique-se de que as chaves de acesso sejam mudadas a cada 90 dias ou menos |
|
1.12 |
Certifique-se de que não exista nenhuma chave de acesso do usuário raiz |
1.4 |
1.12 Certifique-se de que não existam chaves de acesso da conta raiz |
|
1.2 |
1.2 Certifique-se de que a autenticação multifator (MFA) esteja ativada para todos os usuários do IAM que têm uma senha do console |
1.10 |
1.2 Certifique-se de que a autenticação multifator (MFA) esteja ativada para todos os usuários do IAM que têm uma senha do console |
|
1.14 |
1.14 Certifique-se de que MFA de hardware esteja habilitada para a conta "raiz" |
1.6 |
1.14 Certifique-se de que MFA de hardware esteja habilitada para a conta "raiz" |
|
1.13 |
1.13 Certifique-se de que MFA esteja habilitada para a conta "raiz" |
1.5 |
1.13 Certifique-se de que MFA esteja habilitada para a conta "raiz" |
|
1.9 |
Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais |
1.8 |
1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais |
|
1.10 |
Certifique-se que a política de senha do IAM impeça a reutilização de senhas |
1.9 |
Certifique-se que a política de senha do IAM impeça a reutilização de senhas |
|
1,20 |
Garanta que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support |
1.17 |
Garanta que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support |
|
2.8 |
2.8 Verifique se a alternância para as CMKs criadas pelo cliente está habilitada |
3.8 |
2.8 Verifique se a alternância para as CMKs criadas pelo cliente está habilitada |
Formato de campos de descobertas para o CIS AWS Foundations Benchmark v1.4.0
Ao habilitar o CIS AWS Foundations Benchmark v1.4.0, você começará a receber descobertas no AWS Security Finding Format (ASFF). Para essas descobertas, os campos específicos do padrão farão referência à v1.4.0. Para o CIS AWS Foundations Benchmark v1.4.0, observe o seguinte formato para GeneratorIDe quaisquer campos ASFF que façam referência ao Amazon Resource Name (ARN) padrão.
-
ARN padrão —
arn:partition:
securityhub
:region
:account-id
:standards/cis-aws-foundations-benchmark/v/1.4.0 -
GeneratorID
–cis-aws-foundations-benchmark/v/1.4.0/
control ID
Você pode chamar a operação GetEnabledStandardsda API para descobrir o ARN de um padrão.
nota
Quando você ativa o CIS AWS Foundations Benchmark v1.4.0, o Security Hub pode levar até 18 horas para gerar descobertas para controles que usam a mesma regra AWS Config vinculada ao serviço dos controles habilitados em outros padrões habilitados. Para ter mais informações, consulte Programar a execução de verificações de segurança.
Os campos de descobertas serão diferentes se você tiver ativado as descobertas de controle consolidadas. Para obter mais informações sobre essas diferenças, consulte Impacto da consolidação nos campos e valores do ASFF. Para exemplos de descobertas de controle do CIS com a consolidação ativada e desativada, consulte Exemplo de descobertas de controle.
Verificações de segurança do CIS Foundations que não são compatíveis com o
Esta seção resume os requisitos do CIS que atualmente não são suportados no Security Hub. O Center for Internet Security (CIS) é uma organização independente e sem fins lucrativos que estabelece esses requisitos.
Verificações de segurança do CIS AWS Foundations Benchmark v1.2.0 que não são suportadas no Security Hub
Os seguintes requisitos do CIS AWS Foundations Benchmark v1.2.0 não são atualmente suportados no Security Hub.
Verificações manuais que não são suportadas
O Security Hub se concentra em verificações de segurança automatizadas. Como resultado, o Security Hub não suporta os seguintes requisitos do CIS AWS Foundations Benchmark v1.2.0 porque eles exigem verificações manuais de seus recursos:
-
1.15 Certifique-se de que as perguntas de segurança sejam registradas na conta da
-
1.17 Manter detalhes de contato atuais
-
1.18 Verifique se as informações de contato de segurança estão registradas
-
1.19 Verifique se as funções de instância do são usadas para acessar recursos da em instâncias
-
1.21 Não configurar chaves de acesso durante a configuração inicial do usuário para todos os usuários do IAM que têm uma senha do console
-
4.4 Certifique-se de que as tabelas de rotas para o emparelhamento de VPCs sejam de "acesso mínimo"
O Security Hub suporta todas as verificações automatizadas do CIS AWS Foundations Benchmark v1.2.0.
Verificações de segurança do CIS AWS Foundations Benchmark v1.4.0 que não são suportadas no Security Hub
Os seguintes requisitos do CIS AWS Foundations Benchmark v1.4.0 não são atualmente suportados no Security Hub.
Verificações manuais que não são suportadas
O Security Hub se concentra em verificações de segurança automatizadas. Como resultado, o Security Hub não suporta os seguintes requisitos do CIS AWS Foundations Benchmark v1.4.0 porque eles exigem verificações manuais de seus recursos:
-
1.17 Manter detalhes de contato atuais
-
1.18 Verifique se as informações de contato de segurança estão registradas
-
1.15 Certifique-se de que as perguntas de segurança sejam registradas na conta da
-
1.21 Não configurar chaves de acesso durante a configuração inicial do usuário para todos os usuários do IAM que têm uma senha do console
-
1.19 Verifique se as funções de instância do são usadas para acessar recursos do IAM em instâncias
-
1.21 — Garanta que os usuários do IAM sejam gerenciados centralmente por meio de federação de identidades ou AWS Organizations para ambientes com várias contas
-
2.1.4 — Garanta que todos os dados no Amazon S3 tenham sido descobertos, classificados e protegidos quando necessário
-
4.4 Certifique-se de que as tabelas de rotas para o emparelhamento de VPCs sejam de "acesso mínimo"
Verificações automatizadas que não são suportadas
O Security Hub não suporta os seguintes requisitos do CIS AWS Foundations Benchmark v1.4.0 que dependem de verificações automatizadas:
-
1.13 — Certifique-se de que haja apenas uma chave de acesso ativa disponível para qualquer usuário do IAM
-
1.15 — Garanta que os usuários do IAM recebam permissões somente por meio de grupos
-
1.19 — Certifique-se de que todos os certificados SSL/TLS expirados armazenados no IAM sejam removidos
-
1.20 — Certifique-se de que o IAM Access Analyzer esteja habilitado para todas as regiões
-
3.10 — Certifique-se de que o registro em nível de objeto para eventos de gravação esteja habilitado para buckets do S3
-
3.11 — Certifique-se de que o registro em nível de objeto para eventos de leitura esteja habilitado para buckets do S3
-
3.1 Certifique-se de que um filtro e um alarme de métrica de logs existam para chamadas de API não autorizadas
-
3.2 Certifique-se de que um filtro e um alarme de métrica de logs existam para login do sem a MFA
-
4.3 — Certifique-se de que exista um filtro métrico de log e um alarme para o uso da conta raiz (isso é semelhante ao requisito automatizado, 1.7 - Eliminar o uso do usuário raiz para tarefas administrativas e diárias, que é suportado no Security Hub)
-
3.14 AWS Organizations Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de VPC
-
4.2 Certifique-se de nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 3389