As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para Amazon EC2
Esses AWS Security Hub os controles avaliam o serviço e os recursos do Amazon Elastic Compute Cloud (AmazonEC2).
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[EC2.1] Os EBS snapshots da Amazon não devem ser restauráveis publicamente
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7),, (21),,, (11) NIST.800-53.r5 AC-3, (16) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (20), (21) NIST.800-53.r5 AC-6, (3) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoria: Proteger > Configuração de rede segura
Severidade: crítica
Tipo de recurso: AWS::::Account
AWS Config regra: ebs-snapshot-public-restorable-check
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se os instantâneos do Amazon Elastic Block Store não são públicos. O controle falhará se os EBS snapshots da Amazon puderem ser restaurados por qualquer pessoa.
EBSos snapshots são usados para fazer backup dos dados em seus EBS volumes no Amazon S3 em um momento específico. Você pode usar os instantâneos para restaurar os estados anteriores dos EBS volumes. Raramente é aceitável compartilhar um snapshot com o público. Normalmente, a decisão de compartilhar um snapshot publicamente era tomada erroneamente ou sem uma compreensão completa das implicações. Essa verificação ajuda a garantir que todo esse compartilhamento tenha sido totalmente planejado e intencional.
Correção
Para tornar um EBS instantâneo público privado, consulte Compartilhar um instantâneo no Guia EC2 do usuário da Amazon. Em Ações, modificar permissões, escolha Privado.
[EC2.2] grupos de segurança VPC padrão não devem permitir tráfego de entrada ou saída
Requisitos relacionados: PCI DSS v3.2.1/1.2.1, v3.2.1/1.3.4, v3.2.1/2.1, PCI DSS PCI DSS CIS AWS Benchmark de fundações v1.2.0/4.3, CIS AWS Benchmark de fundações v1.4.0/5.3, CIS AWS Benchmark de fundamentos v3.0.0/5.4, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7
Categoria: Proteger > Configuração de rede segura
Severidade: alta
Tipo de recurso: AWS::EC2::SecurityGroup
AWS Config regra: vpc-default-security-group-closed
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o grupo de segurança padrão de a VPC permite tráfego de entrada ou saída. O controle falhará se o grupo de segurança permitir tráfego de entrada ou de saída.
As regras do grupo de segurança padrão permitem todo o tráfego de saída e entrada de interfaces de rede (e as instâncias associadas) que são atribuídas ao mesmo grupo de segurança. Recomendamos que você não use o grupo de segurança padrão. Como o grupo de segurança padrão não pode ser excluído, altere a configuração das regras do grupo de segurança padrão para restringir o tráfego de entrada e saída. Isso evita tráfego não intencional se o grupo de segurança padrão for configurado acidentalmente para recursos como EC2 instâncias.
Correção
Para corrigir esse problema, comece criando novos grupos de segurança com privilégios mínimos. Para obter instruções, consulte Criar um grupo de segurança no Guia VPC do usuário da Amazon. Em seguida, atribua os novos grupos de segurança às suas EC2 instâncias. Para obter instruções, consulte Alterar o grupo de segurança de uma instância no Guia EC2 do usuário da Amazon.
Depois de atribuir os novos grupos de segurança aos seus recursos, remova todas as regras de entrada e saída dos grupos de segurança padrão. Para obter instruções, consulte Configurar regras de grupos de segurança no Guia VPC do usuário da Amazon.
[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::EC2::Volume
AWS Config regra: encrypted-volumes
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os EBS volumes que estão em um estado anexado estão criptografados. Para passar nessa verificação, EBS os volumes devem estar em uso e criptografados. Se o EBS volume não estiver conectado, ele não estará sujeito a essa verificação.
Para uma camada adicional de segurança de seus dados confidenciais em EBS volumes, você deve habilitar a EBS criptografia em repouso. A EBS criptografia da Amazon oferece uma solução de criptografia simples para seus EBS recursos que não exige que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ele usa KMS chaves ao criar volumes e instantâneos criptografados.
Para saber mais sobre a EBS criptografia da Amazon, consulte a EBScriptografia da Amazon no Guia EC2 do usuário da Amazon.
Correção
Não há uma maneira direta de criptografar um volume ou instantâneo existente não criptografado. É possível criptografar um novo volume ou snapshot somente ao criá-lo.
Se você habilitou a criptografia por padrão, a Amazon EBS criptografa o novo volume ou snapshot resultante usando sua chave padrão para a criptografia da AmazonEBS. Mesmo se não tiver habilitado a criptografia por padrão, será possível habilitá-la ao criar um volume ou um snapshot individual. Em ambos os casos, você pode substituir a chave padrão da EBS criptografia da Amazon e escolher uma chave simétrica gerenciada pelo cliente.
Para obter mais informações, consulte Como criar um EBS volume da Amazon e copiar um EBS snapshot da Amazon no Guia do EC2 usuário da Amazon.
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Categoria: Identificar > Inventário
Severidade: média
Tipo de recurso: AWS::EC2::Instance
AWS Config regra: ec2-stopped-instance
Tipo de programação: Periódico
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
|
Número de dias em que a EC2 instância pode ficar em um estado interrompido antes de gerar uma descoberta com falha. |
Inteiro |
|
|
Esse controle verifica se uma EC2 instância da Amazon foi interrompida por mais tempo do que o número permitido de dias. O controle falhará se uma EC2 instância for interrompida por mais tempo do que o período máximo permitido. A menos que você forneça um valor de parâmetro personalizado para o período de tempo máximo permitido, o Security Hub usará um valor padrão de 30 dias.
Quando uma EC2 instância não é executada por um período significativo de tempo, isso cria um risco de segurança porque a instância não está sendo mantida ativamente (analisada, corrigida, atualizada). Se for lançado posteriormente, a falta de manutenção adequada pode resultar em problemas inesperados em seu AWS meio ambiente. Para manter com segurança uma EC2 instância ao longo do tempo em um estado inativo, inicie-a periodicamente para manutenção e depois a interrompa após a manutenção. Idealmente, esse deve ser um processo automatizado.
Correção
Para encerrar uma EC2 instância inativa, consulte Encerrar uma instância no Guia do usuário da Amazon EC2.
[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs
Requisitos relacionados: CIS AWS Benchmark de fundações v1.2.0/2.9, CIS AWS Benchmark de fundações v1.4.0/3.9, CIS AWS Benchmark de fundações v3.0.0/3.7, PCI DSS v3.2.1/10.3.3, v3.2.1/10.3.4, v3.2.1/10.3.5, v3.2.1/10.3.6, (26), PCI DSS .800-53.r5 SI-7 (8) PCI DSS PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::EC2::VPC
AWS Config regra: vpc-flow-logs-enabled
Tipo de programação: Periódico
Parâmetros:
-
trafficType
:REJECT
(não personalizável)
Esse controle verifica se os Amazon VPC Flow Logs foram encontrados e habilitados paraVPCs. O tipo de tráfego está definido como Reject
. O controle falhará se os registros de VPC fluxo não estiverem ativados VPCs em sua conta.
nota
Esse controle não verifica se os Amazon VPC Flow Logs estão habilitados por meio do Amazon Security Lake para o Conta da AWS.
Com o recurso VPC Flow Logs, você pode capturar informações sobre o tráfego de endereço IP que entra e sai das interfaces de rede em seuVPC. Depois de criar um registro de fluxo, você pode visualizar e recuperar seus dados em CloudWatch Registros. Para reduzir custos, você também pode enviar seus logs de fluxo para o Amazon S3.
O Security Hub recomenda que você habilite o registro de fluxo para rejeições de pacotes para. VPCs Os registros de fluxo fornecem visibilidade do tráfego de rede que atravessa o VPC e podem detectar tráfego anômalo ou fornecer informações durante os fluxos de trabalho de segurança.
Por padrão, o registro inclui valores para os diferentes componentes do fluxo IP, incluindo a origem, o destino e o protocolo. Para obter mais informações e descrições dos campos de log, consulte VPCFlow Logs no Guia VPC do usuário da Amazon.
Correção
Para criar um registro VPC de fluxo, consulte Criar um registro de fluxo no Guia VPC do usuário da Amazon. Depois de abrir o VPC console da Amazon, escolha Seu VPCs. Em Filtrar, escolha Rejeitar ou Todos.
[EC2.7] a criptografia EBS padrão deve estar ativada
Requisitos relacionados: CIS AWS Benchmark de fundações v1.4.0/2.2.1, CIS AWS Benchmark de fundações v3.0.0/2.2.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6) NIST
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::::Account
AWS Config regra: ec2-ebs-encryption-by-default
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se a criptografia em nível de conta está habilitada por padrão para o Amazon Elastic Block Store (AmazonEBS). O controle falhará se a criptografia no nível da conta não estiver ativada.
Quando a criptografia está habilitada para sua conta, os EBS volumes e as cópias de snapshot da Amazon são criptografados em repouso. Isso adiciona uma camada adicional de proteção aos dados. Para obter mais informações, consulte Criptografia por padrão no Guia EC2 do usuário da Amazon.
Observe que os seguintes tipos de instância não oferecem suporte à criptografia: R1, C1 e M1.
Correção
Para configurar a criptografia padrão para EBS volumes da Amazon, consulte Criptografia por padrão no Guia EC2 do usuário da Amazon.
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
Requisitos relacionados: CIS AWS Benchmark de fundações v3.0.0/5.6,, NIST.800-53.r5 AC-3 (15) NIST.800-53.r5 AC-3, (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6
Categoria: Proteger > Segurança de rede
Severidade: alta
Tipo de recurso: AWS::EC2::Instance
AWS Config regra: ec2-imdsv2-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a versão de metadados da EC2 instância está configurada com o Instance Metadata Service Version 2 ()IMDSv2. O controle passa se HttpTokens
estiver definido como necessário paraIMDSv2. O controle falha se HttpTokens
estiver definido como optional
.
Você usa os metadados da instância para configurar ou gerenciar a instância em execução. IMDSFornece acesso a credenciais temporárias, frequentemente alternadas. Essas credenciais eliminam a necessidade de codificar ou distribuir credenciais confidenciais às instâncias manual ou programaticamente. O IMDS é anexado localmente a cada EC2 instância. Ele é executado em um endereço IP especial de “link local” de 169.254.169.254. Esse endereço IP só pode ser acessado pelo software executado na instância.
A versão 2 do IMDS adiciona novas proteções para os seguintes tipos de vulnerabilidades. Essas vulnerabilidades podem ser usadas para tentar acessar o. IMDS
-
Firewalls de aplicativos de sites abertos
-
Proxies reversos abertos
-
Vulnerabilidades de falsificação de solicitações do lado do servidor () SSRF
-
Firewalls de camada 3 abertos e tradução de endereços de rede () NAT
O Security Hub recomenda que você configure suas EC2 instâncias comIMDSv2.
Correção
Para configurar EC2 instâncias comIMDSv2, consulte Caminho recomendado para a solicitação IMDSv2 no Guia EC2 do usuário da Amazon.
[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Severidade: alta
Tipo de recurso: AWS::EC2::Instance
AWS Config regra: ec2-instance-no-public-ip
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se EC2 as instâncias têm um endereço IP público. O controle falhará se o publicIp
campo estiver presente no item de configuração da EC2 instância. Esse controle se aplica somente aos IPv4 endereços.
Um IPv4 endereço público é um endereço IP que pode ser acessado pela Internet. Se você iniciar sua instância com um endereço IP público, ela EC2 poderá ser acessada pela Internet. Um IPv4 endereço privado é um endereço IP que não pode ser acessado pela Internet. Você pode usar IPv4 endereços privados para comunicação entre EC2 instâncias na mesma rede privada VPC ou na sua rede privada conectada.
IPv6os endereços são globalmente exclusivos e, portanto, podem ser acessados pela Internet. No entanto, por padrão, todas as sub-redes têm o atributo de IPv6 endereçamento definido como false. Para obter mais informações sobreIPv6, consulte o endereço IP VPC em seu Guia do VPC usuário da Amazon.
Se você tiver um caso de uso legítimo para manter EC2 instâncias com endereços IP públicos, poderá suprimir as descobertas desse controle. Para obter mais informações sobre as opções de arquitetura front-end, consulte AWS Blog de arquitetura
Correção
Use um endereço IP não padrão VPC para que sua instância não receba um endereço IP público por padrão.
Quando você executa uma EC2 instância em um padrãoVPC, ela recebe um endereço IP público. Quando você executa uma EC2 instância em uma instância não padrãoVPC, a configuração da sub-rede determina se ela recebe um endereço IP público. A sub-rede tem um atributo para determinar se novas EC2 instâncias na sub-rede recebem um endereço IP público do pool de IPv4 endereços públicos.
Você pode desassociar um endereço IP público atribuído automaticamente da sua instância. EC2 Para obter mais informações, consulte IPv4Endereços públicos e DNS nomes de host externos no Guia do EC2 usuário da Amazon.
[EC2.10] A Amazon EC2 deve ser configurada para usar VPC endpoints criados para o serviço Amazon EC2
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)
Categoria: Proteger > Configuração de rede segura > acesso API privado
Severidade: média
Tipo de recurso: AWS::EC2::VPC
AWS Config regra: service-vpc-endpoint-enabled
Tipo de programação: Periódico
Parâmetros:
-
serviceName
:ec2
(não personalizável)
Esse controle verifica se um endpoint de serviço para a Amazon foi EC2 criado para cada umVPC. O controle falhará se VPC a não tiver um VPC endpoint criado para o EC2 serviço da Amazon.
Esse controle avalia os recursos em uma única conta. Ela não pode descrever recursos que estão fora da conta. Porque AWS Config e o Security Hub não realizam verificações entre contas. Você verá FAILED
descobertas VPCs que são compartilhadas entre contas. O Security Hub recomenda que você suprima essas descobertas FAILED
.
Para melhorar sua postura de segurançaVPC, você pode configurar a Amazon EC2 para usar um VPC endpoint de interface. Os valores-limite da interface são desenvolvidos pelo AWS PrivateLink, uma tecnologia que permite acessar as EC2 API operações da Amazon de forma privada. Ele restringe todo o tráfego de rede entre você VPC e EC2 a Amazon à rede Amazon. Como os endpoints são suportados somente na mesma região, você não pode criar um endpoint entre um VPC e um serviço em uma região diferente. Isso evita EC2 API chamadas não intencionais da Amazon para outras regiões.
Para saber mais sobre a criação de VPC endpoints para a AmazonEC2, consulte Amazon EC2 e VPC endpoints de interface no Guia EC2 do usuário da Amazon.
Correção
Para criar um endpoint de interface para a Amazon a EC2 partir do VPC console da Amazon, consulte Criar um VPC endpoint no AWS PrivateLink Guia. Em Nome do serviço, escolha com.amazonaws.region
.ec2.
Você também pode criar e anexar uma política de endpoint ao seu VPC endpoint para controlar o acesso à Amazon. EC2 API Para obter instruções sobre como criar uma política de VPC endpoint, consulte Criar uma política de endpoint no Guia EC2 do usuário da Amazon.
[EC2.12] A Amazon não utilizada EC2 EIPs deve ser removida
Requisitos relacionados: PCI DSS v3.2.1/2.4, NIST .800-53.r5 CM-8 (1)
Categoria: Proteger > Configuração de rede segura
Severidade: baixa
Tipo de recurso: AWS::EC2::EIP
AWS Config regra: eip-attached
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os endereços IP elásticos (EIP) alocados a a VPC estão vinculados a EC2 instâncias ou interfaces de rede elástica em uso ()ENIs.
Uma falha na descoberta indica que você pode não ter usado EC2EIPs.
Isso ajudará você a manter um inventário preciso de ativos EIPs em seu ambiente de dados do titular do cartão (CDE).
Correção
Para liberar um não utilizadoEIP, consulte Liberar um endereço IP elástico no Guia do EC2 usuário da Amazon.
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
Requisitos relacionados: CIS AWS Benchmark de fundamentos v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2,, (21), (11), (16), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4, (4), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
Categoria: Proteger > Configuração de rede segura
Severidade: alta
Tipo de recurso: AWS::EC2::SecurityGroup
AWS Config regra: restricted-ssh
Tipo de programação: alteração acionada e periódica
Parâmetros: nenhum
Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 ou: :/0 para a porta 22. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 22.
Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para AWS recursos. Recomendamos que nenhum grupo de segurança permita o acesso de entrada irrestrito à porta 22. Remover a conectividade irrestrita a serviços de console remoto, comoSSH, reduz a exposição do servidor ao risco.
Correção
Para proibir a entrada na porta 22, remova a regra que permite esse acesso para cada grupo de segurança associado a a. VPC Para obter instruções, consulte Atualizar as regras do grupo de segurança no Guia EC2 do usuário da Amazon. Depois de selecionar um grupo de segurança no EC2 console da Amazon, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 22.
[EC2.14] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 na porta 3389
Requisitos relacionados: CIS AWS Benchmark de fundações v1.2.0/4.2
Categoria: Proteger > Configuração de rede segura
Severidade: alta
Tipo de recurso: AWS::EC2::SecurityGroup
AWS Config regra: restricted-common-ports
(a regra criada érestricted-rdp
)
Tipo de programação: alteração acionada e periódica
Parâmetros: nenhum
Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 ou: :/0 para a porta 3389. O controle falhará se o grupo de segurança permitir a entrada de 0.0.0/0 ou ::/0 na porta 3389.
Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para AWS recursos. Recomendamos que nenhum grupo de segurança de entrada para permitir acesso irrestrito a porta 3389. Remover a conectividade irrestrita a serviços de console remoto, comoRDP, reduz a exposição do servidor ao risco.
Correção
Para proibir a entrada na porta 3389, remova a regra que permite esse acesso para cada grupo de segurança associado a a. VPC Para obter instruções, consulte Atualizar as regras do grupo de segurança no Guia VPC do usuário da Amazon. Depois de selecionar um grupo de segurança no Amazon VPC Console, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 3389.
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Proteger > Segurança de rede
Severidade: média
Tipo de recurso: AWS::EC2::Subnet
AWS Config regra: subnet-auto-assign-public-ip-disabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a atribuição de público IPs nas sub-redes da Amazon Virtual Private Cloud (AmazonVPC) foi definida como. MapPublicIpOnLaunch
FALSE
O controle é aprovado se o sinalizador estiver definido como FALSE
.
Todas as sub-redes têm um atributo que determina se uma interface de rede criada na sub-rede recebe automaticamente um endereço público. IPv4 As instâncias que são executadas em sub-redes com esse atributo ativado têm um endereço IP público atribuído à interface de rede primária.
Correção
Para configurar uma sub-rede para não atribuir endereços IP públicos, consulte Modificar o atributo de IPv4 endereçamento público para sua sub-rede no Guia VPC do usuário da Amazon. Desmarque a caixa de seleção Ativar atribuição automática de IPv4 endereço público.
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
Requisitos relacionados: NIST .800-53.r5 CM-8 (1)
Categoria: Proteger > Segurança de rede
Severidade: baixa
Tipo de recurso: AWS::EC2::NetworkAcl
AWS Config regra: vpc-network-acl-unused-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se há alguma lista de controle de acesso à rede não utilizada (redeACLs) em sua nuvem privada virtual (VPC). O controle falhará se a rede ACL não estiver associada a uma sub-rede. O controle não gera descobertas para uma rede ACL padrão não utilizada.
O controle verifica a configuração do item do recurso AWS::EC2::NetworkAcl
e determina os relacionamentos da redeACL.
Se o único relacionamento for o VPC da redeACL, o controle falhará.
Se outros relacionamentos estiverem listados, o controle será aprovado.
Correção
Para obter instruções sobre como excluir uma rede não utilizadaACL, consulte Excluindo uma rede ACL no Guia do usuário da Amazon VPC. Você não pode excluir a rede padrão ACL ou uma ACL que esteja associada às sub-redes.
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
Requisitos relacionados: NIST.800-53.r5 AC-4 (21)
Categoria: Proteger > Segurança de rede
Severidade: baixa
Tipo de recurso: AWS::EC2::Instance
AWS Config regra: ec2-instance-multiple-eni-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma EC2 instância usa várias Elastic Network Interfaces (ENIs) ou Elastic Fabric Adapters (EFAs). Esse controle passa se um único adaptador de rede for usado. O controle inclui uma lista de parâmetros opcional para identificar os permitidosENIs. Esse controle também falhará se uma EC2 instância pertencente a um EKS cluster da Amazon usar mais de umENI. Se suas EC2 instâncias precisarem ter várias ENIs como parte de um EKS cluster da Amazon, você poderá suprimir essas descobertas de controle.
Várias ENIs podem causar instâncias com hospedagem dupla, ou seja, instâncias que têm várias sub-redes. Isso pode aumentar a complexidade da segurança da rede e introduzir caminhos e acessos de rede não intencionais.
Correção
Para separar uma interface de rede de uma EC2 instância, consulte Separar uma interface de rede de uma instância no Guia do EC2usuário da Amazon.
[EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança
Severidade: alta
Tipo de recurso: AWS::EC2::SecurityGroup
AWS Config regra: vpc-sg-open-only-to-authorized-ports
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
|
Lista de TCP portas autorizadas |
IntegerList (mínimo de 1 item e máximo de 32 itens) |
|
|
|
Lista de UDP portas autorizadas |
IntegerList (mínimo de 1 item e máximo de 32 itens) |
|
Nenhum valor padrão |
Esse controle verifica se um grupo de EC2 segurança da Amazon permite tráfego de entrada irrestrito de portas não autorizadas. O status do controle é determinado da forma a seguir:
-
Se você usar o valor padrão para
authorizedTcpPorts
, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta que não seja as portas 80 e 443. -
Se você fornecer valores personalizados para
authorizedTcpPorts
ouauthorizedUdpPorts
, o controle falhará se o grupo de segurança permitir tráfego de entrada irrestrito em qualquer porta não listada. -
Se nenhum parâmetro for usado, o controle falhará em qualquer grupo de segurança que tenha uma regra de tráfego de entrada irrestrita.
Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para AWS. As regras do grupo de segurança devem seguir o princípio do acesso menos privilegiado. O acesso irrestrito (endereço IP com sufixo /0) aumenta a oportunidade de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. A menos que uma porta seja especificamente permitida, a porta deve negar acesso irrestrito.
Correção
Para modificar um grupo de segurança, consulte Trabalhar com grupos de segurança no Guia VPC do usuário da Amazon.
[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
Requisitos relacionados: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)
Categoria: Proteger > Acesso restrito à rede
Severidade: crítica
Tipo de recurso: AWS::EC2::SecurityGroup
AWS Config regra: restricted-common-ports
(a regra criada évpc-sg-restricted-common-ports
)
Tipo de programação: alteração acionada e periódica
Parâmetros: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"
(não personalizável)
Esse controle verifica se o tráfego de entrada irrestrito de um grupo EC2 de segurança da Amazon está acessível às portas especificadas que são consideradas de alto risco. Esse controle falhará se alguma das regras em um grupo de segurança permitir tráfego de entrada de '0.0.0.0/0' ou '::/0' nessas portas.
Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para AWS recursos. O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades de atividades maliciosas, como invasões, denial-of-service ataques e perda de dados. Nenhum grupo de segurança deve permitir acesso irrestrito de entrada às seguintes portas:
-
20, 21 (FTP)
-
22 (SSH)
-
23 (Telnet)
-
25 (SMTP)
-
10 (POP3)
-
135 (RPC)
-
143 () IMAP
-
45 () CIFS
-
1433, 1434 () MSSQL
-
3000 (estruturas de desenvolvimento web Go, Node.js e Ruby)
-
3306 (my) SQL
-
389 () RDP
-
4333 (ahsp)
-
5000 (estruturas de desenvolvimento web em Python)
-
5432 (PostgreSQL)
-
500 (fcp-addr-srvr1)
-
5601 (Painéis) OpenSearch
-
8080 (proxy)
-
8088 (HTTPporta antiga)
-
8888 (HTTPporta alternativa)
-
9200 ou 9300 () OpenSearch
Correção
Para excluir regras de um grupo de segurança, consulte Excluir regras de um grupo de segurança no Guia EC2 do usuário da Amazon.
[EC2.20] Ambos os VPN túneis para um AWS A VPN conexão site a site deve estar ativa
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoria: Recuperação > Resiliência > Alta disponibilidade
Severidade: média
Tipo de recurso:AWS::EC2::VPNConnection
AWS Config regra: vpc-vpn-2-tunnels-up
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Um VPN túnel é um link criptografado em que os dados podem passar da rede do cliente para ou de AWS dentro de um AWS Conexão site a site. VPN Cada VPN conexão inclui dois VPN túneis que você pode usar simultaneamente para alta disponibilidade. Garantir que os dois VPN túneis estejam prontos para uma VPN conexão é importante para confirmar uma conexão segura e altamente disponível entre um AWS VPCe sua rede remota.
Esse controle verifica se os dois VPN túneis fornecidos pelo AWS Site a site VPN estão no status UP. O controle falhará se um ou ambos os túneis estiverem em DOWN status.
Correção
Para modificar as opções de VPN túnel, consulte Modificando as opções de túnel de site a site na VPN AWS Guia do usuário site a site. VPN
[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389
Requisitos relacionados: CIS AWS Benchmark de fundações v1.4.0/5.1, CIS AWS Benchmark de fundações v3.0.0/5.1, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), (21) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso:AWS::EC2::NetworkAcl
AWS Config regra: nacl-no-unrestricted-ssh-rdp
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma lista de controle de acesso à rede (redeACL) permite acesso irrestrito às TCP portas padrão para o tráfego SSH RDP /ingress. O controle falhará se a ACL entrada de rede permitir um CIDR bloco de origem de '0.0.0.0/0' ou ': :/0' para as portas 22 ou 3389. TCP O controle não gera descobertas para uma rede padrãoACL.
O acesso às portas de administração remota do servidor, como a porta 22 (SSH) e a porta 3389 (RDP), não deve ser acessível ao público, pois isso pode permitir acesso não intencional aos recursos dentro do seu. VPC
Correção
Para editar as regras de ACL tráfego de rede, consulte Trabalhar com rede ACLs no Guia VPC do usuário da Amazon.
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
Importante
RETIREDFROMSPECIFICSTANDARDS— O Security Hub removeu esse controle em 20 de setembro de 2023 do AWS Padrão básico de melhores práticas de segurança e o NIST SP 800-53 Rev. 5. Esse controle ainda faz parte do Service-Managed Standard: AWS Control Tower. Esse controle produz uma descoberta aprovada se os grupos de segurança estiverem conectados a EC2 instâncias ou a uma interface de rede elástica. No entanto, para determinados casos de uso, grupos de segurança independentes não representam um risco de segurança. Você pode usar outros EC2 controles, como EC2 .2, EC2 .13, EC2 .14, EC2 .18 e EC2 .19, para monitorar seus grupos de segurança.
Categoria: Identificar > Inventário
Severidade: média
Tipo de recurso:AWS::EC2::NetworkInterface
, AWS::EC2::SecurityGroup
AWS Config regra: ec2-security-group-attached-to-eni-periodic
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se os grupos de segurança estão conectados às instâncias do Amazon Elastic Compute Cloud (AmazonEC2) ou a uma interface de rede elástica. O controle falhará se o grupo de segurança não estiver associado a uma EC2 instância da Amazon ou a uma interface de rede elástica.
Correção
Para criar, atribuir e excluir grupos de segurança, consulte Grupos de segurança no guia EC2 do usuário da Amazon.
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
Requisitos relacionados: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoria: Proteger > Configuração de rede segura
Severidade: alta
Tipo de recurso:AWS::EC2::TransitGateway
AWS Config regra: ec2-transit-gateway-auto-vpc-attach-disabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os gateways de EC2 trânsito estão aceitando automaticamente VPC anexos compartilhados. Esse controle falha em um gateway de trânsito que aceita automaticamente solicitações de VPC anexos compartilhados.
A ativação AutoAcceptSharedAttachments
configura um gateway de trânsito para aceitar automaticamente qualquer solicitação de VPC anexação entre contas sem verificar a solicitação ou a conta da qual o anexo é originário. Para seguir as melhores práticas de autorização e autenticação, recomendamos desativar esse recurso para garantir que somente solicitações de VPC anexação autorizadas sejam aceitas.
Correção
Para modificar um gateway de trânsito, consulte Modificar um gateway de trânsito no Amazon VPC Developer Guide.
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
Requisitos relacionados: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Severidade: média
Tipo de recurso:AWS::EC2::Instance
AWS Config regra: ec2-paravirtual-instance-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o tipo de virtualização de uma EC2 instância é paravirtual. O controle falhará se o virtualizationType
da EC2 instância estiver definido comoparavirtual
.
O Linux Amazon Machine Images (AMIs) usa um dos dois tipos de virtualização: paravirtual (PV) ou máquina virtual de hardware (). HVM As principais diferenças entre o PV e o PV HVM AMIs são a maneira pela qual eles inicializam e se podem tirar proveito de extensões de hardware especiais (CPUrede e armazenamento) para obter melhor desempenho.
Historicamente, os hóspedes fotovoltaicos tinham melhor desempenho do que HVM os hóspedes em muitos casos, mas devido aos aprimoramentos na HVM virtualização e à disponibilidade de drivers fotovoltaicos HVMAMIs, isso não é mais verdade. Para obter mais informações, consulte os tipos de AMI virtualização Linux no Guia do EC2 usuário da Amazon.
Correção
Para atualizar uma EC2 instância para um novo tipo de instância, consulte Alterar o tipo de instância no Guia EC2 do usuário da Amazon.
[EC2.25] Os modelos de EC2 lançamento da Amazon não devem atribuir interfaces públicas IPs às de rede
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Severidade: alta
Tipo de recurso:AWS::EC2::LaunchTemplate
AWS Config regra: ec2-launch-template-public-ip-disabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os modelos de EC2 lançamento da Amazon estão configurados para atribuir endereços IP públicos às interfaces de rede no lançamento. O controle falhará se um modelo de EC2 execução estiver configurado para atribuir um endereço IP público às interfaces de rede ou se houver pelo menos uma interface de rede que tenha um endereço IP público.
Um endereço IP público é aquele que é acessível pela internet. Se você configurar suas interfaces de rede com um endereço IP público, os recursos associados a essas interfaces de rede poderão ser acessados pela Internet. EC2os recursos não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional às suas cargas de trabalho.
Correção
Para atualizar um modelo de EC2 lançamento, consulte Alterar as configurações padrão da interface de rede no Guia do usuário do Amazon EC2 Auto Scaling.
[EC2.28] EBS os volumes devem ser cobertos por um plano de backup
Categoria: Recuperação > Resiliência > Backups ativados
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST
Severidade: baixa
Tipo de recurso: AWS::EC2::Volume
AWS Config regra: ebs-resources-protected-by-backup-plan
Tipo de programação: Periódico
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
|
O controle produz uma |
Booleano |
|
Nenhum valor padrão |
Esse controle avalia se um EBS volume da Amazon no in-use
estado está coberto por um plano de backup. O controle falhará se um EBS volume não for coberto por um plano de backup. Se você definir o backupVaultLockCheck
parâmetro igual atrue
, o controle passará somente se o EBS volume for copiado em um AWS Backup cofre trancado.
Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles também fortalecem a resiliência de seus sistemas. Incluir EBS volumes da Amazon em um plano de backup ajuda você a proteger seus dados contra perda ou exclusão não intencional.
Correção
Para adicionar um EBS volume da Amazon a um AWS Backup plano de backup, consulte Atribuição de recursos a um plano de backup no AWS Backup Guia do desenvolvedor.
[EC2.33] os anexos do gateway de EC2 trânsito devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::TransitGatewayAttachment
AWS Config regra: tagged-ec2-transitgatewayattachment
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um anexo do Amazon EC2 Transit Gateway tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se o anexo do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o anexo do gateway de trânsito não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um anexo de gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.34] tabelas de rotas do gateway de EC2 trânsito devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::TransitGatewayRouteTable
AWS Config regra: tagged-ec2-transitgatewayroutetable
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se uma tabela de rotas do Amazon EC2 Transit Gateway tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se a tabela de rotas do gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a tabela de rotas do gateway de trânsito não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a uma tabela de rotas de gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.35] interfaces EC2 de rede devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::NetworkInterface
AWS Config regra: tagged-ec2-networkinterface
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se uma interface EC2 de rede da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se a interface de rede não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a interface de rede não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a uma interface EC2 de rede, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.36] os gateways EC2 do cliente devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::CustomerGateway
AWS Config regra: tagged-ec2-customergateway
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um gateway de EC2 cliente da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se o gateway do cliente não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o gateway do cliente não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um gateway EC2 do cliente, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.37] Os endereços IP EC2 elásticos devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::EIP
AWS Config regra: tagged-ec2-eip
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um endereço IP EC2 elástico da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se o endereço IP elástico não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o endereço IP elástico não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um endereço IP EC2 elástico, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.38] as EC2 instâncias devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::Instance
AWS Config regra: tagged-ec2-instance
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se uma EC2 instância da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se a instância não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a instância não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a uma EC2 instância, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.39] gateways de EC2 internet devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::InternetGateway
AWS Config regra: tagged-ec2-internetgateway
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um gateway de EC2 internet da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se o gateway da Internet não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o gateway da Internet não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um gateway de EC2 internet, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.40] EC2 NAT gateways devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::NatGateway
AWS Config regra: tagged-ec2-natgateway
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um gateway de tradução de endereços de EC2 rede (NAT) da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se o NAT gateway não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o NAT gateway não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um EC2 NAT gateway, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.41] a EC2 rede ACLs deve ser marcada
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::NetworkAcl
AWS Config regra: tagged-ec2-networkacl
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se uma lista de controle de acesso à EC2 rede (redeACL) da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se a rede ACL não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a rede ACL não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a uma EC2 redeACL, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.42] tabelas de EC2 rotas devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::RouteTable
AWS Config regra: tagged-ec2-routetable
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se uma tabela de EC2 rotas da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se a tabela de rotas não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a tabela de rotas não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a uma tabela de EC2 rotas, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.43] grupos EC2 de segurança devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::SecurityGroup
AWS Config regra: tagged-ec2-securitygroup
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um grupo EC2 de segurança da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se o grupo de segurança não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o grupo de segurança não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um grupo EC2 de segurança, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.44] EC2 sub-redes devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::Subnet
AWS Config regra: tagged-ec2-subnet
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se uma EC2 sub-rede da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se a sub-rede não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a sub-rede não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a uma EC2 sub-rede, consulte Marcar seus EC2 recursos da Amazon no Guia do EC2 usuário da Amazon.
[EC2.45] EC2 volumes devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::Volume
AWS Config regra: tagged-ec2-subnet
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um EC2 volume da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se o volume não tiver nenhuma chave de tag ou se não tiver todas as teclas especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o volume não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um EC2 volume, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.46] Amazon VPCs deve ser etiquetada
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::VPC
AWS Config regra: tagged-ec2-vpc
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se uma Amazon Virtual Private Cloud (AmazonVPC) tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se a Amazon VPC não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a Amazon VPC não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a umVPC, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.47] Os serviços de VPC endpoint da Amazon devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::VPCEndpointService
AWS Config regra: tagged-ec2-vpcendpointservice
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um serviço de VPC endpoint da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se o serviço de endpoint não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o serviço de endpoint não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um serviço de VPC endpoint da Amazon, consulte Gerenciar tags na seção Configurar um serviço de endpoint do AWS PrivateLink Guia.
[EC2.48] Os registros de VPC fluxo da Amazon devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::FlowLog
AWS Config regra: tagged-ec2-flowlog
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um log de VPC fluxo da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se o registro de fluxo não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o log de fluxo não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um registro de VPC fluxo da Amazon, consulte Marcar um registro de fluxo no Guia VPC do usuário da Amazon.
[EC2.49] As conexões de VPC emparelhamento da Amazon devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::VPCPeeringConnection
AWS Config regra: tagged-ec2-vpcpeeringconnection
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se uma conexão de VPC emparelhamento da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se a conexão de emparelhamento não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a conexão de peering não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a uma conexão de VPC emparelhamento da Amazon, consulte Marcar seus EC2 recursos da Amazon no Guia do EC2 usuário da Amazon.
[EC2.50] EC2 VPN gateways devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::VPNGateway
AWS Config regra: tagged-ec2-vpngateway
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um EC2 VPN gateway da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se o VPN gateway não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o VPN gateway não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um EC2 VPN gateway, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.51] Os VPN endpoints EC2 do cliente devem ter o registro de conexão do cliente ativado
Requisitos relacionados: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST NIST
Categoria: Identificar > Registro em log
Severidade: baixa
Tipo de recurso: AWS::EC2::ClientVpnEndpoint
AWS Config regra: ec2-client-vpn-connection-log-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um AWS Client VPN O endpoint tem o registro de conexão do cliente ativado. O controle falhará se o endpoint não tiver o registro em log de conexão do cliente habilitado.
VPNOs endpoints do cliente permitem que clientes remotos se conectem com segurança aos recursos em uma nuvem privada virtual () em VPC AWS. Os registros de conexão permitem que você acompanhe a atividade do usuário no VPN endpoint e forneça visibilidade. Ao habilitar o registro em log de conexão, é possível especificar o nome de um stream de logs no grupo de logs. Se você não especificar um stream de log, o VPN serviço Client cria um para você.
Correção
Para ativar o registro de conexão, consulte Habilitar o registro de conexão para um VPN endpoint de cliente existente no AWS Client VPN Guia do administrador.
[EC2.52] gateways EC2 de trânsito devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EC2::TransitGateway
AWS Config regra: tagged-ec2-transitgateway
(regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos |
No default value
|
Esse controle verifica se um gateway de EC2 trânsito da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys
. O controle falhará se o gateway de trânsito não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys
. Se o parâmetro requiredTagKeys
não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o gateway de trânsito não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:
, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um gateway de EC2 trânsito, consulte Marcar seus EC2 recursos da Amazon no Guia EC2 do usuário da Amazon.
[EC2.53] grupos de EC2 segurança não devem permitir a entrada de 0.0.0.0/0 nas portas de administração remota do servidor
Requisitos relacionados: CIS AWS Benchmark de fundações v3.0.0/5.2
Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança
Severidade: alta
Tipo de recurso: AWS::EC2::SecurityGroup
AWS Config regra: vpc-sg-port-restriction-check
Tipo de programação: Periódico
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
|
A versão IP |
String |
Não personalizável |
|
|
Lista de portas que devem rejeitar o tráfego de entrada |
IntegerList |
Não personalizável |
|
Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de 0.0.0.0/0 nas portas de administração remota do servidor (portas 22 e 3389). O controle falhará se o grupo de segurança permitir a entrada de 0.0.0.0/0 para a porta 22 ou 3389.
Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para AWS recursos. Recomendamos que nenhum grupo de segurança permita acesso irrestrito às portas de administração do servidor remoto, como SSH à porta 22 e RDP à porta 3389, usando os protocolos TDP (6), UDP (17) ou ALL (-1). Permitir o acesso público a essas portas aumenta a superfície de ataque dos recursos e o risco de comprometimento dos recursos.
Correção
Para atualizar uma regra EC2 de grupo de segurança para proibir o tráfego de entrada nas portas especificadas, consulte Atualizar regras do grupo de segurança no Guia EC2 do usuário da Amazon. Depois de selecionar um grupo de segurança no EC2 console da Amazon, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 22 ou à porta 3389.
[EC2.54] grupos EC2 de segurança não devem permitir a entrada de: :/0 nas portas de administração do servidor remoto
Requisitos relacionados: CIS AWS Benchmark de fundações v3.0.0/5.3
Categoria: Proteger > Configuração de rede segura > Configuração do grupo de segurança
Severidade: alta
Tipo de recurso: AWS::EC2::SecurityGroup
AWS Config regra: vpc-sg-port-restriction-check
Tipo de programação: Periódico
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
|
A versão IP |
String |
Não personalizável |
|
|
Lista de portas que devem rejeitar o tráfego de entrada |
IntegerList |
Não personalizável |
|
Esse controle verifica se um grupo de EC2 segurança da Amazon permite a entrada de: :/0 nas portas de administração remota do servidor (portas 22 e 3389). O controle falhará se o grupo de segurança permitir a entrada de: :/0 para a porta 22 ou 3389.
Os grupos de segurança fornecem filtragem com estado do tráfego de entrada e saída da rede para AWS recursos. Recomendamos que nenhum grupo de segurança permita acesso irrestrito às portas de administração do servidor remoto, como SSH à porta 22 e RDP à porta 3389, usando os protocolos TDP (6), UDP (17) ou ALL (-1). Permitir o acesso público a essas portas aumenta a superfície de ataque dos recursos e o risco de comprometimento dos recursos.
Correção
Para atualizar uma regra EC2 de grupo de segurança para proibir o tráfego de entrada nas portas especificadas, consulte Atualizar regras do grupo de segurança no Guia EC2 do usuário da Amazon. Depois de selecionar um grupo de segurança no EC2 console da Amazon, escolha Ações, Editar regras de entrada. Remova a regra que permite o acesso à porta 22 ou à porta 3389.