Log de alterações dos controles do CSPM do Security Hub
O log de alterações a seguir rastreia alterações materiais nos controles de segurança existentes do CSPM do AWS Security Hub, o que pode resultar em alterações no status geral de um controle e no status de conformidade de suas descobertas. Para obter informações sobre como o CSPM do Security Hub avalia o status do controle, consulte Avaliação do status de conformidade e do status de controle. As alterações podem levar alguns dias após sua entrada nesse log para afetar todas as Regiões da AWS em que o controle está disponível.
Esse log rastreia as mudanças ocorridas desde abril de 2023. Escolha um controle para revisar detalhes adicionais sobre ele. As alterações de título são observadas na descrição detalhada do controle por 90 dias.
| Data da mudança | Título e ID do controle | Descrição de alteração |
|---|---|---|
| 23 de outubro de 2025 | [ElastiCache.1] Os clusters do ElastiCache (Redis OSS) devem ter o backup automático habilitado | O CSPM do Security Hub reverteu as alterações feitas no título, na descrição e na regra desse controle em 14 de outubro de 2025. |
| 22 de outubro de 2025 | [CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado | O CSPM do Security Hub atualizou esse controle para não gerar descobertas para distribuições do Amazon CloudFront que usem origens personalizadas. |
| 16 de outubro de 2025 | [CloudFront.15] As distribuições do CloudFront devem usar a política de segurança de TLS recomendada | Esse controle verifica se uma distribuição do Amazon CloudFront está configurada para usar uma política de segurança de TLS recomendada. O CSPM do Security Hub agora oferece suporte a |
| 14 de outubro de 2025 | [ElastiCache.1] Os clusters do ElastiCache (Redis OSS) devem ter o backup automático habilitado | O CSPM do Security Hub alterou o título, a descrição e a regra desse controle. Anteriormente, o controle verificava os clusters do Redis OSS e todos os grupos de replicação usando a Regra elasticache-redis-cluster-automatic-backup-check. O título do controle era: Os clusters do ElastiCache (Redis OSS) devem ter os backups automáticos habilitados. Esse controle agora verifica os clusters do Valkey, além dos clusters do Redis OSS e todos os grupos de replicação, usando a regra elasticache-automatic-backup-check-enabled. O novo título e a descrição refletem que o controle verifica os dois tipos de clusters. |
| 5.º de outubro de 2025 | [Opensearch.10] Os domínios do OpenSearch devem ter a atualização de software mais recente instalada | A regra para esse controle foi atualizada para também gerar uma descoberta |
| 24 de setembro de 2025 | [Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão [RedshiftServerless.7] Os namespaces do Redshift sem servidor não devem usar o nome do banco de dados padrão |
O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões aplicáveis. O CSPM do Security Hub retirou esses controles devido às limitações inerentes do Amazon Redshift que impediam a correção efetiva das descobertas Anteriormente, os controles se aplicavam ao padrão Práticas Recomendadas de Segurança Básica da AWS (FSBP) e ao padrão NIST SP 800-53 Rev. 5. O controle Redshift.9 também se aplica ao padrão gerenciado por serviço do AWS Control Tower. |
| 9 de setembro de 2025 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Esse controle verifica se as configurações de runtime de uma função do AWS Lambda correspondem aos valores esperados para os runtimes com suporte em cada linguagem. O CSPM do Security Hub não oferece mais suporte ao |
| 13 de agosto de 2025 | [SageMaker.5] Os modelos do SageMaker devem ter o isolamento de rede habilitado | O CSPM do Security Hub alterou o título e a descrição desse controle. Os novos título e descrição refletem com mais precisão que o controle verifica a configuração do parâmetro |
| 13 de agosto de 2025 | [EFS.6] Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização | O CSPM do Security Hub alterou o título e a descrição desse controle. Os novos título e descrição refletem com mais precisão o escopo e a natureza da verificação que o controle executa. Anteriormente, o título desse controle era: EFS mount targets should not be associated with a public subnet. |
| 24 de julho de 2025 | [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | Esse controle verifica se um cluster do Amazon EKS está sendo executado em uma versão do Kubernetes com suporte. O CSPM do Security Hub alterou o valor do parâmetro para esse controle de |
| 23 de julho de 2025 | [EC2.173] Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS | O CSPM do Security Hub alterou o título desse controle. O novo título reflete com mais precisão que o controle verifica apenas as solicitações da frota spot do Amazon EC2 que especifiquem parâmetros de lançamento. Anteriormente, o título desse controle era: EC2 Spot Fleet requests should enable encryption for attached EBS volumes. |
| 30 de junho de 2025 | 1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo | O CSPM do Security Hub removeu esse controle do padrão PCI DSS v4.0.1. O PCI DSS v4.0.1 não exige explicitamente o uso de símbolos nas senhas. |
| 30 de junho de 2025 | 1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos | O CSPM do Security Hub removeu esse controle do padrão NIST SP 800-171 Revisão 2. O NIST SP 800-171 Revisão 2 não exige explicitamente períodos de expiração de senhas de 90 dias ou menos. |
| 30 de junho de 2025 | [RDS.16] Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados | O CSPM do Security Hub alterou o título desse controle. O novo título reflete com mais precisão que o controle verifica apenas os clusters de banco de dados Amazon Aurora. Anteriormente, o título desse controle era: RDS DB clusters should be configured to copy tags to snapshots. |
| 30 de junho de 2025 | [SageMaker.8] As instâncias de notebook do SageMaker devem ser executadas em plataformas com suporte | Esse controle verifica se uma instância de notebook do Amazon SageMaker AI está configurada para ser executada em uma plataforma com suporte, com base no identificador da plataforma especificado para a instância de notebook. O CSPM do Security Hub não oferece mais suporte a |
| 30 de maio de 2025 | [IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes | O CSPM do Security Hub removeu esse controle do padrão PCI DSS v4.0.1. Esse controle verifica se as políticas de senha da conta para usuários do IAM atendem aos requisitos mínimos, incluindo um tamanho mínimo de senha de 7 caracteres. O PCI DSS v4.0.1 agora exige que as senhas tenham no mínimo 8 caracteres. O controle continua a ser aplicado ao padrão PCI DSS v3.2.1, que tem requisitos de senha diferentes. Para avaliar as políticas de senha da conta em relação aos requisitos do PCI DSS v4.0.1, é possível usar o controle IAM.7. Esse controle exige que as senhas tenham no mínimo 8 caracteres. Ele também oferece suporte a valores personalizados para tamanho da senha e outros parâmetros. O controle IAM.7 faz parte do padrão PCI DSS v4.0.1 no CSPM do Security Hub. |
| 8 de maio de 2025 | [RDS.46] As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet | O CSPM do Security Hub reverteu o lançamento do controle RDS.46 em todas as Regiões da AWS. Anteriormente, esse controle oferecia suporte ao padrão Práticas Recomendadas de Segurança Básica da AWS (FSBP). |
| 7 de abril de 2025 | [ELB.17] Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas | Esse controle verifica se o receptor de HTTPS para um Application Load Balancer ou o receptor de TLS para um Network Load Balancer está configurado para criptografar dados em trânsito usando uma política de segurança recomendada. O CSPM do Security Hub agora oferece suporte a dois parâmetros adicionais para esse controle: |
| 27 de março de 2025 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Esse controle verifica se as configurações de runtime de uma função do AWS Lambda correspondem aos valores esperados para os runtimes com suporte em cada linguagem. O CSPM do Security Hub agora oferece suporte a |
| 26 de março de 2025 | [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. Para o parâmetro |
| 10 de março de 2025 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Esse controle verifica se as configurações de runtime de uma função do AWS Lambda correspondem aos valores esperados para os runtimes com suporte em cada linguagem. O CSPM do Security Hub não oferece mais suporte a |
| 07 de março de 2025 | [RDS.18] As instâncias do RDS devem ser implantadas em uma VPC | O CSPM do Security Hub removeu esse controle do padrão Práticas Recomendadas de Segurança Básica da AWS e automatizou os requisitos do NIST SP 800-53 Rev. 5. Como a rede do Amazon EC2-Classic foi descontinuada, instâncias do Amazon Relational Database Service (Amazon RDS) não podem mais ser implantadas fora de uma VPC. O controle continua fazendo parte do padrão gerenciado por serviço do AWS Control Tower. |
| 10 de janeiro de 2025 | [Glue.2] Os trabalhos do AWS Glue devem ter o registro em log habilitado | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. |
| 20 de dezembro de 2024 | EC2.61 até EC2.169 | O CSPM do Security Hub reverteu o lançamento dos controles EC2.61 até EC2.169. |
| 12 de dezembro de 2024 | [RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados | O RDS.23 verifica se um cluster ou uma instância do Amazon Relational Database Service (Amazon RDS) usa uma porta diferente da porta padrão do mecanismo de banco de dados. Atualizamos o controle para que a regra AWS Config subjacente retorne um resultado NOT_APPLICABLE pata instâncias do RDS que façam parte de um cluster. |
| 2 de dezembro de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub agora oferece suporte a nodejs22.x como parâmetro. |
| 26 de novembro de 2024 | [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. A versão mais antiga com suporte agora é a 1.29. |
| 20 de novembro de 2024 | [Config.1] O AWS Config deve estar habilitado e usar o perfil vinculado ao serviço para gravação de recursos | Config.1 verifica se o AWS Config está habilitado, usa o perfil vinculado ao serviço e registra os recursos para os controles habilitados. O CSPM do Security Hub aumentou a gravidade desse controle de Para receber uma descoberta |
| 12 de novembro de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub agora oferece suporte a python3.13 como parâmetro. |
| 11 de outubro de 2024 | Controles do ElastiCache | Títulos de controle alterados para ElastiCache.3, ElastiCache.4, ElastiCache.5 e ElastiCache.7. Os títulos não mencionam mais o Redis OSS porque os controles também se aplicam ao ElastiCache para Valkey. |
| 27 de setembro de 2024 | [ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos | Título do controle alterado de O Application Load Balancer deve ser configurado para ignorar cabeçalhos http para O Application Load Balancer deve ser configurado para ignorar cabeçalhos http inválidos. |
| 19 de agosto de 2024 | Alterações de título nos controles DMS.12 e ElastiCache | Títulos de controles alterados para DMS.12 e ElastiCache.1 por meio do ElastiCache.7. Alteramos esses títulos para refletir uma mudança de nome do serviço Amazon ElastiCache (Redis OSS). |
| 15 de agosto de 2024 | [Config.1] O AWS Config deve estar habilitado e usar o perfil vinculado ao serviço para gravação de recursos | Config.1 verifica se o AWS Config está habilitado, usa o perfil vinculado ao serviço e registra os recursos para os controles habilitados. O CSPM do Security Hub adicionou um parâmetro de controle personalizado denominado includeConfigServiceLinkedRoleCheck. Definindo esse parâmetro como false, você pode optar por não verificar se o AWS Config usa o perfil vinculado ao serviço. |
| 31 de julho de 2024 | [IoT.1] Os perfis de segurança do AWS IoT Device Defender devem ser marcados | Título do controle alterado de Os perfis de segurança do AWS IoT Core devem ser marcados para Os perfis de segurança do AWS IoT Device Defender devem ser marcados. |
| 29 de julho de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub não oferece mais suporte a nodejs16.x como parâmetro. |
| 29 de julho de 2024 | [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. A versão compatível mais antiga é a 1.28. |
| 25 de junho de 2024 | [Config.1] O AWS Config deve estar habilitado e usar o perfil vinculado ao serviço para gravação de recursos | Esse controle verifica se o AWS Config está habilitado, usa o perfil vinculado ao serviço e registra os recursos para os controles habilitados. O CSPM do Security Hub atualizou o título do controle para refletir o que o controle avalia. |
| 14 de junho de 2024 | [RDS.34] Os clusters de banco de dados do MySQL devem publicar logs de auditoria no CloudWatch Logs | Esse controle verifica se um cluster de banco de dados MySQL do Amazon Aurora está configurado para publicar logs de auditoria no Amazon CloudWatch Logs. O CSPM do Security Hub atualizou o controle para que não gere descobertas para clusters do banco de dados do Aurora Serverless v1. |
| 11 de junho de 2024 | [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. A versão compatível mais antiga é a 1.27. |
| 10 de junho de 2024 | [Config.1] O AWS Config deve estar habilitado e usar o perfil vinculado ao serviço para gravação de recursos | Esse controle verifica se o AWS Config está habilitado e se a gravação de recursos do AWS Config está ativada. Anteriormente, o controle produzia uma descoberta PASSED somente se você configurasse a gravação para todos os recursos. O CSPM do Security Hub atualizou o controle para produzir uma descoberta PASSED quando o registro está ativado para os recursos necessários para os controles habilitados. O controle também foi atualizado para verificar se o perfil vinculado ao serviço AWS Config é usado, o que fornece permissões para registrar os recursos necessários. |
| 8 de maio de 2024 | [S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada | Esse controle verifica se um bucket versionado de uso geral do Amazon S3 tem a exclusão da autenticação multifator (MFA) habilitada. Anteriormente, o controle produzia uma descoberta FAILED para buckets com uma configuração de ciclo de vida. Porém, a exclusão da MFA com versionamento não pode ser habilitada em um bucket com uma configuração de ciclo de vida. O CSPM do Security Hub atualizou o controle para não produzir descobertas para buckets com uma configuração de ciclo de vida. O título de controle foi atualizado para refletir o comportamento atual. |
| 2 de maio de 2024 | [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | O CSPM do Security Hub atualizou a versão mais antiga do Kubernetes com suporte na qual o cluster do Amazon EKS pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.26. |
| 30 de abril de 2024 | [CloudTrail.3] Pelo menos uma trilha do CloudTrail deve estar habilitada | Título do controle alterado de O CloudTrail deve ser habilitado para Pelo menos uma trilha do CloudTrail deve ser habilitada. Atualmente, esse controle produz uma descoberta PASSED se a Conta da AWS tem pelo menos uma trilha do CloudTrail habilitada. O título e a descrição foram alterados para refletir com precisão o comportamento atual. |
| 29 de abril de 2024 | [PCI.AutoScaling.1] Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB | Título do controle alterado de Os grupos do Auto Scaling associados a um Classic Load Balancer devem usar verificações de integridade de balanceador de carga para Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB. Atualmente, esse controle avalia os balanceadores de carga de aplicações, gateways, redes e os balanceadores de carga clássicos. O título e a descrição foram alterados para refletir com precisão o comportamento atual. |
| 19 de abril de 2024 | [CloudTrail.1] O CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e salvamento | O controle verifica se o AWS CloudTrail está habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação. Anteriormente, o controle gerava descobertas PASSED incorretamente quando uma conta tinha o CloudTrail habilitado e configurado com pelo menos uma trilha multirregional, mesmo que nenhuma trilha capturasse eventos de gerenciamento de leitura e gravação. O controle agora gera uma descoberta PASSED somente quando o CloudTrail está habilitado e configurado com pelo menos uma trilha multirregional que capture eventos de gerenciamento de leitura e gravação. |
| 10 de abril de 2024 | [Athena.1] Os grupos de trabalho do Athena devem ser criptografados em repouso | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Os grupos de trabalho do Athena enviam logs para os buckets do Amazon Simple Storage Service (Amazon S3). O Amazon S3 agora fornece criptografia padrão com chaves gerenciadas pelo S3 (SS3-S3) em buckets do S3 novos e existentes. |
| 10 de abril de 2024 | [AutoScaling.4] A configuração de inicialização de grupo do Auto Scaling não deve ter um limite de saltos de resposta de metadados maior que 1 | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Os limites de saltos de resposta de metadados para instâncias do Amazon Elastic Compute Cloud (Amazon EC2) dependem da workload. |
| 10 de abril de 2024 | [CloudFormation.1] As pilhas do CloudFormation devem ser integradas ao Simple Notification Service (SNS) | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Integrar as pilhas do AWS CloudFormation a tópicos do Amazon SNS não é mais uma prática recomendada de segurança. Embora a integração de pilhas importantes do CloudFormation a tópicos do SNS possa ser útil, não é necessária para todas as pilhas. |
| 10 de abril de 2024 | [CodeBuild.5] Os ambientes de projeto do CodeBuild não devem ter o modo privilegiado ativado | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Ativar o modo privilegiado em um projeto do CodeBuild não gera risco adicional para o ambiente do cliente. |
| 10 de abril de 2024 | [IAM.20] Evitar o uso do usuário-raiz | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. O objetivo desse controle é coberto por outro controle, Um filtro de métrica de log e um alarme devem existir para o uso do usuário "raiz". |
| 10 de abril de 2024 | [SNS.2] O registro em log do status de entrega deve ser habilitado para mensagens de notificação enviadas a um tópico | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Registrar em log o status de entrega dos tópicos do SNS não é mais uma prática recomendada de segurança. Embora o registro em log do status de entrega de tópicos importantes do SNS possa ser útil, não é necessário para todos os tópicos. |
| 10 de abril de 2024 | [S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida | O CSPM do Security Hub removeu esse controle das Práticas Recomendadas de Segurança Básica da AWS e do padrão gerenciado por serviço: AWS Control Tower. O objetivo desse controle é coberto por outros dois controles, [S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida e [S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado. Esse controle ainda faz parte do NIST SP 800-53 Rev. 5. |
| 10 de abril de 2024 | [S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas | O CSPM do Security Hub removeu esse controle das Práticas Recomendadas de Segurança Básica da AWS e do padrão gerenciado por serviço: AWS Control Tower. Embora haja alguns casos em que as notificações de eventos para buckets do S3 sejam úteis, essa não é uma prática recomendada de segurança universal. Esse controle ainda faz parte do NIST SP 800-53 Rev. 5. |
| 10 de abril de 2024 | [SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS | O CSPM do Security Hub removeu esse controle das Práticas Recomendadas de Segurança Básica da AWS e do padrão gerenciado por serviço: AWS Control Tower. Por padrão, o SNS criptografa tópicos em repouso com criptografia em disco. Para obter mais informações, consulte Criptografia de dados. Usar o AWS KMS para criptografar tópicos não é mais recomendado como prática recomendada de segurança. Esse controle ainda faz parte do NIST SP 800-53 Rev. 5. |
| 8 de abril de 2024 | [ELB.6] A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada | Título do controle alterado de A proteção contra exclusão do Application Load Balancer deve estar habilitada para Os balanceadores de carga de aplicações, gateways e redes devem ter a proteção contra exclusão habilita. Atualmente, esse controle avalia os balanceadores de carga de aplicações, gateways e redes. O título e a descrição foram alterados para refletir com precisão o comportamento atual. |
| 22 de março de 2024 | [Opensearch.8] As conexões com os domínios do OpenSearch devem ser criptografadas com a política de segurança TLS mais recente | Título do controle alterado de As conexões com os domínios do OpenSearch devem ser criptografadas usando o TLS 1.2 para As conexões com os domínios do OpenSearch devem ser criptografadas usando a política de segurança TLS mais recente. Anteriormente, o controle verificava apenas se as conexões com os domínios do OpenSearch usavam o TLS 1.2. O controle agora produz uma descoberta PASSED se os domínios do OpenSearch forem criptografados usando a política de segurança TLS mais recente. O título do controle foi atualizado para refletir o comportamento atual. |
| 22 de março de 2024 | [ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente | Título do controle alterado de As conexões com os domínios do Elasticsearch devem ser criptografadas usando o TLS 1.2 para As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente. Anteriormente, o controle verificava apenas se as conexões com os domínios do Elasticsearch usavam o TLS 1.2. O controle agora produz uma descoberta PASSED se os domínios do Elasticsearch forem criptografados usando a política de segurança TLS mais recente. O título do controle foi atualizado para refletir o comportamento atual. |
| 12 de março de 2024 | [S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas | Título alterado de A configuração de bloqueio do acesso público do S3 deve estar habilitada para Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura | Título alterado de Os buckets do S3 devem proibir o acesso público para leitura para Os buckets de uso geral do S3 devem bloquear o acesso público para leitura. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação | Título alterado de Os buckets do S3 devem proibir o acesso público para gravação para Os buckets de uso geral do S3 devem bloquear o acesso público para gravação. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL | Título alterado de Os buckets do S3 devem exigir que as solicitações usem Secure Socket Layer para Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outras Contas da AWS | Título alterado de As permissões do S3 concedidas a outras Contas da AWS nas políticas de bucket devem ser restritas para As políticas de bucket de uso geral do S3 devem restringir o acesso a outras Contas da AWS. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões | Título alterado de Os buckets do S3 devem ter a replicação entre regiões habilitada para Os buckets de uso geral do S3 devem usar replicação entre regiões. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões | Título alterado de Os buckets do S3 devem ter a replicação entre regiões habilitada para Os buckets de uso geral do S3 devem usar replicação entre regiões. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público | Título alterado de A configuração de bloqueio do acesso público do S3 deve estar habilitada ao nível do bucket para Os buckets de uso geral do S3 devem bloquear o acesso público. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado | Título alterado de O registro em log de acesso ao servidor de buckets do S3 deve ser habilitado para O registro em log de acesso ao servidor deve ser habilitado para os buckets de uso geral do S3. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.10] Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida | O título alterado de Os buckets do S3 com versionamento habilitado devem ter políticas de ciclo de vida configuradas para Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas | Título alterado de Os buckets do S3 devem ter as notificações de eventos habilitadas para Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.12] As ACLs não devem ser usadas para gerenciar o acesso de usuários a buckets de uso geral do S3 | Título alterado de As listas de controle de acesso (ACLs) não devem ser usadas para gerenciar o acesso a buckets para As ACLs não devem ser usadas para gerenciar o acesso de usuários aos buckets de uso geral do S3. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida | Título alterado de Os buckets do S3 devem ter políticas de ciclo de vida configuradas para Os buckets de uso geral do S3 devem ter configurações de ciclo de vida. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado | Título alterado de Os buckets do S3 deve usar versionamento para Os buckets de uso geral do S3 devem ter o versionamento habilitado. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado | Título alterado de Os buckets do S3 devem ser configurados para usar o Bloqueio de Objetos para Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 12 de março de 2024 | [S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys | Título alterado de Os buckets do S3 devem ser criptografados em repouso com AWS KMS keys para Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys. O CSPM do Security Hub alterou o título para dar conta de um novo tipo de bucket do S3. |
| 7 de março de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub agora oferece suporte a nodejs20.x e ruby3.3 como parâmetros. |
| 22 de fevereiro de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub agora oferece suporte a dotnet8 como parâmetro. |
| 5 de fevereiro de 2024 | [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | O CSPM do Security Hub atualizou a versão mais antiga do Kubernetes com suporte na qual o cluster do Amazon EKS pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.25. |
| 10 de janeiro de 2024 | [CodeBuild.1] Os URLs dos repositórios Bitbucket de fontes do CodeBuild não devem conter credenciais confidenciais | Título alterado de Os URLs de repositório de fontes GitHub ou Bitbucket do Codebuild devem usar OAuth para Os URLs de repositórios Bitbucket de fontes do CodeBuild não devem conter credenciais confidenciais. O CSPM do Security Hub removeu a menção ao OAuth porque outros métodos de conexão também podem ser seguros. O CSPM do Security Hub removeu a menção ao GitHub porque não é mais possível ter um token de acesso pessoal ou nome de usuário e senha nos URLs de repositório de origem do GitHub. |
| 8 de janeiro de 2024 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub não oferece mais suporte a go1.x e java8 como parâmetros porque esses são runtimes descontinuados. |
| 29 de dezembro de 2023 | [RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada | O RDS.8 verifica se uma instância de banco de dados Amazon RDS que use um dos mecanismos de banco de dados com suporte tem a proteção contra exclusão habilitada. O CSPM do Security Hub agora oferece suporte a custom-oracle-ee, oracle-ee-cdb e oracle-se2-cdb como mecanismos de banco de dados. |
| 22 de dezembro de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub agora oferece suporte a java21 e python3.12 como parâmetros. O CSPM do Security Hub não oferece mais suporte a ruby2.7 como parâmetro. |
| 15 de dezembro de 2023 | [CloudFront.1] As distribuições do CloudFront devem ter um objeto raiz padrão configurado | O CloudFront.1 verifica se uma distribuição do Amazon CloudFront tem um objeto raiz padrão configurado. O CSPM do Security Hub reduziu a gravidade desse controle de CRÍTICA para ALTA, pois adicionar o objeto raiz padrão é uma recomendação que depende da aplicação do usuário e dos requisitos específicos. |
| 5 de dezembro de 2023 | [EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22 | Título de controle alterado de Grupos de segurança não deve permitir a entrada de 0.0.0.0/0 na porta 22 para Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22. |
| 5 de dezembro de 2023 | [EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389 | Título de controle alterado de Certifique-se de que nenhum grupo de segurança permita a entrada de 0.0.0.0/0 na porta 3389 para Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389. |
| 5 de dezembro de 2023 | [RDS.9] As instâncias de banco de dados do RDS devem publicar logs no CloudWatch Logs | Título de controle alterado de O registro em log do banco de dados deve ser habilitado para As instâncias de banco de dados do RDS devem publicar logs no CloudWatch Logs. O CSPM do Security Hub identificou que esse controle só verifica se os logs estão publicados no Amazon CloudWatch Logs e não verifica se os logs do RDS estão habilitados. O controle produzirá uma descoberta PASSED se as instâncias de banco de dados do RDS estiverem configuradas para publicar logs no CloudWatch Logs. O título de controle foi atualizado para refletir o comportamento atual. |
| 5 de dezembro de 2023 | [EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado | Esse controle verifica se os clusters do Amazon EKS têm o registro em log de auditoria habilitado. A regra AWS Config que o CSPM do Security Hub usa para avaliar esse controle mudou de eks-cluster-logging-enabled para eks-cluster-log-enabled. |
| 17 de novembro de 2023 | [EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco | O EC2.19 verifica se o tráfego de entrada irrestrito para um grupo de segurança está acessível às portas especificadas que são consideradas de alto risco. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de novembro de 2023 | [CloudWatch.15] Os alarmes do CloudWatch devem ter ações configuradas especificadas | Título de controle alterado de Os alarmes do CloudWatch deve ter uma ação configurada para o estado ALARME para Os alarmes do CloudWatch devam ter ações especificadas configuradas. |
| 16 de novembro de 2023 | [CloudWatch.16] Os grupos de log do CloudWatch devem ser retidos por um período de tempo especificado | Título de controle alterado de Os grupos de logs do CloudWatch devem ser retidos por pelo menos 1 ano para Os grupos de logs do CloudWatch devem ser retidos por um período de tempo especificado. |
| 16 de novembro de 2023 | [Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade | Título de controle alterado de As funções do Lambda da VPC devem operar em mais de uma zona de disponibilidade para As funções do Lambda da VPC devem operar em várias zonas de disponibilidade. |
| 16 de novembro de 2023 | [AppSync.2] AWS AppSync deve ter o registro em log em nível de campo habilitado | Título de controle alterado de O AWS AppSync ter o registro em log em nível de solicitação e em nível de campo ativado para O AWS AppSync deve ter o registro em log em nível de campo habilitado. |
| 16 de novembro de 2023 | [EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos | Título de controle alterado de Os nós principais do cluster do Amazon Elastic MapReduce não devem ter endereços IP públicos para Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos. |
| 16 de novembro de 2023 | [Opensearch.2] Os domínios do OpenSearch não devem ser publicamente acessíveis | Título de controle alterado de Os domínios do OpenSearch devem estar em uma VPC para Os domínios do OpenSearch não devem ser acessíveis publicamente. |
| 16 de novembro de 2023 | [ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis | Título de controle alterado de Os domínios do Elasticsearch devem estar em uma VPC para Os domínios do Elasticsearch não devem ser acessíveis publicamente. |
| 31 de outubro de 2023 | [ES.4] O registro em log de erros do domínio Elasticsearch no CloudWatch Logs deve ser ativado | O ES.4 verifica se os domínios do Elasticsearch estão configurados para enviar logs de erro para o Amazon CloudWatch Logs. Anteriormente, o controle produziu uma descoberta PASSED para um domínio do Elasticsearch que tem todos os logs configurados para serem enviados ao CloudWatch Logs. O CSPM do Security Hub atualizou o controle para produzir uma descoberta PASSED apenas para um domínio do Elasticsearch configurado para enviar logs de erros ao CloudWatch Logs. O controle também foi atualizado para excluir as versões do Elasticsearch que não oferecem suporte a logs de erros da avaliação. |
| 16 de outubro de 2023 | [EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22 | O EC2.13 verifica se os grupos de segurança permitem acesso de entrada irrestrito à porta 22. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de outubro de 2023 | [EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389 | O EC2.14 verifica se os grupos de segurança permitem acesso irrestrito à porta 3389. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de outubro de 2023 | [EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas | O EC2.18 verifica se os grupos de segurança em uso não permitem tráfego de entrada irrestrito. O CSPM do Security Hub atualizou esse controle para contabilizar as listas de prefixos gerenciadas quando elas forem fornecidas como fonte para uma regra de grupo de segurança. O controle produzirá uma descoberta FAILED se as listas de prefixos contiverem as cadeias de caracteres '0.0.0.0/0' ou '::/0'. |
| 16 de outubro de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub agora oferece suporte a python3.11 como parâmetro. |
| 4 de outubro de 2023 | [S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões | O CSPM do Security Hub adicionou o parâmetro ReplicationType com um valor de CROSS-REGION para garantir que os buckets S3 tenham a replicação entre regiões habilitada em vez da replicação na mesma região. |
| 27 de setembro de 2023 | [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | O CSPM do Security Hub atualizou a versão mais antiga do Kubernetes com suporte na qual o cluster do Amazon EKS pode ser executado para produzir uma descoberta aprovada. A versão atual mais antiga compatível é o Kubernetes 1.24. |
| 20 de setembro de 2023 | [CloudFront.2] As distribuições do CloudFront devem ter a identificação de acesso de origem habilitada | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. Em vez disso, consulte [CloudFront.13] As distribuições do CloudFront devem usar o controle de acesso de origem. O controle de acesso à origem é a prática recomendada de segurança atual. Esse controle será removido da documentação em 90 dias. |
| 20 de setembro de 2023 | [PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos | O CSPM do Security Hub removeu esse controle das Práticas Recomendadas de Segurança Básica (FSBP) da AWS e do National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Ele ainda faz parte do padrão gerenciado por serviço: AWS Control Tower. Esse controle da produz uma descoberta aprovada se os grupos de segurança estiverem conectados a instâncias do EC2 ou a uma interface de rede elástica. No entanto, para determinados casos de uso, grupos de segurança independentes não representam um risco de segurança. É possível usar outros controles do EC2, como EC2.2, EC2.13, EC2.14, EC2.18 e EC2.19, para monitorar seus grupos de segurança. |
| 20 de setembro de 2023 | [EC2.29] As instâncias do EC2 devem ser lançadas em uma VPC | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. O Amazon EC2 migrou instâncias do EC2-Classic para uma VPC. Esse controle será removido da documentação em 90 dias. |
| 20 de setembro de 2023 | [S3.4] Os buckets do S3 devem ter a criptografia no lado do servidor habilitada | O CSPM do Security Hub descontinuou esse controle e o removeu de todos os padrões. O Amazon S3 agora fornece criptografia padrão com chaves gerenciadas pelo S3 (SS3-S3) em buckets do S3 novos e existentes. As configurações de criptografia permanecem inalteradas para buckets existentes que são criptografados com criptografia SS3-S3 ou SS3-KMS do lado do servidor. Esse controle será removido da documentação em 90 dias. |
| 14 de setembro de 2023 | [EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída | Título de controle alterado de O grupo de segurança padrão da VPC não deve permitir tráfego de entrada e saída para Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída. |
| 14 de setembro de 2023 | [IAM.9] A MFA deve estar habilitada para o usuário raiz | Título de controle alterado de Virtual MFA deve ser habilitado para o usuário raiz para MFA deve ser habilitado para o usuário raiz. |
|
14 de setembro de 2023 |
[RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster | Título de controle alterado de Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do cluster para As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos do cluster. |
| 14 de setembro de 2023 | [RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados | Título de controle alterado de Uma assinatura de notificações de eventos RDS deve ser configurada para eventos críticos de instância de banco de dados para Assinaturas de notificação de eventos RDS existentes devem ser configuradas para eventos críticos de instância de banco de dados. |
| 14 de setembro de 2023 | [WAF.2] As regras AWS WAF Classic Regional devem ter pelo menos uma condição | Título de controle alterado de Uma regra regional do WAF deve ter pelo menos uma condição para as regras regionais clássicas do AWS WAF devem ter pelo menos uma condição. |
| 14 de setembro de 2023 | [WAF.3] Os grupos de regras AWS WAF Classic Regional devem ter pelo menos uma regra | Título de controle alterado de Um grupo de regras regionais do WAF deve ter pelo menos uma regra para grupos de regras regionais clássicas AWS WAF devem ter pelo menos uma regra. |
| 14 de setembro de 2023 | [WAF.4] As AWS WAF Classic Regional web ACLs devem ter pelo menos uma regra ou grupo de regras | Título de controle alterado de Uma ACL da web regional do WAF deve ter pelo menos uma regra ou grupo de regras para ACLs da web regionais clássicas do AWS WAF devem ter pelo menos uma regra ou grupo de regras. |
| 14 de setembro de 2023 | [WAF.6] As regras AWS WAF Classic Regional devem ter pelo menos uma condição | Título de controle alterado de Uma regra global do WAF deve ter pelo menos uma condição para As regras globais clássicas do AWS WAF devem ter pelo menos uma condição. |
| 14 de setembro de 2023 | [WAF.7] Os grupos de regras AWS WAF Classic global devem ter pelo menos uma regra | Título de controle alterado de Um grupo de regras globais do WAF deve ter pelo menos uma regra para grupos de regras globais clássicas do AWS WAF devem ter pelo menos uma regra. |
| 14 de setembro de 2023 | [WAF.8] As web ACLs AWS WAF Classic global devem ter pelo menos uma regra ou grupo de regras | Título de controle alterado de Uma ACL da Web global do WAF deve ter pelo menos uma regra ou grupo de regras para ACLs da Web globais clássicas do AWS WAF devem ter pelo menos uma regra ou grupo de regras. |
| 14 de setembro de 2023 | [WAF.10] As AWS WAF web ACLs devem ter pelo menos uma regra ou grupo de regras | Título de controle alterado de Uma ACL da web do WAFv2 deve ter pelo menos uma regra ou grupo de regras para as ACLs da web do AWS WAF devem ter pelo menos uma regra ou grupo de regras. |
| 14 de setembro de 2023 | [WAF.11] O registro em log de ACL da web do AWS WAF deve estar ativado | Título de controle alterado de ACL da web v2 do AWS WAF deve ser ativada para o logging de ACL da web do AWS WAF deve ser ativado. |
|
20 de julho de 2023 |
[S3.4] Os buckets do S3 devem ter a criptografia no lado do servidor habilitada | S3.4 verifica se um bucket do Amazon S3 tem criptografia no lado do servidor habilitada ou se a política do bucket do S3 nega explicitamente solicitações do PutObject sem criptografia no lado do servidor. O CSPM do Security Hub atualizou esse controle para incluir criptografia no lado do servidor de camada dupla com chaves do KMS (DSSE-KMS). O controle produz uma descoberta aprovada quando um bucket do S3 é criptografado com SSE-S3, SSE-KMS ou DSSE-KMS. |
| 17 de julho de 2023 | [S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys | O S3.17 verifica se um bucket do Amazon S3 está criptografado com um AWS KMS key. O CSPM do Security Hub atualizou esse controle para incluir criptografia no lado do servidor de camada dupla com chaves do KMS (DSSE-KMS). O controle produz uma descoberta aprovada quando um bucket do S3 é criptografado com SSE-KMS ou DSSE-KMS. |
| 9 de junho de 2023 | [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes | O EKS.2 verifica se um cluster do Amazon EKS está sendo executado em uma versão compatível do Kubernetes. A versão mais antiga compatível agora é 1.23. |
| 9 de junho de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub agora oferece suporte a ruby3.2 como parâmetro. |
| 5 de junho de 2023 | [APIGateway.5] Os dados do cache da API REST de Gateway devem ser criptografados em repouso | APIgateway.5. verifica se todos os métodos nos estágios da API REST do Amazon API Gateway estão criptografados em repouso. O CSPM do Security Hub atualizou o controle para avaliar a criptografia de um método específico somente quando o armazenamento em cache estiver habilitado para esse método. |
| 18 de maio de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub agora oferece suporte a java17 como parâmetro. |
| 18 de maio de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub não oferece mais suporte a nodejs12.x como parâmetro. |
| 23 de abril de 2023 | [ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate | O ECS.10 verifica se os serviços do Amazon ECS Fargate estão executando a versão da plataforma Fargate mais recente. Os clientes podem implantar o Amazon ECS diretamente por meio do ECS ou usando o CodeDeploy. O CSPM do Security Hub atualizou esse controle para produzir descobertas aprovadas quando você usa o CodeDeploy para implantar serviços ECS Fargate. |
| 20 de abril de 2023 | [S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outras Contas da AWS | O S3.6 verifica se uma política de bucket do Amazon Simple Storage Service (Amazon S3) impede que entidades principais de Contas da AWS terceiras executem ações negadas em recursos do bucket do S3. O CSPM do Security Hub atualizou o controle para considerar as condicionais em uma política de bucket. |
| 18 de abril de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub agora oferece suporte a python3.10 como parâmetro. |
| 18 de abril de 2023 | [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis | Lambda.2 verifica se as configurações de runtimes da função do AWS Lambda correspondem aos valores esperados definidos para os runtimes compatíveis em cada idioma. O CSPM do Security Hub não oferece mais suporte a dotnetcore3.1 como parâmetro. |
| 17 de abril de 2023 | [RDS.11] As instâncias do RDS devem ter backups automáticos habilitados | O RDS.11 verifica se as instâncias do Amazon RDS têm backups automatizados habilitados, com um período de retenção de backup maior ou igual a sete dias. O CSPM do Security Hub atualizou esse controle para excluir réplicas de leitura da avaliação, pois nem todos os mecanismos oferecem suporte a backups automatizados em réplicas de leitura. Além disso, o RDS não oferece a opção de especificar um período de retenção de backup ao criar réplicas de leitura. As réplicas de leitura são criadas com um período de retenção de backup de 0 por padrão. |
