Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 e v1.4.0 - AWS Security Hub
Referência do CIS AWS Foundations v1.2.0Referência do CIS AWS Foundations v1.4.0CIS AWS Foundations Benchmark v1.2.0 em comparação com v1.4.0Formato de campos de descobertas para o CIS AWS Foundations Benchmark v1.4.0Verificações de segurança do CIS Foundations que não são compatíveis com o

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 e v1.4.0

O CIS AWS Foundations Benchmark serve como um conjunto de melhores práticas de configuração de segurança para. AWS Essas melhores práticas aceitas pelo setor fornecem procedimentos claros de step-by-step implementação e avaliação. Variando de sistemas operacionais a serviços em nuvem e dispositivos de rede, as configurações aplicadas a partir de um benchmark protegem os sistemas específicos que sua organização usa.

AWS Security Hub suporta o CIS AWS Foundations Benchmark v1.2.0 e v1.4.0.

Esta página lista IDs e títulos de controle de segurança. Nas regiões AWS GovCloud (US) Region e na China, IDs e títulos de controle específicos do padrão são usados. A tabela a seguir mostra o mapeamento de IDs e títulos de controle de segurança para IDs e títulos de controle específicos do padrão.

Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

O satisfez os requisitos de segurança do CIS Software Certification e recebeu a CIS Security Software Certification para as seguintes referências da CIS:

  • Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 1

  • Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 2

Controles que se aplicam ao CIS AWS Foundations Benchmark v1.2.0

[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação

[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada

[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada

[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs

[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente

[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3

[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”

[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas

[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA

[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM

[CloudWatch.5] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de CloudTrail AWS Config duração

[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de AWS Management Console autenticação

[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente

[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3

[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração

[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança

[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)

[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede

[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas

[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC

[Config.1] AWS Config deve estar habilitado

[EC2.2] O grupo de segurança padrão da VPC não deve permitir o tráfego de entrada e saída

[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs

[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389

[IAM.1] As políticas do não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Certifique-se de que política de senha do IAM exija pelo menos um número

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

Evitar o uso do usuário raiz

A rotação de AWS KMS teclas [KMS.4] deve estar ativada

Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0

O Security Hub é compatível com a versão 1.4.0 do CIS Foundations Benchmark AWS .

Controles que se aplicam ao CIS AWS Foundations Benchmark v1.4.0

[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação

[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada

[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada

[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs

[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente

[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3

[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”

[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM

[CloudWatch.5] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de CloudTrail AWS Config duração

[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de AWS Management Console autenticação

[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente

[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3

[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração

[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança

[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)

[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede

[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas

[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC

[Config.1] AWS Config deve estar habilitado

[EC2.2] O grupo de segurança padrão da VPC não deve permitir o tráfego de entrada e saída

[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs

[EC2.7] A criptografia padrão do EBS deve estar ativada

As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389

[IAM.1] As políticas do não devem permitir privilégios administrativos completos "*"

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

As credenciais de usuário do IAM não utilizadas devem ser removidas

A rotação de AWS KMS teclas [KMS.4] deve estar ativada

[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas

[S3.5] Os buckets de uso geral do S3 devem exigir solicitações para usar SSL

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

CIS AWS Foundations Benchmark v1.2.0 em comparação com v1.4.0

Esta seção resume as diferenças entre o Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 e v1.2.0. O Security Hub oferece suporte às duas versões desse padrão.

nota

Recomendamos atualizar para o CIS AWS Foundations Benchmark v1.4.0 para se manter atualizado sobre as melhores práticas de segurança, mas você pode ter a v1.4.0 e a v1.2.0 habilitadas ao mesmo tempo. Para ter mais informações, consulte Disabling or enabling a security standard (Desabilitar ou habilitar um padrão de segurança). Se você quiser atualizar para a v1.4.0, é melhor habilitar a v1.4.0 antes de desabilitar a v1.2.0. Se você usa a integração do Security Hub com AWS Organizations para gerenciar centralmente várias contas e quiser habilitar em lote a v1.4.0 em todas elas (e, opcionalmente, desativar a v1.2.0), você pode executar um script de várias contas do Security Hub a partir da conta do administrador.

Controles que existem no CIS AWS Foundations Benchmark v1.4.0, mas não na v1.2.0

Os controles a seguir foram adicionados no CIS AWS Foundations Benchmark v1.4.0. Esses controles não estão incluídos no CIS AWS Foundations Benchmark v1.2.0.

ID do controle de segurança Requisito do CISv1.4.0 Títulos de controles

EC2.7

2.2.1

2.2.1 Certifique-se de que a criptografia de volume do EBS esteja ativada

EC2.21

5.1

5.1 Garanta que nenhuma ACL de rede permita a entrada de 0.0.0.0/0 para as portas de administração do servidor remoto

IAM.15

1.12

1.3 Certifique-se de que as credenciais não usadas por 90 dias ou mais sejam desativadas

RDS. 3

2.3.1

2.3.1 Certifique-se de que a criptografia esteja habilitada para instâncias do RDS

S3.1

2.1.5.1

A configuração do S3 Block Public Access deve estar habilitada

S3.5

2.1.2

2.1.2 Certifique-se de que a política de bucket do S3 esteja configurada para negar solicitações HTTP

S3.8

2.1.5.2

A configuração de acesso público do bloco S3 deve ser ativada no nível do bucket

S3.20

2.1.3

Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

Controles que existem no CIS AWS Foundations Benchmark v1.2.0, mas não na v1.4.0

Os controles a seguir existem somente no CIS AWS Foundations Benchmark v1.2.0. Esses controles não estão incluídos no CIS AWS Foundations Benchmark v1.4.0.

ID do controle de segurança Requisito do CISv1.2.0 Títulos de controles Motivo não incluído na v1.4.0

CloudWatch.2

3.1

Certifique-se que um filtro e um alarme de métrica de logs existam para chamadas de API não autorizadas

Verificação automática de que o Security Hub não suporta

CloudWatch.3

3.2

3.2 Certifique-se de que um filtro e um alarme de métrica de logs existam para login do AWS Management Console sem a MFA

Verificação automática de que o Security Hub não suporta

EC2.13

4.1

4.1 Certifique-se de nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 22

Use As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389 em vez disso.

EC2.14

4.2

4.2 Certifique-se de que nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 3389

Verificação automática de que o Security Hub não suporta

IAM.2

1.16

Os usuários do IAM não devem ter políticas do IAM anexadas

Verificação automática de que o Security Hub não suporta

IAM.8

1.3

1.3 Certifique-se de que as credenciais não usadas por 90 dias ou mais sejam desativadas

Use As credenciais de usuário do IAM não utilizadas devem ser removidas em vez disso.

IAM.11

1.5

Certifique-se que A política de senha do IAM exija pelo menos uma letra maiúscula

Não é um requisito no CISv1.4.0

IAM.12

1.6

Certifique-se que a política de senha do IAM exija pelo menos uma letra minúscula

Não é um requisito no CISv1.4.0

IAM.13

1,7

Certifique-se que política de senha do IAM exija pelo menos um símbolo

Não é um requisito no CISv1.4.0

IAM.14

1.8

Certifique-se que política de senha do IAM exija pelo menos um número

Não é um requisito no CISv1.4.0

IAM.17

1.11

Certifique-se que a política de senha do IAM expire senhas em até 90 dias ou menos

Não é um requisito no CISv1.4.0

IAM.20

1.1

Evitar o uso do usuário raiz

Use [CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root” em vez disso.

Controles que existem no CIS AWS Foundations Benchmark v1.2.0 e v1.4.0

Os controles a seguir existem no CIS AWS Foundations Benchmark v1.2.0 e v1.4.0. Entretanto, os IDs dos controles e alguns dos títulos de controle diferem em cada versão.

ID do controle de segurança Requisito do CISv1.2.0 Título de controle no CISv1.2.0 Requisito do CISv1.4.0 Título de controle no CISv1.2.0

CloudTrail.1

2.1

Certifique-se de CloudTrail que está ativado em todas as regiões

3.1

Certifique-se de CloudTrail que está ativado em todas as regiões

CloudTrail.2

2.7

Garanta que CloudTrail os registros sejam criptografados em repouso usando AWS KMS keys

3.7

Garanta que CloudTrail os registros sejam criptografados em repouso usando AWS KMS keys

CloudTrail.4

2.2

Certifique-se de que a validação do arquivo de CloudTrail log esteja ativada

3.2

Certifique-se de que a validação do arquivo de CloudTrail log esteja ativada

CloudTrail5.

2.4

Garanta que as CloudTrail trilhas sejam integradas aos CloudWatch registros

3.4

Garanta que as CloudTrail trilhas sejam integradas aos CloudWatch registros

CloudTrail.6

2.3

Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público

3.3

Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público

CloudTrail7.

2.6

Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3

3.6

Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3

CloudWatch.1

1.1

3.3

1.1 Evitar o uso do usuário raiz

3.3 Certifique-se de que um filtro e um alarme de métrica de logs existam para uso da conta "raiz"

1,7

1.7 Elimine o uso do usuário raiz para tarefas administrativas e diárias

CloudWatch.4

3.4

3.4 Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de política do IAM

4.4

Verificar se existe um alarme e um filtro de métrica de log para alterações de política do IAM

CloudWatch5.

3.5

Certifique-se de que exista um filtro métrico de registro e um alarme para alteração CloudTrail de configuração

4.5

Certifique-se de que exista um filtro métrico de registro e um alarme para alteração CloudTrail de configuração

CloudWatch.6

3.6

3.6 Certifique-se de que um filtro e um alarme de métrica de logs existam para falhas de autenticação do

4.6

3.6 Certifique-se de que um filtro e um alarme de métrica de logs existam para falhas de autenticação do

CloudWatch7.

3.7

3.7 Certifique-se de que um filtro e um alarme de métrica de logs existam para a desativação ou exclusão programada de CMKs criadas pelo cliente

4.7

3.7 Certifique-se de que um filtro e um alarme de métrica de logs existam para a desativação ou exclusão programada de CMKs criadas pelo cliente

CloudWatch8.

3.8

03.8 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política de bucket do S3

4.8

Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3

CloudWatch9.

3.9

Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de configuração do AWS Config

4,9

Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de configuração do AWS Config

CloudWatch.10

3.10

Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de grupo de segurança

4.10

Verificar se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança

CloudWatch1.1

3.11

Garanta que um filtro e um alarme de métrica de logs existem para alterações em listas de controle de acesso à rede (NACL)

4.11

Verificar se existe um alarme e um filtro de métrica de log para alterações em listas de controle de acesso à rede (NACL)

CloudWatch1.2

3.12

Garanta que um filtro e um alarme de métrica de logs existem para alterações em gateways de rede

4.12

Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede

CloudWatch1.3

3.13

Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de tabela de rotas

4.13

Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas

CloudWatch1.4

3,14

Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de VPC

4.14

Certifique-se que um filtro e um alarme de métrica de logs existam para alterações de VPC

Config.1

2,5

Certifique-se de AWS Config que está ativado

3.5

Certifique-se de AWS Config que está ativado em todas as regiões

EC2.2

4.3

4.3 Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego

5.3

4.3 Verifique se o grupo de segurança padrão de cada VPC restringe todo o tráfego

EC2.6

2.9

2.9 Verifique se o registro de fluxo da VPC está ativado em todas as VPCs

3.9

2.9 Verifique se o registro de fluxo da VPC está ativado em todas as VPCs

IAM.1

1,22

Certifique-se que as políticas do IAM que permitem privilégios administrativos "*:*" completos não sejam criadas

1.16

Certifique-se que as políticas do IAM que permitem privilégios administrativos "*:*" completos não sejam criadas

IAM.3

1.4

1.4 Certifique-se de que as chaves de acesso sejam mudadas a cada 90 dias ou menos

1.14

1.4 Certifique-se de que as chaves de acesso sejam mudadas a cada 90 dias ou menos

IAM.4

1.12

Certifique-se de que não exista nenhuma chave de acesso do usuário raiz

1.4

1.12 Certifique-se de que não existam chaves de acesso da conta raiz

IAM.5

1.2

1.2 Certifique-se de que a autenticação multifator (MFA) esteja ativada para todos os usuários do IAM que têm uma senha do console

1.10

1.2 Certifique-se de que a autenticação multifator (MFA) esteja ativada para todos os usuários do IAM que têm uma senha do console

IAM.6

1.14

1.14 Certifique-se de que MFA de hardware esteja habilitada para a conta "raiz"

1.6

1.14 Certifique-se de que MFA de hardware esteja habilitada para a conta "raiz"

IAM.9

1.13

1.13 Certifique-se de que MFA esteja habilitada para a conta "raiz"

1.5

1.13 Certifique-se de que MFA esteja habilitada para a conta "raiz"

IAM.15

1.9

Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.8

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

IAM.16

1.10

Certifique-se que a política de senha do IAM impeça a reutilização de senhas

1.9

Certifique-se que a política de senha do IAM impeça a reutilização de senhas

IAM.18

1,20

Garanta que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

1.17

Garanta que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

KMS.4

2.8

2.8 Verifique se a alternância para as CMKs criadas pelo cliente está habilitada

3.8

2.8 Verifique se a alternância para as CMKs criadas pelo cliente está habilitada

Formato de campos de descobertas para o CIS AWS Foundations Benchmark v1.4.0

Ao habilitar o CIS AWS Foundations Benchmark v1.4.0, você começará a receber descobertas no AWS Security Finding Format (ASFF). Para essas descobertas, os campos específicos do padrão farão referência à v1.4.0. Para o CIS AWS Foundations Benchmark v1.4.0, observe o seguinte formato para GeneratorIDe quaisquer campos ASFF que façam referência ao Amazon Resource Name (ARN) padrão.

  • ARN padrãoarn:partition:securityhub:region:account-id:standards/cis-aws-foundations-benchmark/v/1.4.0

  • GeneratorIDcis-aws-foundations-benchmark/v/1.4.0/control ID

Você pode chamar a operação GetEnabledStandardsda API para descobrir o ARN de um padrão.

nota

Quando você ativa o CIS AWS Foundations Benchmark v1.4.0, o Security Hub pode levar até 18 horas para gerar descobertas para controles que usam a mesma regra AWS Config vinculada ao serviço dos controles habilitados em outros padrões habilitados. Para ter mais informações, consulte Programar a execução de verificações de segurança.

Os campos de descobertas serão diferentes se você tiver ativado as descobertas de controle consolidadas. Para obter mais informações sobre essas diferenças, consulte Impacto da consolidação nos campos e valores do ASFF. Para exemplos de descobertas de controle do CIS com a consolidação ativada e desativada, consulte Exemplo de descobertas de controle.

Verificações de segurança do CIS Foundations que não são compatíveis com o

Esta seção resume os requisitos do CIS que atualmente não são suportados no Security Hub. O Center for Internet Security (CIS) é uma organização independente e sem fins lucrativos que estabelece esses requisitos.

Verificações de segurança do CIS AWS Foundations Benchmark v1.2.0 que não são suportadas no Security Hub

Os seguintes requisitos do CIS AWS Foundations Benchmark v1.2.0 não são atualmente suportados no Security Hub.

Verificações manuais que não são suportadas

O Security Hub se concentra em verificações de segurança automatizadas. Como resultado, o Security Hub não suporta os seguintes requisitos do CIS AWS Foundations Benchmark v1.2.0 porque eles exigem verificações manuais de seus recursos:

  • 1.15 Certifique-se de que as perguntas de segurança sejam registradas na conta da

  • 1.17 Manter detalhes de contato atuais

  • 1.18 Verifique se as informações de contato de segurança estão registradas

  • 1.19 Verifique se as funções de instância do são usadas para acessar recursos da em instâncias

  • 1.21 Não configurar chaves de acesso durante a configuração inicial do usuário para todos os usuários do IAM que têm uma senha do console

  • 4.4 Certifique-se de que as tabelas de rotas para o emparelhamento de VPCs sejam de "acesso mínimo"

O Security Hub suporta todas as verificações automatizadas do CIS AWS Foundations Benchmark v1.2.0.

Verificações de segurança do CIS AWS Foundations Benchmark v1.4.0 que não são suportadas no Security Hub

Os seguintes requisitos do CIS AWS Foundations Benchmark v1.4.0 não são atualmente suportados no Security Hub.

Verificações manuais que não são suportadas

O Security Hub se concentra em verificações de segurança automatizadas. Como resultado, o Security Hub não suporta os seguintes requisitos do CIS AWS Foundations Benchmark v1.4.0 porque eles exigem verificações manuais de seus recursos:

  • 1.17 Manter detalhes de contato atuais

  • 1.18 Verifique se as informações de contato de segurança estão registradas

  • 1.15 Certifique-se de que as perguntas de segurança sejam registradas na conta da

  • 1.21 Não configurar chaves de acesso durante a configuração inicial do usuário para todos os usuários do IAM que têm uma senha do console

  • 1.19 Verifique se as funções de instância do são usadas para acessar recursos do IAM em instâncias

  • 1.21 — Garanta que os usuários do IAM sejam gerenciados centralmente por meio de federação de identidades ou AWS Organizations para ambientes com várias contas

  • 2.1.4 — Garanta que todos os dados no Amazon S3 tenham sido descobertos, classificados e protegidos quando necessário

  • 4.4 Certifique-se de que as tabelas de rotas para o emparelhamento de VPCs sejam de "acesso mínimo"

Verificações automatizadas que não são suportadas

O Security Hub não suporta os seguintes requisitos do CIS AWS Foundations Benchmark v1.4.0 que dependem de verificações automatizadas:

  • 1.13 — Certifique-se de que haja apenas uma chave de acesso ativa disponível para qualquer usuário do IAM

  • 1.15 — Garanta que os usuários do IAM recebam permissões somente por meio de grupos

  • 1.19 — Certifique-se de que todos os certificados SSL/TLS expirados armazenados no IAM sejam removidos

  • 1.20 — Certifique-se de que o IAM Access Analyzer esteja habilitado para todas as regiões

  • 3.10 — Certifique-se de que o registro em nível de objeto para eventos de gravação esteja habilitado para buckets do S3

  • 3.11 — Certifique-se de que o registro em nível de objeto para eventos de leitura esteja habilitado para buckets do S3

  • 3.1 Certifique-se de que um filtro e um alarme de métrica de logs existam para chamadas de API não autorizadas

  • 3.2 Certifique-se de que um filtro e um alarme de métrica de logs existam para login do sem a MFA

  • 4.3 — Certifique-se de que exista um filtro métrico de log e um alarme para o uso da conta raiz (isso é semelhante ao requisito automatizado, 1.7 - Eliminar o uso do usuário raiz para tarefas administrativas e diárias, que é suportado no Security Hub)

  • 3.14 AWS Organizations Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de VPC

  • 4.2 Certifique-se de nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 3389