As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Referências do CIS AWS Foundations
O Center for Internet Security (CIS) AWS Foundations Benchmark serve como um conjunto de melhores práticas de configuração de segurança para. AWS Essas melhores práticas aceitas pelo setor fornecem procedimentos claros de step-by-step implementação e avaliação. Variando de sistemas operacionais a serviços em nuvem e dispositivos de rede, as configurações aplicadas a partir de um benchmark protegem os sistemas específicos que sua organização usa.
AWS Security Hub suporta o CIS AWS Foundations Benchmark v3.0.0, 1.4.0 e v1.2.0.
Esta página lista os controles de segurança que cada versão suporta e fornece uma comparação das versões.
Referência do CIS AWS Foundations v3.0.0
O Security Hub é compatível com a versão 3.0.0 do CIS AWS Foundations Benchmark.
O satisfez os requisitos de segurança do CIS Software Certification e recebeu a CIS Security Software Certification para as seguintes referências da CIS:
-
Benchmark CIS para CIS AWS Foundations Benchmark, v3.0.0, Nível 1
-
Benchmark CIS para CIS AWS Foundations Benchmark, v3.0.0, Nível 2
Controles que se aplicam ao CIS AWS Foundations Benchmark v3.0.0
[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[Config.1] AWS Config deve estar habilitado
[EC2.2] O grupo de segurança padrão da VPC não deve permitir o tráfego de entrada e saída
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs
[EC2.7] A criptografia padrão do EBS deve estar ativada
As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389
[IAM.2] Os usuários do não devem ter políticas do IAM anexadas
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
[IAM.4] A chave de acesso do usuário raiz do não deve existir
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais
1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas
As credenciais de usuário do IAM não utilizadas devem ser removidas
[IAM.26] Certificados SSL/TLS expirados gerenciados no IAM devem ser removidos
[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloudShellFullAccess
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado
A rotação de AWS KMS teclas [KMS.4] deve estar ativada
[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.
[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso de SSL
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada
[S3.22] Os buckets de uso geral do S3 devem registrar eventos de gravação em nível de objeto
[S3.23] Os buckets de uso geral do S3 devem registrar eventos de leitura em nível de objeto
Referência do CIS AWS Foundations v1.4.0
O Security Hub é compatível com a versão 1.4.0 do CIS Foundations Benchmark AWS .
Controles que se aplicam ao CIS AWS Foundations Benchmark v1.4.0
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs
[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”
[Config.1] AWS Config deve estar habilitado
[EC2.2] O grupo de segurança padrão da VPC não deve permitir o tráfego de entrada e saída
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs
[EC2.7] A criptografia padrão do EBS deve estar ativada
As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389
[IAM.1] As políticas do não devem permitir privilégios administrativos completos "*"
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
[IAM.4] A chave de acesso do usuário raiz do não deve existir
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais
1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas
As credenciais de usuário do IAM não utilizadas devem ser removidas
A rotação de AWS KMS teclas [KMS.4] deve estar ativada
[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso de SSL
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada
Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0
O Security Hub é compatível com a versão 1.2.0 do CIS AWS Foundations Benchmark.
O satisfez os requisitos de segurança do CIS Software Certification e recebeu a CIS Security Software Certification para as seguintes referências da CIS:
-
Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 1
-
Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 2
Controles que se aplicam ao CIS AWS Foundations Benchmark v1.2.0
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs
[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”
[Config.1] AWS Config deve estar habilitado
[EC2.2] O grupo de segurança padrão da VPC não deve permitir o tráfego de entrada e saída
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs
[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22
[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389
[IAM.1] As políticas do não devem permitir privilégios administrativos completos "*"
[IAM.2] Os usuários do não devem ter políticas do IAM anexadas
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
[IAM.4] A chave de acesso do usuário raiz do não deve existir
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
As credenciais de usuário do IAM não utilizadas devem ser removidas
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula
1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula
1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo
Certifique-se de que política de senha do IAM exija pelo menos um número
1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais
1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas
1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos
A rotação de AWS KMS teclas [KMS.4] deve estar ativada
Comparação de versões para o CIS AWS Foundations Benchmark
Esta seção resume as diferenças entre os benchmark v3.0.0, v1.4.0 e v1.2.0 do Center for Internet Security (CIS) AWS Foundations.
O Security Hub oferece suporte a cada uma dessas versões do CIS AWS Foundations Benchmark, mas recomendamos usar a v3.0.0 para se manter atualizado sobre as melhores práticas de segurança. Você pode ter várias versões do padrão ativadas ao mesmo tempo. Para ter mais informações, consulte Disabling or enabling a security standard (Desabilitar ou habilitar um padrão de segurança). Se você quiser atualizar para a v3.0.0, é melhor ativá-la antes de desativar uma versão mais antiga. Se você usa a integração do Security Hub com AWS Organizations para gerenciar centralmente várias Contas da AWS e quiser habilitar em lote a v3.0.0 em todas as contas, poderá usar a configuração central.
Mapeamento de controles de acordo com os requisitos do CIS em cada versão
Entenda quais controles cada versão do CIS AWS Foundations Benchmark suporta.
| Título e ID do controle | Requisito CIS v3.0.0 | Requisito CIS v1.4.0 | Requisito CIS v1.2.0 |
|---|---|---|---|
|
[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS |
1.2 |
1.2 |
1,18 |
|
3.1 |
3.1 |
2.1 |
|
|
3.1 |
3.1 |
2.1 |
|
|
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada |
3.5 |
3.7 |
2.7 |
|
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada |
3.2 |
3.2 |
2.2 |
|
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs |
Não suportado — o CIS removeu esse requisito |
3.4 |
2.4 |
|
Não suportado — o CIS removeu esse requisito |
3.3 |
2.3 |
|
|
3.4 |
3.6 |
2.6 |
|
|
[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root” |
Não suportado — verificação manual |
4.3 |
3.3 |
|
Não suportado — verificação manual |
Não suportado — verificação manual |
3.1 |
|
|
Não suportado — verificação manual |
Não suportado — verificação manual |
3.2 |
|
|
Não suportado — verificação manual |
4.4 |
3.4 |
|
|
Não suportado — verificação manual |
4.5 |
3.5 |
|
|
Não suportado — verificação manual |
4.6 |
3.6 |
|
|
Não suportado — verificação manual |
4.7 |
3.7 |
|
|
Não suportado — verificação manual |
4.8 |
3.8 |
|
|
Não suportado — verificação manual |
4,9 |
3.9 |
|
|
Não suportado — verificação manual |
4.10 |
3.10 |
|
|
Não suportado — verificação manual |
4.11 |
3.11 |
|
|
Não suportado — verificação manual |
4.12 |
3.12 |
|
|
Não suportado — verificação manual |
4.13 |
3.13 |
|
|
Não suportado — verificação manual |
4.14 |
3.14 |
|
|
3.3 |
3.5 |
2,5 |
|
|
[EC2.2] O grupo de segurança padrão da VPC não deve permitir o tráfego de entrada e saída |
5.4 |
5.3 |
4.3 |
|
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs |
3.7 |
3.9 |
2.9 |
|
2.2.1 |
2.2.1 |
Não suportado |
|
|
As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2) |
5.6 |
Não suportado |
Sem suporte |
|
[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22 |
Não suportado — substituído pelos requisitos 5.2 e 5.3 |
Não suportado — substituído pelos requisitos 5.2 e 5.3 |
4.1 |
|
[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389 |
Não suportado — substituído pelos requisitos 5.2 e 5.3 |
Não suportado — substituído pelos requisitos 5.2 e 5.3 |
4.2 |
|
As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389 |
5.1 |
5.1 |
Não suportado |
|
5.2 |
Não suportado |
Sem suporte |
|
|
5.3 |
Não suportado |
Sem suporte |
|
|
2.4.1 |
Não suportado |
Não suportado |
|
|
[IAM.1] As políticas do não devem permitir privilégios administrativos completos "*" |
Sem suporte |
1.16 |
1,22 |
|
[IAM.2] Os usuários do não devem ter políticas do IAM anexadas |
1.15 |
Não suportado |
1.16 |
|
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos |
1.14 |
1.14 |
1.4 |
|
[IAM.4] A chave de acesso do usuário raiz do não deve existir |
1.4 |
1.4 |
1.12 |
|
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console |
1.10 |
1.10 |
1.2 |
|
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz |
1,6 |
1.6 |
1.14 |
|
As credenciais de usuário do IAM não utilizadas devem ser removidas |
Não suportado — veja As credenciais de usuário do IAM não utilizadas devem ser removidas em vez disso |
Não suportado — veja As credenciais de usuário do IAM não utilizadas devem ser removidas em vez disso |
1.3 |
|
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz |
1.5 |
1.5 |
1.13 |
|
1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula |
Não suportado — o CIS removeu esse requisito |
Não suportado — o CIS removeu esse requisito |
1.5 |
|
1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula |
Não suportado — o CIS removeu esse requisito |
Não suportado — o CIS removeu esse requisito |
1.6 |
|
1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo |
Não suportado — o CIS removeu esse requisito |
Não suportado — o CIS removeu esse requisito |
1,7 |
|
Certifique-se de que política de senha do IAM exija pelo menos um número |
Não suportado — o CIS removeu esse requisito |
Não suportado — o CIS removeu esse requisito |
1.8 |
|
1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais |
1.8 |
1.8 |
1.9 |
|
1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas |
1.9 |
1.9 |
1.10 |
|
1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos |
Não suportado — o CIS removeu esse requisito |
Não suportado — o CIS removeu esse requisito |
1.11 |
|
1.17 |
1.17 |
1.2 |
|
|
Não suportado — o CIS removeu esse requisito |
Não suportado — o CIS removeu esse requisito |
1.1 |
|
|
As credenciais de usuário do IAM não utilizadas devem ser removidas |
1.12 |
1.12 |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
|
[IAM.26] Certificados SSL/TLS expirados gerenciados no IAM devem ser removidos |
1,19 |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
|
[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloudShellFullAccess |
1,22 |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
|
[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve estar ativado |
1,20 |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
|
3.6 |
3.8 |
2.8 |
|
|
Não suportado — verificação manual |
Não suportado — verificação manual |
Não suportado — verificação manual |
|
|
2.3.3 |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
|
|
[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada. |
2.3.1 |
2.3.1 |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
|
[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas |
2.3.2 |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
|
2.1.4 |
2.1.5 |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
|
|
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso de SSL |
2.1.1 |
2.1.2 |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
|
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público |
2.1.4 |
2.1.5 |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
|
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada |
2.1.2 |
2.1.3 |
Não suportado — o CIS adicionou esse requisito em versões posteriores |
Referência de ARNs para CIS Foundations AWS
Ao habilitar uma ou mais versões do CIS AWS Foundations Benchmark, você começará a receber descobertas no AWS Security Finding Format (ASFF). No ASFF, cada versão usa o seguinte Amazon Resource Name (ARN):
- Referência do CIS AWS Foundations v3.0.0
arn:aws::securityhub:::standards/cis-aws-foundations-benchmark/v/3.0.0- Referência do CIS AWS Foundations v1.4.0
arn:aws::securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0- Referência do CIS AWS Foundations v1.2.0
arn:aws::securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
Você pode usar a GetEnabledStandardsoperação da API do Security Hub para descobrir o ARN de um padrão habilitado.
nota
Quando você habilita uma versão do CIS AWS Foundations Benchmark, o Security Hub pode levar até 18 horas para gerar descobertas para controles que usam a mesma regra AWS Config vinculada ao serviço dos controles habilitados em outros padrões habilitados. Para ter mais informações, consulte Programar a execução de verificações de segurança.
Os campos de localização serão diferentes se você ativar as descobertas de controle consolidadas. Para obter mais informações sobre essas diferenças, consulte Impacto da consolidação nos campos e valores do ASFF. Para obter os resultados do controle de amostras, consulteExemplo de descobertas de controle.
Requisitos do CIS que não são suportados no Security Hub
Conforme observado na tabela anterior, o Security Hub não suporta todos os requisitos do CIS em todas as versões do CIS Foundations AWS Benchmark. Muitos dos requisitos não suportados só podem ser avaliados manualmente por meio da análise do estado de seus AWS recursos.
