Controles do Security Hub para Amazon EC2

Esses AWS Security Hub os controles avaliam o serviço e os recursos do Amazon Elastic Compute Cloud (AmazonEC2).

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.

[EC2.1] Os EBS snapshots da Amazon não devem ser restauráveis publicamente

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6, (3) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: crítica

Tipo de recurso: AWS::::Account

AWS Config regra: ebs-snapshot-public-restorable-check

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os instantâneos do Amazon Elastic Block Store não são públicos. O controle falhará se os EBS snapshots da Amazon puderem ser restaurados por qualquer pessoa.

EBSos snapshots são usados para fazer backup dos dados em seus EBS volumes no Amazon S3 em um momento específico. Você pode usar os instantâneos para restaurar os estados anteriores dos EBS volumes. Raramente é aceitável compartilhar um snapshot com o público. Normalmente, a decisão de compartilhar um snapshot publicamente era tomada erroneamente ou sem uma compreensão completa das implicações. Essa verificação ajuda a garantir que todo esse compartilhamento tenha sido totalmente planejado e intencional.

Correção

Para tornar um EBS instantâneo público privado, consulte Compartilhar um instantâneo no Guia EC2 do usuário da Amazon. Em Ações, modificar permissões, escolha Privado.

[EC2.2] grupos de segurança VPC padrão não devem permitir tráfego de entrada ou saída

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, v3.2.1/1.3.4, v3.2.1/2.1, PCI DSS PCI DSS CIS AWS Benchmark de fundações v1.2.0/4.3, CIS AWS Benchmark de fundações v1.4.0/5.3, CIS AWS Benchmark de fundamentos v3.0.0/5.4, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: vpc-default-security-group-closed

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o grupo de segurança padrão de a VPC permite tráfego de entrada ou saída. O controle falhará se o grupo de segurança permitir tráfego de entrada ou de saída.

As regras do grupo de segurança padrão permitem todo o tráfego de saída e entrada de interfaces de rede (e as instâncias associadas) que são atribuídas ao mesmo grupo de segurança. Recomendamos que você não use o grupo de segurança padrão. Como o grupo de segurança padrão não pode ser excluído, altere a configuração das regras do grupo de segurança padrão para restringir o tráfego de entrada e saída. Isso evita tráfego não intencional se o grupo de segurança padrão for configurado acidentalmente para recursos como EC2 instâncias.

Correção

Para corrigir esse problema, comece criando novos grupos de segurança com privilégios mínimos. Para obter instruções, consulte Criar um grupo de segurança no Guia VPC do usuário da Amazon. Em seguida, atribua os novos grupos de segurança às suas EC2 instâncias. Para obter instruções, consulte Alterar o grupo de segurança de uma instância no Guia EC2 do usuário da Amazon.

Depois de atribuir os novos grupos de segurança aos seus recursos, remova todas as regras de entrada e saída dos grupos de segurança padrão. Para obter instruções, consulte Configurar regras de grupos de segurança no Guia VPC do usuário da Amazon.

[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::EC2::Volume

AWS Config regra: encrypted-volumes

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os EBS volumes que estão em um estado anexado estão criptografados. Para passar nessa verificação, EBS os volumes devem estar em uso e criptografados. Se o EBS volume não estiver conectado, ele não estará sujeito a essa verificação.

Para uma camada adicional de segurança de seus dados confidenciais em EBS volumes, você deve habilitar a EBS criptografia em repouso. A EBS criptografia da Amazon oferece uma solução de criptografia simples para seus EBS recursos que não exige que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ele usa KMS chaves ao criar volumes e instantâneos criptografados.

Para saber mais sobre a EBS criptografia da Amazon, consulte a EBScriptografia da Amazon no Guia EC2 do usuário da Amazon.

Correção

Não há uma maneira direta de criptografar um volume ou instantâneo existente não criptografado. É possível criptografar um novo volume ou snapshot somente ao criá-lo.

Se você habilitou a criptografia por padrão, a Amazon EBS criptografa o novo volume ou snapshot resultante usando sua chave padrão para a criptografia da AmazonEBS. Mesmo se não tiver habilitado a criptografia por padrão, será possível habilitá-la ao criar um volume ou um snapshot individual. Em ambos os casos, você pode substituir a chave padrão da EBS criptografia da Amazon e escolher uma chave simétrica gerenciada pelo cliente.

Para obter mais informações, consulte Como criar um EBS volume da Amazon e copiar um EBS snapshot da Amazon no Guia do EC2 usuário da Amazon.

[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Identificar > Inventário

Severidade: média

Tipo de recurso: AWS::EC2::Instance

AWS Config regra: ec2-stopped-instance

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`AllowedDays`	Número de dias em que a EC2 instância pode ficar em um estado interrompido antes de gerar uma descoberta com falha.	Inteiro	`1` para `365`	`30`

Esse controle verifica se uma EC2 instância da Amazon foi interrompida por mais tempo do que o número permitido de dias. O controle falhará se uma EC2 instância for interrompida por mais tempo do que o período máximo permitido. A menos que você forneça um valor de parâmetro personalizado para o período de tempo máximo permitido, o Security Hub usará um valor padrão de 30 dias.

Quando uma EC2 instância não é executada por um período significativo de tempo, isso cria um risco de segurança porque a instância não está sendo mantida ativamente (analisada, corrigida, atualizada). Se for lançado posteriormente, a falta de manutenção adequada pode resultar em problemas inesperados em seu AWS meio ambiente. Para manter com segurança uma EC2 instância ao longo do tempo em um estado inativo, inicie-a periodicamente para manutenção e depois a interrompa após a manutenção. Idealmente, esse deve ser um processo automatizado.

Correção

Para encerrar uma EC2 instância inativa, consulte Encerrar uma instância no Guia do usuário da Amazon EC2.

[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs

Requisitos relacionados: CIS AWS Benchmark de fundações v1.2.0/2.9, CIS AWS Benchmark de fundações v1.4.0/3.9, CIS AWS Benchmark de fundações v3.0.0/3.7, PCI DSS v3.2.1/10.3.3, v3.2.1/10.3.4, v3.2.1/10.3.5, v3.2.1/10.3.6, (26), PCI DSS .800-53.r5 SI-7 (8) PCI DSS PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::EC2::VPC

AWS Config regra: vpc-flow-logs-enabled

Tipo de programação: Periódico

Parâmetros:

trafficType: REJECT (não personalizável)

Esse controle verifica se os Amazon VPC Flow Logs foram encontrados e habilitados paraVPCs. O tipo de tráfego está definido como Reject. O controle falhará se os registros de VPC fluxo não estiverem ativados VPCs em sua conta.

nota

Esse controle não verifica se os Amazon VPC Flow Logs estão habilitados por meio do Amazon Security Lake para o Conta da AWS.

Com o recurso VPC Flow Logs, você pode capturar informações sobre o tráfego de endereço IP que entra e sai das interfaces de rede em seuVPC. Depois de criar um registro de fluxo, você pode visualizar e recuperar seus dados em CloudWatch Registros. Para reduzir custos, você também pode enviar seus logs de fluxo para o Amazon S3.

O Security Hub recomenda que você habilite o registro de fluxo para rejeições de pacotes para. VPCs Os registros de fluxo fornecem visibilidade do tráfego de rede que atravessa o VPC e podem detectar tráfego anômalo ou fornecer informações durante os fluxos de trabalho de segurança.

Por padrão, o registro inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. Para obter mais informações e descrições dos campos de log, consulte VPCFlow Logs no Guia VPC do usuário da Amazon.

Correção

Para criar um registro VPC de fluxo, consulte Criar um registro de fluxo no Guia VPC do usuário da Amazon. Depois de abrir o VPC console da Amazon, escolha Seu VPCs. Em Filtrar, escolha Rejeitar ou Todos.

[EC2.7] a criptografia EBS padrão deve estar ativada

Requisitos relacionados: CIS AWS Benchmark de fundações v1.4.0/2.2.1, CIS AWS Benchmark de fundações v3.0.0/2.2.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST

Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest

Severidade: média

Tipo de recurso: AWS::::Account

AWS Config regra: ec2-ebs-encryption-by-default

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se a criptografia em nível de conta está habilitada por padrão para o Amazon Elastic Block Store (AmazonEBS). O controle falhará se a criptografia no nível da conta não estiver ativada.

Quando a criptografia está habilitada para sua conta, os EBS volumes e as cópias de snapshot da Amazon são criptografados em repouso. Isso adiciona uma camada adicional de proteção aos dados. Para obter mais informações, consulte Criptografia por padrão no Guia EC2 do usuário da Amazon.

Observe que os seguintes tipos de instância não oferecem suporte à criptografia: R1, C1 e M1.

Correção

Para configurar a criptografia padrão para EBS volumes da Amazon, consulte Criptografia por padrão no Guia EC2 do usuário da Amazon.

[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2

Requisitos relacionados: CIS AWS Benchmark de fundações v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoria: Proteger > Segurança de rede

Severidade: alta

Tipo de recurso: AWS::EC2::Instance

AWS Config regra: ec2-imdsv2-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a versão de metadados da EC2 instância está configurada com o Instance Metadata Service Version 2 ()IMDSv2. O controle passa se HttpTokens estiver definido como necessário paraIMDSv2. O controle falha se HttpTokens estiver definido como optional.

Você usa os metadados da instância para configurar ou gerenciar a instância em execução. IMDSFornece acesso a credenciais temporárias, frequentemente alternadas. Essas credenciais eliminam a necessidade de codificar ou distribuir credenciais confidenciais às instâncias manual ou programaticamente. O IMDS é anexado localmente a cada EC2 instância. Ele é executado em um endereço IP especial de “link local” de 169.254.169.254. Esse endereço IP só pode ser acessado pelo software executado na instância.

A versão 2 do IMDS adiciona novas proteções para os seguintes tipos de vulnerabilidades. Essas vulnerabilidades podem ser usadas para tentar acessar o. IMDS

Firewalls de aplicativos de sites abertos
Proxies reversos abertos
Vulnerabilidades de falsificação de solicitações do lado do servidor () SSRF
Firewalls de camada 3 abertos e tradução de endereços de rede () NAT

O Security Hub recomenda que você configure suas EC2 instâncias comIMDSv2.

Correção

Para configurar EC2 instâncias comIMDSv2, consulte Caminho recomendado para a solicitação IMDSv2 no Guia EC2 do usuário da Amazon.

[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4

Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: alta

Tipo de recurso: AWS::EC2::Instance

AWS Config regra: ec2-instance-no-public-ip

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se EC2 as instâncias têm um endereço IP público. O controle falhará se o publicIp campo estiver presente no item de configuração da EC2 instância. Esse controle se aplica somente aos IPv4 endereços.

Um IPv4 endereço público é um endereço IP que pode ser acessado pela Internet. Se você iniciar sua instância com um endereço IP público, ela EC2 poderá ser acessada pela Internet. Um IPv4 endereço privado é um endereço IP que não pode ser acessado pela Internet. Você pode usar IPv4 endereços privados para comunicação entre EC2 instâncias na mesma rede privada VPC ou na sua rede privada conectada.

IPv6os endereços são globalmente exclusivos e, portanto, podem ser acessados pela Internet. No entanto, por padrão, todas as sub-redes têm o atributo de IPv6 endereçamento definido como false. Para obter mais informações sobreIPv6, consulte o endereço IP VPC em seu Guia do VPC usuário da Amazon.

Se você tiver um caso de uso legítimo para manter EC2 instâncias com endereços IP públicos, poderá suprimir as descobertas desse controle. Para obter mais informações sobre as opções de arquitetura front-end, consulte AWS Blog de arquitetura ou a série This Is My Architecture AWS série de vídeos.

Correção

Use um endereço IP não padrão VPC para que sua instância não receba um endereço IP público por padrão.

Quando você executa uma EC2 instância em um padrãoVPC, ela recebe um endereço IP público. Quando você executa uma EC2 instância em uma instância não padrãoVPC, a configuração da sub-rede determina se ela recebe um endereço IP público. A sub-rede tem um atributo para determinar se novas EC2 instâncias na sub-rede recebem um endereço IP público do pool de IPv4 endereços públicos.

Você pode desassociar um endereço IP público atribuído automaticamente da sua instância. EC2 Para obter mais informações, consulte IPv4Endereços públicos e DNS nomes de host externos no Guia do EC2 usuário da Amazon.

[EC2.10] A Amazon EC2 deve ser configurada para usar VPC endpoints criados para o serviço Amazon EC2

Categoria: Proteger > Configuração de rede segura > acesso API privado

Severidade: média

Tipo de recurso: AWS::EC2::VPC

AWS Config regra: service-vpc-endpoint-enabled

Tipo de programação: Periódico

Parâmetros:

serviceName: ec2 (não personalizável)

Esse controle verifica se um endpoint de serviço para a Amazon foi EC2 criado para cada umVPC. O controle falhará se VPC a não tiver um VPC endpoint criado para o EC2 serviço da Amazon.

Esse controle avalia os recursos em uma única conta. Ela não pode descrever recursos que estão fora da conta. Porque AWS Config e o Security Hub não realizam verificações entre contas. Você verá FAILED descobertas VPCs que são compartilhadas entre contas. O Security Hub recomenda que você suprima essas descobertas FAILED.

Para melhorar sua postura de segurançaVPC, você pode configurar a Amazon EC2 para usar um VPC endpoint de interface. Os valores-limite da interface são desenvolvidos pelo AWS PrivateLink, uma tecnologia que permite acessar as EC2 API operações da Amazon de forma privada. Ele restringe todo o tráfego de rede entre você VPC e EC2 a Amazon à rede Amazon. Como os endpoints são suportados somente na mesma região, você não pode criar um endpoint entre um VPC e um serviço em uma região diferente. Isso evita EC2 API chamadas não intencionais da Amazon para outras regiões.

Para saber mais sobre a criação de VPC endpoints para a AmazonEC2, consulte Amazon EC2 e VPC endpoints de interface no Guia EC2 do usuário da Amazon.

Correção

Para criar um endpoint de interface para a Amazon a EC2 partir do VPC console da Amazon, consulte Criar um VPC endpoint no AWS PrivateLink Guia. Em Nome do serviço, escolha com.amazonaws.region.ec2.

Você também pode criar e anexar uma política de endpoint ao seu VPC endpoint para controlar o acesso à Amazon. EC2 API Para obter instruções sobre como criar uma política de VPC endpoint, consulte Criar uma política de endpoint no Guia EC2 do usuário da Amazon.

[EC2.12] A Amazon não utilizada EC2 EIPs deve ser removida

Requisitos relacionados: PCI DSS v3.2.1/2.4, NIST .800-53.r5 CM-8 (1)

Categoria: Proteger > Configuração de rede segura

Severidade: baixa

Tipo de recurso: AWS::EC2::EIP

AWS Config regra: eip-attached

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os endereços IP elásticos (EIP) alocados a a VPC estão vinculados a EC2 instâncias ou interfaces de rede elástica em uso ()ENIs.

Uma falha na descoberta indica que você pode não ter usado EC2EIPs.

Isso ajudará você a manter um inventário preciso de ativos EIPs em seu ambiente de dados do titular do cartão (CDE).

Correção

Para liberar um não utilizadoEIP, consulte Liberar um endereço IP elástico no Guia do EC2 usuário da Amazon.

[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22

Requisitos relacionados: CIS AWS Benchmark de fundamentos v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2,, (21), (11), (16), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (4), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: restricted-ssh

Tipo de programação: alteração acionada e periódica

Parâmetros: nenhum

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 ou: :/0 para a porta 22. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 22.

Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para AWS recursos. Recomendamos que nenhum grupo de segurança permita o acesso de entrada irrestrito à porta 22. Remover a conectividade irrestrita a serviços de console remoto, comoSSH, reduz a exposição do servidor ao risco.

Correção

Para proibir a entrada na porta 22, remova a regra que permite esse acesso para cada grupo de segurança associado a a. VPC Para obter instruções, consulte Atualizar as regras do grupo de segurança no Guia EC2 do usuário da Amazon. Depois de selecionar um grupo de segurança no EC2 console da Amazon, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 22.

[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389

Requisitos relacionados: CIS AWS Benchmark de fundações v1.2.0/4.2

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: restricted-common-ports(a regra criada érestricted-rdp)

Tipo de programação: alteração acionada e periódica

Parâmetros: nenhum

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 ou: :/0 para a porta 3389. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 3389.

Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para AWS recursos. Recomendamos que nenhum grupo de segurança de entrada para permitir acesso irrestrito a porta 3389. Remover a conectividade irrestrita a serviços de console remoto, comoRDP, reduz a exposição do servidor ao risco.

Correção

Para proibir a entrada na porta 3389, remova a regra que permite esse acesso para cada grupo de segurança associado a a. VPC Para obter instruções, consulte Atualizar as regras do grupo de segurança no Guia VPC do usuário da Amazon. Depois de selecionar um grupo de segurança no Amazon VPC Console, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 3389.

[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos

Categoria: Proteger > Segurança de rede

Severidade: média

Tipo de recurso: AWS::EC2::Subnet

AWS Config regra: subnet-auto-assign-public-ip-disabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a atribuição de público IPs nas sub-redes da Amazon Virtual Private Cloud (AmazonVPC) foi definida como. MapPublicIpOnLaunch FALSE O controle é aprovado se o sinalizador estiver definido como FALSE.

Todas as sub-redes têm um atributo que determina se uma interface de rede criada na sub-rede recebe automaticamente um endereço público. IPv4 As instâncias que são executadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à interface de rede primária.

Correção

Para configurar uma sub-rede para não atribuir endereços IP públicos, consulte Modificar o atributo de IPv4 endereçamento público para sua sub-rede no Guia VPC do usuário da Amazon. Desmarque a caixa de seleção Ativar atribuição automática de IPv4 endereço público.

[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas

Requisitos relacionados: NIST .800-53.r5 CM-8 (1)

Categoria: Proteger > Segurança de rede

Severidade: baixa

Tipo de recurso: AWS::EC2::NetworkAcl

AWS Config regra: vpc-network-acl-unused-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se há alguma lista de controle de acesso à rede não utilizada (redeACLs) em sua nuvem privada virtual (VPC). O controle falhará se a rede ACL não estiver associada a uma sub-rede. O controle não gera descobertas para uma rede ACL padrão não utilizada.

O controle verifica a configuração do item do recurso AWS::EC2::NetworkAcl e determina os relacionamentos da redeACL.

Se o único relacionamento for o VPC da redeACL, o controle falhará.

Se outros relacionamentos estiverem listados, o controle será aprovado.

Correção

Para obter instruções sobre como excluir uma rede não utilizadaACL, consulte Excluindo uma rede ACL no Guia do usuário da Amazon VPC. Você não pode excluir a rede padrão ACL ou uma ACL que esteja associada às sub-redes.

[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs

Requisitos relacionados: NIST.800-53.r5 AC-4 (21)

Categoria: Proteger > Segurança de rede

Severidade: baixa

Tipo de recurso: AWS::EC2::Instance

AWS Config regra: ec2-instance-multiple-eni-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma EC2 instância usa várias Elastic Network Interfaces (ENIs) ou Elastic Fabric Adapters (EFAs). Esse controle passa se um único adaptador de rede for usado. O controle inclui uma lista de parâmetros opcional para identificar os permitidosENIs. Esse controle também falhará se uma EC2 instância pertencente a um EKS cluster da Amazon usar mais de umENI. Se suas EC2 instâncias precisarem ter várias ENIs como parte de um EKS cluster da Amazon, você poderá suprimir essas descobertas de controle.

Várias ENIs podem causar instâncias com hospedagem dupla, ou seja, instâncias que têm várias sub-redes. Isso pode aumentar a complexidade da segurança da rede e introduzir caminhos e acessos de rede não intencionais.

Correção

Para separar uma interface de rede de uma EC2 instância, consulte Separar uma interface de rede de uma instância no Guia do EC2usuário da Amazon.

[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: vpc-sg-open-only-to-authorized-ports

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`authorizedTcpPorts`	Lista de TCP portas autorizadas	IntegerList (mínimo de 1 item e máximo de 32 itens)	`1` para `65535`	`[80,443]`
`authorizedUdpPorts`	Lista de UDP portas autorizadas	IntegerList (mínimo de 1 item e máximo de 32 itens)	`1` para `65535`	Nenhum valor padrão

Esse controle verifica se um grupo de EC2 segurança da Amazon permite tráfego de entrada irrestrito de portas não autorizadas. O status do controle é determinado da forma a seguir:

Se você usar o valor padrão para authorizedTcpPorts, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta que não seja as portas 80 e 443.
Se você fornecer valores personalizados para authorizedTcpPorts ou authorizedUdpPorts, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta não listada.
Se nenhum parâmetro for usado, o controle falhará em qualquer grupo de segurança que tenha uma regra de tráfego de entrada irrestrita.

Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para AWS. As regras do grupo de segurança devem seguir o princípio do acesso menos privilegiado. O acesso irrestrito (endereço IP com sufixo /0) aumenta a oportunidade de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. A menos que uma porta seja especificamente permitida, a porta deve negar acesso irrestrito.

Correção

Para modificar um grupo de segurança, consulte Trabalhar com grupos de segurança no Guia VPC do usuário da Amazon.

[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco

Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

Categoria: Proteger > Acesso restrito à rede

Severidade: crítica

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: restricted-common-ports(a regra criada évpc-sg-restricted-common-ports)

Tipo de programação: alteração acionada e periódica

Parâmetros: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300" (não personalizável)

Esse controle verifica se o tráfego de entrada irrestrito de um grupo EC2 de segurança da Amazon está acessível às portas especificadas que são consideradas de alto risco. Esse controle falhará se alguma das regras em um grupo de segurança permitir tráfego de entrada de '0.0.0.0/0' ou '::/0' nessas portas.

Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para AWS recursos. O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. Nenhum grupo de segurança deve permitir acesso irrestrito de entrada às seguintes portas:

20, 21 (FTP)
22 (SSH)
23 (Telnet)
25 (SMTP)
10 (POP3)
135 (RPC)
143 () IMAP
45 () CIFS
1433, 1434 () MSSQL
3000 (estruturas de desenvolvimento web Go, Node.js e Ruby)
3306 (my) SQL
389 () RDP
4333 (ahsp)
5000 (estruturas de desenvolvimento web em Python)
5432 (PostgreSQL)
500 (fcp-addr-srvr1)
5601 (Painéis) OpenSearch
8080 (proxy)
8088 (HTTPporta antiga)
8888 (HTTPporta alternativa)
9200 ou 9300 () OpenSearch

Correção

Para excluir regras de um grupo de segurança, consulte Excluir regras de um grupo de segurança no Guia EC2 do usuário da Amazon.

[EC2.20] Ambos os VPN túneis para um AWS A VPN conexão site a site deve estar ativa

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso:AWS::EC2::VPNConnection

AWS Config regra: vpc-vpn-2-tunnels-up

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Um VPN túnel é um link criptografado em que os dados podem passar da rede do cliente para ou de AWS dentro de um AWS Conexão site a site. VPN Cada VPN conexão inclui dois VPN túneis que você pode usar simultaneamente para alta disponibilidade. Garantir que os dois VPN túneis estejam prontos para uma VPN conexão é importante para confirmar uma conexão segura e altamente disponível entre um AWS VPCe sua rede remota.

Esse controle verifica se os dois VPN túneis fornecidos pelo AWS Site a site VPN estão no status UP. O controle falhará se um ou ambos os túneis estiverem em DOWN status.

Correção

Para modificar as opções de VPN túnel, consulte Modificando as opções de túnel de site a site na VPN AWS Guia do usuário site a site. VPN

[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389

Requisitos relacionados: CIS AWS Benchmark de fundações v1.4.0/5.1, CIS AWS Benchmark de fundações v3.0.0/5.1, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), (21) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso:AWS::EC2::NetworkAcl

AWS Config regra: nacl-no-unrestricted-ssh-rdp

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma lista de controle de acesso à rede (redeACL) permite acesso irrestrito às TCP portas padrão para o tráfego SSH RDP /ingress. O controle falhará se a ACL entrada de rede permitir um CIDR bloco de origem de '0.0.0.0/0' ou ': :/0' para as portas 22 ou 3389. TCP O controle não gera descobertas para uma rede padrãoACL.

O acesso às portas de administração remota do servidor, como a porta 22 (SSH) e a porta 3389 (RDP), não deve ser acessível ao público, pois isso pode permitir acesso não intencional aos recursos dentro do seu. VPC

Correção

Para editar as regras de ACL tráfego de rede, consulte Trabalhar com rede ACLs no Guia VPC do usuário da Amazon.

[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos

Importante

RETIREDFROMSPECIFICSTANDARDS— O Security Hub removeu esse controle em 20 de setembro de 2023 do AWS Padrão básico de melhores práticas de segurança e o NIST SP 800-53 Rev. 5. Esse controle ainda faz parte do Service-Managed Standard: AWS Control Tower. Esse controle produz uma descoberta aprovada se os grupos de segurança estiverem conectados a EC2 instâncias ou a uma interface de rede elástica. No entanto, para determinados casos de uso, grupos de segurança independentes não representam um risco de segurança. Você pode usar outros EC2 controles, como EC2 .2, EC2 .13, EC2 .14, EC2 .18 e EC2 .19, para monitorar seus grupos de segurança.

Categoria: Identificar > Inventário

Severidade: média

Tipo de recurso:AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

AWS Config regra: ec2-security-group-attached-to-eni-periodic

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se os grupos de segurança estão conectados às instâncias do Amazon Elastic Compute Cloud (AmazonEC2) ou a uma interface de rede elástica. O controle falhará se o grupo de segurança não estiver associado a uma EC2 instância da Amazon ou a uma interface de rede elástica.

Correção

Para criar, atribuir e excluir grupos de segurança, consulte Grupos de segurança no guia EC2 do usuário da Amazon.

[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos

Requisitos relacionados: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoria: Proteger > Configuração de rede segura

Severidade: alta

Tipo de recurso:AWS::EC2::TransitGateway

AWS Config regra: ec2-transit-gateway-auto-vpc-attach-disabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os gateways de EC2 trânsito estão aceitando automaticamente VPC anexos compartilhados. Esse controle falha em um gateway de trânsito que aceita automaticamente solicitações de VPC anexos compartilhados.

A ativação AutoAcceptSharedAttachments configura um gateway de trânsito para aceitar automaticamente qualquer solicitação de VPC anexação entre contas sem verificar a solicitação ou a conta da qual o anexo é originário. Para seguir as melhores práticas de autorização e autenticação, recomendamos desativar esse recurso para garantir que somente solicitações de VPC anexação autorizadas sejam aceitas.

Correção

Para modificar um gateway de trânsito, consulte Modificar um gateway de trânsito no Amazon VPC Developer Guide.

[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados

Requisitos relacionados: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões

Severidade: média

Tipo de recurso:AWS::EC2::Instance

AWS Config regra: ec2-paravirtual-instance-check

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o tipo de virtualização de uma EC2 instância é paravirtual. O controle falhará se o virtualizationType da EC2 instância estiver definido comoparavirtual.

O Linux Amazon Machine Images (AMIs) usa um dos dois tipos de virtualização: paravirtual (PV) ou máquina virtual de hardware (). HVM As principais diferenças entre o PV e o PV HVM AMIs são a maneira pela qual eles inicializam e se podem tirar proveito de extensões de hardware especiais (CPUrede e armazenamento) para obter melhor desempenho.

Historicamente, os hóspedes fotovoltaicos tinham melhor desempenho do que HVM os hóspedes em muitos casos, mas devido aos aprimoramentos na HVM virtualização e à disponibilidade de drivers fotovoltaicos HVMAMIs, isso não é mais verdade. Para obter mais informações, consulte os tipos de AMI virtualização Linux no Guia do EC2 usuário da Amazon.

Correção

Para atualizar uma EC2 instância para um novo tipo de instância, consulte Alterar o tipo de instância no Guia EC2 do usuário da Amazon.

[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede

Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público

Severidade: alta

Tipo de recurso:AWS::EC2::LaunchTemplate

AWS Config regra: ec2-launch-template-public-ip-disabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os modelos de EC2 lançamento da Amazon estão configurados para atribuir endereços IP públicos às interfaces de rede no lançamento. O controle falhará se um modelo de EC2 execução estiver configurado para atribuir um endereço IP público às interfaces de rede ou se houver pelo menos uma interface de rede que tenha um endereço IP público.

Um endereço IP público é aquele que é acessível pela internet. Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. EC2os recursos não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional às suas cargas de trabalho.

Correção

Para atualizar um modelo de EC2 lançamento, consulte Alterar as configurações padrão da interface de rede no Guia do usuário do Amazon EC2 Auto Scaling.

[EC2.28] EBS os volumes devem ser cobertos por um plano de backup

Categoria: Recuperação > Resiliência > Backups ativados

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

Severidade: baixa

Tipo de recurso: AWS::EC2::Volume

AWS Config regra: ebs-resources-protected-by-backup-plan

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`backupVaultLockCheck`	O controle produz uma `PASSED` descoberta se o parâmetro estiver definido como `true` e o recurso usar AWS Backup Fechadura do cofre.	Booleano	`true` ou `false`	Nenhum valor padrão

Esse controle avalia se um EBS volume da Amazon no in-use estado está coberto por um plano de backup. O controle falhará se um EBS volume não for coberto por um plano de backup. Se você definir o backupVaultLockCheck parâmetro igual atrue, o controle passará somente se o EBS volume for copiado em um AWS Backup cofre trancado.

Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. Incluir EBS volumes da Amazon em um plano de backup ajuda você a proteger seus dados contra perda ou exclusão não intencional.

Correção

Para adicionar um EBS volume da Amazon a um AWS Backup plano de backup, consulte Atribuição de recursos a um plano de backup no AWS Backup Guia do desenvolvedor.

[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::TransitGatewayAttachment

AWS Config regra: tagged-ec2-transitgatewayattachment (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se um anexo do Amazon EC2 Transit Gateway tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o anexo do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o anexo do gateway de trânsito não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.

nota

Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.

Correção

Para adicionar tags a um anexo de gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::TransitGatewayRouteTable

AWS Config regra: tagged-ec2-transitgatewayroutetable (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se uma tabela de rotas do Amazon EC2 Transit Gateway tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a tabela de rotas do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a tabela de rotas do gateway de trânsito não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a uma tabela de rotas de gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.35] interfaces EC2 de rede devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::NetworkInterface

AWS Config regra: tagged-ec2-networkinterface (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se uma interface EC2 de rede da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a interface de rede não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a interface de rede não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a uma interface EC2 de rede, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.36] os gateways EC2 do cliente devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::CustomerGateway

AWS Config regra: tagged-ec2-customergateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se um gateway de EC2 cliente da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o gateway do cliente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o gateway do cliente não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um gateway EC2 do cliente, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.37] Os endereços IP EC2 elásticos devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::EIP

AWS Config regra: tagged-ec2-eip (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se um endereço IP EC2 elástico da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o endereço IP elástico não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o endereço IP elástico não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um endereço IP EC2 elástico, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.38] as EC2 instâncias devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::Instance

AWS Config regra: tagged-ec2-instance (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se uma EC2 instância da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a instância não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a instância não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a uma EC2 instância, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.39] gateways de EC2 internet devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::InternetGateway

AWS Config regra: tagged-ec2-internetgateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se um gateway de EC2 internet da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o gateway da Internet não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway da Internet não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um gateway de EC2 internet, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.40] EC2 NAT gateways devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::NatGateway

AWS Config regra: tagged-ec2-natgateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se um gateway de tradução de endereços de EC2 rede (NAT) da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o NAT gateway não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o NAT gateway não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um EC2 NAT gateway, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.41] a EC2 rede ACLs deve ser marcada

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::NetworkAcl

AWS Config regra: tagged-ec2-networkacl (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se uma lista de controle de acesso à EC2 rede (redeACL) da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a rede ACL não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a rede ACL não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a uma EC2 redeACL, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.42] tabelas de EC2 rotas devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::RouteTable

AWS Config regra: tagged-ec2-routetable (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se uma tabela de EC2 rotas da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a tabela de rotas não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a tabela de rotas não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a uma tabela de EC2 rotas, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.43] grupos EC2 de segurança devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: tagged-ec2-securitygroup (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se um grupo EC2 de segurança da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o grupo de segurança não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o grupo de segurança não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um grupo EC2 de segurança, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.44] EC2 sub-redes devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::Subnet

AWS Config regra: tagged-ec2-subnet (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se uma EC2 sub-rede da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a sub-rede não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a sub-rede não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a uma EC2 sub-rede, consulte Marcar seus EC2 recursos da Amazon no Guia do EC2 usuário da Amazon.

[EC2.45] EC2 volumes devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::Volume

AWS Config regra: tagged-ec2-subnet (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se um EC2 volume da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o volume não tiver nenhuma chave de tag ou se não tiver todas as teclas especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o volume não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um EC2 volume, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.46] Amazon VPCs deve ser etiquetada

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPC

AWS Config regra: tagged-ec2-vpc (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se uma Amazon Virtual Private Cloud (AmazonVPC) tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a Amazon VPC não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a Amazon VPC não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a umVPC, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.47] Os serviços de VPC endpoint da Amazon devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPCEndpointService

AWS Config regra: tagged-ec2-vpcendpointservice (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se um serviço de VPC endpoint da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o serviço de endpoint não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o serviço de endpoint não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um serviço de VPC endpoint da Amazon, consulte Gerenciar tags na seção Configurar um serviço de endpoint do AWS PrivateLink Guia.

[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::FlowLog

AWS Config regra: tagged-ec2-flowlog (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se um log de VPC fluxo da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o registro de fluxo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o log de fluxo não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um registro de VPC fluxo da Amazon, consulte Marcar um registro de fluxo no Guia VPC do usuário da Amazon.

[EC2.49] As conexões de VPC emparelhamento da Amazon devem ser marcadas

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPCPeeringConnection

AWS Config regra: tagged-ec2-vpcpeeringconnection (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se uma conexão de VPC emparelhamento da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a conexão de emparelhamento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a conexão de peering não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a uma conexão de VPC emparelhamento da Amazon, consulte Marcar seus EC2 recursos da Amazon no Guia do EC2 usuário da Amazon.

[EC2.50] EC2 VPN gateways devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::VPNGateway

AWS Config regra: tagged-ec2-vpngateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	Nenhum valor padrão

Esse controle verifica se um EC2 VPN gateway da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o VPN gateway não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o VPN gateway não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um EC2 VPN gateway, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado

Requisitos relacionados: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST NIST

Categoria: Identificar > Registro em log

Severidade: baixa

Tipo de recurso: AWS::EC2::ClientVpnEndpoint

AWS Config regra: ec2-client-vpn-connection-log-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um AWS Client VPN O endpoint tem o registro de conexão do cliente ativado. O controle falhará se o endpoint não tiver o registro em log de conexão do cliente habilitado.

VPNOs endpoints do cliente permitem que clientes remotos se conectem com segurança aos recursos em uma nuvem privada virtual () em VPC AWS. Os registros de conexão permitem que você acompanhe a atividade do usuário no VPN endpoint e forneça visibilidade. Ao habilitar o registro em log de conexão, é possível especificar o nome de um stream de logs no grupo de logs. Se você não especificar um stream de log, o VPN serviço Client cria um para você.

Correção

Para ativar o registro de conexão, consulte Habilitar o registro de conexão para um VPN endpoint de cliente existente no AWS Client VPN Guia do administrador.

[EC2.52] gateways EC2 de trânsito devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::EC2::TransitGateway

AWS Config regra: tagged-ec2-transitgateway (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`requiredTagKeys`	Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas.	StringList	Lista de tags que atendem AWS requisitos	`No default value`

Esse controle verifica se um gateway de EC2 trânsito da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o gateway de trânsito não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

nota

Correção

Para adicionar tags a um gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.

[EC2.53] grupos de EC2 segurança não devem permitir a entrada de 0.0.0.0/0 nas portas de administração remota do servidor

Requisitos relacionados: CIS AWS Benchmark de fundações v3.0.0/5.2

Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: vpc-sg-port-restriction-check

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`ipType`	A versão IP	String	Não personalizável	`IPv4`
`restrictPorts`	Lista de portas que devem rejeitar o tráfego de entrada	IntegerList	Não personalizável	`22,3389`

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 nas portas de administração remota do servidor (portas 22 e 3389). O controle falhará se o grupo de segurança permitir a entrada de 0.0.0.0/0 para a porta 22 ou 3389.

Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para AWS recursos. Recomendamos que nenhum grupo de segurança permita acesso irrestrito às portas de administração do servidor remoto, como SSH à porta 22 e RDP à porta 3389, usando os protocolos TDP (6), UDP (17) ou ALL (-1). Permitir o acesso público a essas portas aumenta a superfície de ataque dos recursos e o risco de comprometimento dos recursos.

Correção

Para atualizar uma regra EC2 de grupo de segurança para proibir o tráfego de entrada nas portas especificadas, consulte Atualizar regras do grupo de segurança no Guia EC2 do usuário da Amazon. Depois de selecionar um grupo de segurança no EC2 console da Amazon, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 22 ou à porta 3389.

[EC2.54] grupos EC2 de segurança não devem permitir a entrada de: :/0 nas portas de administração do servidor remoto

Requisitos relacionados: CIS AWS Benchmark de fundações v3.0.0/5.3

Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança

Severidade: alta

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Config regra: vpc-sg-port-restriction-check

Tipo de programação: Periódico

Parâmetros:

Parâmetro	Descrição	Tipo	Valores personalizados permitidos	Valor padrão do Security Hub
`ipType`	A versão IP	String	Não personalizável	`IPv6`
`restrictPorts`	Lista de portas que devem rejeitar o tráfego de entrada	IntegerList	Não personalizável	`22,3389`

Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de: :/0 nas portas de administração remota do servidor (portas 22 e 3389). O controle falhará se o grupo de segurança permitir a entrada de: :/0 para a porta 22 ou 3389.

Correção

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Controles do Amazon DynamoDB

Controles do Amazon EC2 Auto Scaling