View a markdown version of this page

Referência de controle para o CSPM do Security Hub - AWSSecurity Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Referência de controle para o CSPM do Security Hub

Essa referência de controle fornece uma tabela dos controles CSPM disponíveis do AWS Security Hub com links para mais informações sobre cada controle. Na tabela, os controles são listados em ordem alfabética por ID de controle. Apenas os controles em uso ativo pelo CSPM do Security Hub estão incluídos aqui. Os controles descontinuados são excluídos da tabela.

A tabela fornece as seguintes informações para cada controle:

  • ID de controle de segurança — Essa ID se aplica a todos os padrões AWS service (Serviço da AWS) e indica o recurso ao qual o controle está relacionado. O console do CSPM do Security Hub exibe as IDs de controle de segurança, independentemente de se as descobertas de controle consolidadas estão ativadas ou desativadas em sua conta. Entretanto, as descobertas do CSPM do Security Hub fazem referência aos IDs de controle de segurança somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns IDs de controle podem variar de acordo com o padrão em suas descobertas de controle. Para um mapeamento de IDs de controle específicos do padrão para IDs de controle de segurança, consulte Como a consolidação afeta os IDs e títulos de controle.

    Se quiser configurar automações para controles de segurança, recomendamos filtrar com base na ID do controle, e não no título ou na descrição. Embora o CSPM do Security Hub possa ocasionalmente atualizar títulos ou descrições de controle, os IDs de controle permanecem os mesmos.

    Os IDs de controle podem ignorar números. Esses são espaços reservados para futuros controles.

  • Título de controle de segurança: esse título se aplica a todos os padrões. O console do CSPM do Security Hub exibe os títulos de controle de segurança, independentemente de as descobertas de controle consolidadas estarem ativadas ou desativadas em sua conta. Entretanto, as descobertas do CSPM do Security Hub fazem referência aos títulos de controle de segurança somente se as descobertas de controle consolidadas estiverem ativadas em sua conta. Se as descobertas de controle consolidadas estiverem desativadas em sua conta, alguns títulos de controle podem variar de acordo com o padrão em suas descobertas de controle. Para um mapeamento de IDs de controle específicos do padrão para IDs de controle de segurança, consulte Como a consolidação afeta os IDs e títulos de controle.

  • Padrões aplicáveis: indica a quais padrões um controle se aplica. Escolha um controle para analisar os requisitos específicos de estruturas de conformidade de terceiros.

  • Gravidade: a gravidade de um controle identifica sua importância do ponto de vista da segurança. Para obter informações sobre como o CSPM do Security Hub determina a gravidade do controle, consulte Níveis de gravidade para as descobertas de controles.

  • Oferece suporte a parâmetros personalizados: indica se o controle oferece suporte a valores personalizados para um ou mais parâmetros. Escolha um controle para analisar os detalhes dos parâmetros. Para obter mais informações, consulte Noções básicas sobre os parâmetros de controles no CSPM do Security Hub.

  • Tipo de programação: indica quando o controle é avaliado. Para obter mais informações, consulte Programar a execução de verificações de segurança.

Escolha um controle para analisar os detalhes adicionais. Os controles são listados em ordem alfabética por ID de controle de segurança.

ID do controle de segurança Título de controle de segurança Padrões aplicáveis Gravidade Oferece suporte a parâmetros personalizados Tipo de programação
Account.1 As informações de contato de segurança devem ser fornecidas para um Conta da AWS Referência do CIS AWS Foundations v5.0.0, Benchmark do AWS CIS Foundations v3.0.0, Melhores práticas de segurança básica v1.0.0AWS, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
Account.2 Conta da AWSdeve fazer parte de uma AWS Organizations organização NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Periódico
ACM.1 Importado e ACM-issued os certificados devem ser renovados após um período de tempo especificado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações e periódico
ACM.2 Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits AWSMelhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
ACM.3 Os certificados do ACM devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Amplify.1 As aplicações do Amplify devem ser marcadas com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Amplify.2 As ramificações do Amplify devem ser marcadas com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
APIGateway.1 O API Gateway, o WebSocket REST e o registro de execução da API devem estar habilitados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
APIGateway.2 Os estágios da API REST de Gateway devem ser configurados para usar certificados SSL para autenticação de back-end AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MÉDIO Não Acionado por alterações
APIGateway.3 API Gateway: os estágios da API REST devem ter AWS X-Ray o rastreamento ativado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
APIGateway.4 O API Gateway deve ser associado a uma ACL da web do WAF AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
APIGateway.5 Os dados do cache da API REST de Gateway devem ser criptografados em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
APIGateway.8 As rotas do API de Gateway devem especificar um tipo de autorização AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
APIGateway.9 O registro de acesso deve ser configurado para os estágios V2 do API de Gateway AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
APIGateway.10 As integrações do API Gateway V2 devem usar HTTPS para conexões privadas AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
APIGateway.11 Os nomes de domínio do API Gateway devem usar as políticas de segurança recomendadas AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
AppConfig.1 AWS AppConfigos aplicativos devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
AppConfig.2 AWS AppConfigperfis de configuração devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
AppConfig.3 AWS AppConfigambientes devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
AppConfig.4 AWS AppConfigassociações de extensão devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
AppFlow.1 AppFlow Os fluxos da Amazon devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
AppRunner.1 Os serviços do App Runner devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
AppRunner.2 Os conectores de VPC do App Runner devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
AppSync.2 AWSAppSync deve ter o registro em nível de campo ativado AWSMelhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações
AppSync.4 AWSAppSync As APIs do GraphQL devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
AppSync.5 AWSAppSync As APIs do GraphQL não devem ser autenticadas com chaves de API AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Acionado por alterações
Athena.2 Os catálogos de dados do Athena devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Athena.3 Os grupos de trabalho do Athena devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Athena.4 Os grupos de trabalho do Athena devem ter o registro em log habilitado AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
AutoScaling.1 Os grupos do Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB AWSMelhores práticas básicas de segurança, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
AutoScaling.2 O grupo Amazon EC2 Auto Scaling deve abranger diversas zonas de disponibilidade AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
AutoScaling.3 As configurações de lançamento em grupo do Auto Scaling devem configurar as instâncias do EC2 para que exijam o Instance Metadata Service versão 2 (IMDSv2) AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
Autoscaling.5 As instâncias do Amazon EC2 lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
AutoScaling.6 Os grupos do Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
AutoScaling.9 Os grupos do EC2 Auto Scaling devem usar modelos de lançamento do EC2 AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
AutoScaling.10 Os grupos do EC2 Auto Scaling devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Backup.1 AWS Backupos pontos de recuperação devem ser criptografados em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Backup.2 AWS Backuppontos de recuperação devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Backup.3 AWS Backupcofres devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Backup.4 AWS Backupos planos de relatórios devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Backup.5 AWS Backupplanos de backup devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Batch.1 As filas de trabalhos do Batch devem ser marcadas com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Batch.2 As políticas de agendamento do Batch devem ser marcadas com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Batch.3 Os ambientes de computação do Batch devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Batch.4 As propriedades dos recursos de computação em ambientes de computação gerenciados do Batch devem ser marcadas com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Bedrock.1 As fontes de dados do Amazon Bedrock devem ser criptografadas com chaves gerenciadas pelo AWS KMS cliente AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
BedrockAgentCore.1 Os AgentCore tempos de execução do Bedrock devem ser configurados com o modo de rede VPC AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Acionado por alterações
BedrockAgentCore.2 Os Bedrock AgentCore Gateways devem exigir autorização para solicitações de entrada AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Acionado por alterações
BedrockAgentCore.3 A AgentCore memória Bedrock deve ser criptografada com chaves gerenciadas pelo AWS KMS cliente NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
BedrockAgentCore.4 O Bedrock AgentCore Gateway deve ser criptografado com chaves gerenciadas pelo AWS KMS cliente NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
BedrockAgentCore.5 Os navegadores AgentCore personalizados Bedrock não devem usar o modo de rede pública AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Acionado por alterações
BedrockAgentCore.6 Os navegadores AgentCore personalizados do Bedrock devem ter a gravação de sessão ativada AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
BedrockAgentCore.7 Os intérpretes de código AgentCore personalizado Bedrock devem usar uma configuração de rede privada AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Acionado por alterações
CloudFormation.2 CloudFormation as pilhas devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
CloudFormation.3 CloudFormation as pilhas devem ter a proteção de encerramento ativada AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
CloudFormation.4 CloudFormation as pilhas devem ter funções de serviço associadas AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
CloudFront.1 CloudFront as distribuições devem ter um objeto raiz padrão configurado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
CloudFront.3 CloudFront as distribuições devem exigir criptografia em trânsito AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
CloudFront.4 CloudFront as distribuições devem ter o failover de origem configurado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
CloudFront.5 CloudFront as distribuições devem ter o registro ativado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
CloudFront.6 CloudFront as distribuições devem ter o WAF ativado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
CloudFront.7 CloudFront as distribuições devem usar certificados personalizados SSL/TLS AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 BAIXO Não Acionado por alterações
CloudFront.8 CloudFront as distribuições devem usar o SNI para atender solicitações HTTPS AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
CloudFront.9 CloudFront as distribuições devem criptografar o tráfego para origens personalizadas AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
CloudFront.10 CloudFront as distribuições não devem usar protocolos SSL obsoletos entre pontos de presença e origens personalizadas AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
CloudFront.12 CloudFront distribuições não devem apontar para origens inexistentes do S3 AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
CloudFront.13 CloudFront as distribuições devem usar o controle de acesso de origem AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
CloudFront.14 CloudFront distribuições devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
CloudFront.15 CloudFront as distribuições devem usar a política de segurança TLS recomendada AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
CloudFront.16 CloudFront as distribuições devem usar o controle de acesso de origem para origens de URL da função Lambda AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
CloudFront.17 CloudFront as distribuições devem usar grupos de chaves confiáveis para URLs e cookies assinados AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
CloudTrail.1 CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Melhores práticas de segurança básicaAWS, NIST SP 800-53 Rev. 5 AWS HIGH (ALTO) Não Periódico
CloudTrail.2 CloudTrail deve ter a criptografia em repouso ativada CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.2.0, AWS CIS Foundations Benchmark v1.4.0 Foundational Security Best Practices v1.0.0AWS, NIST SP 800-53 Rev. 5, NIST AWS SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 MÉDIO Não Periódico
CloudTrail.3 Pelo menos uma CloudTrail trilha deve ser ativada NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 HIGH (ALTO) Não Periódico
CloudTrail.4 CloudTrail a validação do arquivo de log deve estar ativada CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Foundational Security Best Practices v1.0.0AWS, NIST SP 800-53 Rev. 5, NIST AWS SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 BAIXO Não Periódico
CloudTrail.5 CloudTrail as trilhas devem ser integradas ao Amazon CloudWatch Logs CIS AWS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0, Melhores práticas de segurança básica v1.0.0, NIST SP 800-53 Rev. 5AWS, AWS PCI DSS v3.2.1, PCI DSS v4.0.1 MÉDIO Não Periódico
CloudTrail.6 Certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível publicamente Referência do CIS AWS Foundations v1.2.0, Referência do CIS Foundations v1.4.0, PCI AWS DSS v4.0.1 CRÍTICO Não Acionado por alterações e periódico
CloudTrail.7 Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3 CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.2.0, CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v3.0.0, AWS PCI DSS v4.0.1 AWS BAIXO Não Periódico
CloudTrail.9 CloudTrail trilhas devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
CloudTrail.10 CloudTrail Os armazenamentos de dados de eventos do Lake devem ser criptografados com gerenciamento de clientes AWS KMS keys NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
CloudWatch.1 Um filtro de métrica de log e um alarme devem existir para uso do usuário “raiz” Referência do CIS AWS Foundations v1.4.0, Referência do CIS Foundations v1.2.0, AWS NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 BAIXO Não Periódico
CloudWatch.2 Verificar se existe um alarme e um filtro de métrica de log para chamadas de API não autorizadas Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.3 Verificar se existe um alarme e um filtro de métrica de log para login do Management Console sem MFA Referência do CIS AWS Foundations v1.2.0 BAIXO Não Periódico
CloudWatch.4 Verificar se existe um alarme e um filtro de métrica de log para alterações de política do IAM Referência de AWS fundações CIS v1.4.0, Referência de fundações CIS v1.2.0, AWS NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.5 Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração Referência de AWS fundações CIS v1.4.0, Referência de fundações CIS v1.2.0, AWS NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.6 Certifique-se de que exista um filtro métrico de registro e um alarme para falhas Console de gerenciamento da AWS de autenticação Referência de AWS fundações CIS v1.4.0, Referência de fundações CIS v1.2.0, AWS NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.7 Verificar se existe um alarme e um filtro de métrica de log para a desativação ou exclusão programada de CMKs criadas pelo cliente Referência de AWS fundações CIS v1.4.0, Referência de fundações CIS v1.2.0, AWS NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.8 Verificar se existe um alarme e um filtro de métrica de log para alterações de política do bucket do S3 Referência de AWS fundações CIS v1.4.0, Referência de fundações CIS v1.2.0, AWS NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.9 Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração Referência de AWS fundações CIS v1.4.0, Referência de fundações CIS v1.2.0, AWS NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.10 Verificar se existe um alarme e um filtro de métrica de log para alterações do grupo de segurança Referência de AWS fundações CIS v1.4.0, Referência de fundações CIS v1.2.0, AWS NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.11 Verificar se existe um alarme e um filtro de métrica de log para alterações em listas de controle de acesso à rede (NACL) Referência de AWS fundações CIS v1.4.0, Referência de fundações CIS v1.2.0, AWS NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.12 Verificar se existe um alarme e um filtro de métrica de log para alterações nos gateways de rede Referência de AWS fundações CIS v1.4.0, Referência de fundações CIS v1.2.0, AWS NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.13 Verificar se existe um alarme e um filtro de métrica de log para alterações da tabela de rotas Referência de AWS fundações CIS v1.4.0, Referência de fundações CIS v1.2.0, AWS NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.14 Verificar se existe um alarme e um filtro de métrica de log para alterações de VPC Referência de AWS fundações CIS v1.4.0, Referência de fundações CIS v1.2.0, AWS NIST SP 800-171 Rev. 2 BAIXO Não Periódico
CloudWatch.15 CloudWatch os alarmes devem ter ações especificadas configuradas NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 HIGH (ALTO) Sim Acionado por alterações
CloudWatch.16 CloudWatch os grupos de registros devem ser mantidos por um período de tempo especificado NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
CloudWatch.17 CloudWatch ações de alarme devem ser ativadas NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Acionado por alterações
CodeArtifact.1 CodeArtifact repositórios devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
CodeBuild.1 CodeBuild Os URLs do repositório de origem do Bitbucket não devem conter credenciais confidenciais AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 CRÍTICO Não Acionado por alterações
CodeBuild.2 CodeBuild as variáveis de ambiente do projeto não devem conter credenciais de texto não criptografado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 CRÍTICO Não Acionado por alterações
CodeBuild.3 CodeBuild Os registros do S3 devem ser criptografados AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, BAIXO Não Acionado por alterações
CodeBuild.4 CodeBuild ambientes de projeto devem ter uma configuração de registro AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
CodeBuild.7 CodeBuild as exportações do grupo de relatórios devem ser criptografadas em repouso AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
CodeGuruProfiler.1 CodeGuru Os grupos de criação de perfil do Profiler devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
CodeGuruReviewer.1 CodeGuru As associações do repositório do revisor devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Cognito.1 Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão AWSMelhores práticas básicas de segurança MÉDIO Sim Acionado por alterações
Cognito.2 Os bancos de identidades do Cognito não devem permitir identidades não autenticadas AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
Cognito.3 As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes AWSMelhores práticas básicas de segurança MÉDIO Sim Acionado por alterações
Cognito.4 Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
Cognito.5 O MFA deve ser ativado para grupos de usuários do Cognito AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
Cognito.6 Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
Config.1 AWS Configdeve ser habilitado e usar a função vinculada ao serviço para registro de recursos CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 Rev. 5AWS, PCI DSS v3.2.1 AWS CRÍTICO Sim Periódico
Connect.1 Os tipos de objetos do Connect Customer Customer Profiles devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Connect.2 As instâncias Connect Customer devem ter CloudWatch o registro ativado AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
DataFirehose.1 Os fluxos de entrega do Firehose devem ser criptografados em repouso AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
DataSync.1 DataSync as tarefas devem ter o registro ativado AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
DataSync.2 DataSync as tarefas devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Detective.1 Gráficos de comportamento do Detective devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
DMS.1 As instâncias de replicação do Database Migration Service não devem ser públicas AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 CRÍTICO Não Periódico
DMS.2 Os certificados do DMS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
DMS.3 As assinaturas de eventos do DMS devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
DMS.4 As instâncias de replicação do DMS devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
DMS.5 Os grupos de sub-redes de replicação do DMS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
DMS.6 As instâncias de replicação do DMS devem ter a atualização automática de versões secundárias habilitada AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
DMS.7 As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
DMS.8 As tarefas de replicação do DMS para o banco de dados de origem devem ter o registro em log ativado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
DMS.9 Os endpoints do DMS devem usar SSL AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
DMS.10 Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
DMS.11 Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
DMS.12 Os endpoints do DMS para o Redis OSS devem ter o TLS habitado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
DMS.13 As instâncias de replicação do DMS devem ser configuradas para usar várias zonas de disponibilidade AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
DocumentDB.1 Os clusters do Amazon DocumentDB devem ser criptografados em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
DocumentDB.2 Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações
DocumentDB.3 Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 CRÍTICO Não Acionado por alterações
DocumentDB.4 Os clusters do Amazon DocumentDB devem publicar registros de auditoria em Logs CloudWatch AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
DocumentDB.5 Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
DocumentDB.6 Os clusters do Amazon DocumentDB devem ser criptografados em trânsito AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
DynamoDB.1 As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
DynamoDB.2 As tabelas do DynamoDB devem ter a recuperação pontual habilitada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
DynamoDB.3 Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
DynamoDB.4 As tabelas do DynamoDB devem estar presentes em um plano de backup NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
DynamoDB.5 As tabelas do DynamoDB devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
DynamoDB.6 As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
DynamoDB.7 Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Periódico
EC2.1 Os snapshots do EBS não devem ser restauráveis publicamente AWSMelhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 CRÍTICO Não Periódico
EC2.2 Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark AWS v1.2.0, Foundational Security Best Practices v1.0.0, AWS PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS HIGH (ALTO) Não Acionado por alterações
EC2.3 Os volumes anexados do EBS devem ser criptografados em repouso. AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
EC2.4 As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
EC2.6 O registro em de fluxo de VPC deve ser ativado em todas as VPCs CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark AWS v1.2.0, Foundational Security Best Practices v1.0.0, AWS PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 AWS MÉDIO Não Periódico
EC2.7 A criptografia padrão do EBS deve estar ativada CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, Foundational Security Best Practices v1.0.0AWS, AWS CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS MÉDIO Não Periódico
EC2.8 As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2) CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, Melhores AWS práticas de segurança básica, NIST SP 800-53 Rev. 5AWS, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
EC2.9 As instâncias do EC2 não devem ter um endereço IPv4 público AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Acionado por alterações
EC2.10 O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2 AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MÉDIO Não Periódico
EC2.12 Os EIPs do EC2 não utilizados devem ser removidos PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
EC2.13 Grupos de segurança não devem permitir a entrada a partir de 0.0.0. 0/0 ou: :/0 para a porta 22 Referência do CIS AWS Foundations v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 HIGH (ALTO) Não Acionado por alterações e periódico
EC2.14 Grupos de segurança não devem permitir a entrada a partir de 0.0.0. 0/0 ou: :/0 para a porta 3389 Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações e periódico
EC2.15 As sub-redes do EC2 não devem atribuir automaticamente endereços IP públicos AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, MÉDIO Não Acionado por alterações
EC2.16 As listas de controle de acesso à rede não utilizadas devem ser removidas AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, BAIXO Não Acionado por alterações
EC2.17 As instâncias do EC2 não devem usar vários ENIs AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
EC2.18 Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 HIGH (ALTO) Sim Acionado por alterações
EC2.19 Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 CRÍTICO Não Acionado por alterações e periódico
EC2.20 Ambos os túneis VPN de uma conexão AWS Site-to-Site VPN devem estar ativos AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MÉDIO Não Acionado por alterações
EC2.21 As ACLs de rede não devem permitir a entrada a partir de 0.0.0. 0/0 para a porta 22 ou porta 3389 CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark AWS v1.4.0, Melhores práticas de segurança básica, AWS NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
EC2.22 Os grupos de segurança do EC2 não utilizados devem ser removidos MÉDIO Não Periódico
EC2.23 Os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Acionado por alterações
EC2.24 Os tipos de instância paravirtual do EC2 não devem ser usados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
EC2.25 Os modelos de lançamento do EC2 não devem atribuir IPs públicos às interfaces de rede AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
EC2.28 Os volumes do EBS devem estar em um plano de backup NIST SP 800-53 Rev. 5 BAIXO Sim Periódico
EC2.33 Os anexos do gateway de trânsito do EC2 devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.34 As tabelas de rotas do gateway de trânsito do EC2 devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.35 As interfaces de rede do EC2 devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.36 Os gateways dos clientes do EC2 devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.37 Os endereços IP elásticos do EC2 devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.38 As instâncias do EC2 devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.39 Os gateways da Internet do EC2 devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.40 Os gateways de NAT do EC2 devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.41 As ACLs de rede do EC2 devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.42 As tabelas de rotas do EC2 devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.43 Os grupos de segurança do EC2 devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.44 As sub-redes do EC2 devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.45 Os volumes do EC2 devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.46 As Amazon VPCs devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.47 Os serviços de endpoint da Amazon VPC devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.48 Os logs de fluxo da Amazon VPC devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.49 As conexões de emparelhamento da Amazon VPC devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.50 Os gateways da VPN do EC2 devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.51 Os endpoints da Client VPN do EC2 devem ter o registro em log de conexão do cliente habilitado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 BAIXO Não Acionado por alterações
EC2.52 Os gateways de trânsito do EC2 devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.53 Os grupos de segurança do EC2 não devem permitir a entrada a partir de 0.0.0. 0/0 às portas de administração remota do servidor Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0, PCI AWS DSS v4.0.1 HIGH (ALTO) Não Periódico
EC2.54 Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0, PCI AWS DSS v4.0.1 HIGH (ALTO) Não Periódico
EC2.55 As VPCs devem ser configuradas com um endpoint de interface para a API do ECR AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
EC2.56 As VPCs devem ser configuradas com um endpoint de interface para o registro do Docker AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
EC2.57 As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
EC2.58 As VPCs devem ser configuradas com um endpoint de interface para os contatos do Systems Manager Incident Manager AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
EC2.60 As VPCs devem ser configuradas com um endpoint de interface para o Systems Manager Incident Manager AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
EC2.170 Os modelos de inicialização do EC2 devem usar o Instance Metadata Service versão 2 (IMDSv2) AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 BAIXO Não Acionado por alterações
EC2.171 As conexões de VPN do EC2 devem ter o registro em log habilitado AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
EC2.172 As configurações de bloqueio de acesso público à VPC do EC2 devem bloquear o tráfego do gateway da Internet AWSMelhores práticas básicas de segurança MÉDIO Sim Acionado por alterações
EC2.173 Solicitações de frota spot do EC2 com parâmetros de inicialização devem habilitar a criptografia para volumes anexados do EBS AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
EC2.174 Os conjuntos de opções de DHCP do EC2 devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.175 Os modelos de execução do EC2 devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.176 As listas de prefixos do EC2 devem ser marcadas com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.177 As sessões de espelhamento de tráfego do EC2 devem ser marcadas com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.178 Os filtros de espelhamento de tráfego do EC2 devem ser marcadas com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.179 Os destinos de espelhamento de tráfego do EC2 devem ser marcadas com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EC2.180 As interfaces de rede EC2 devem ter a source/destination verificação ativada AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
EC2.181 Os modelos de execução do EC2 devem habilitar a criptografia para volumes anexados do EBS AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
EC2.182 Os snapshots do EBS não devem ser acessíveis ao público AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Acionado por alterações
EC2.183 As conexões VPN EC2 devem usar o protocolo IKEv2 AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
ECR.1 Os repositórios privados do ECR devem ter a digitalização de imagens configurada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
ECR.2 Os repositórios privados do ECR devem ter a imutabilidade de tags configurada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ECR.3 Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ECR.4 Os repositórios públicos do ECR devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
ECR.5 Os repositórios de ECR devem ser criptografados com AWS KMS keys gerenciadas pelo cliente NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
ECS.2 Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
ECS.3 As definições de tarefas do ECS não devem compartilhar o namespace do processo do host AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Acionado por alterações
ECS.4 Os contêineres ECS devem ser executados sem privilégios AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Acionado por alterações
ECS.5 Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Acionado por alterações
ECS.8 Os segredos não devem ser passados como variáveis de ambiente do contêiner AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
ECS.9 As definições de tarefas do ECS devem ter uma configuração de registro em log AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Acionado por alterações
ECS.10 Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
ECS.12 Os clusters do ECS devem usar Container Insights AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ECS.13 Os serviços do ECS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
ECS.14 Os clusters do ECS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
ECS.15 As definições de tarefa do ECS devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
ECS.16 Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
ECS.17 As definições de tarefas do ECS não devem usar o modo de rede host NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ECS.18 As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
ECS.19 Os provedores de capacidade do ECS devem ter a proteção gerenciada de terminação ativada AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
ECS.20 As definições de tarefas do ECS devem configurar usuários não raiz nas definições de contêiner Linux AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
ECS.21 As definições de tarefas do ECS devem configurar usuários não administradores nas definições de contêiner do Windows AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
EFS.1 O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS Referência do CIS AWS Foundations v5.0.0, Benchmark do AWS CIS Foundations v3.0.0, Melhores práticas de segurança básica v1.0.0AWS, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
EFS.2 Os volumes do Amazon EBS devem estar em um plano de backup AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
EFS.3 Os pontos de acesso do EFS devem impor um diretório raiz AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
EFS.4 Os pontos de acesso do EFS devem impor uma identidade de usuário AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
EFS.5 Os pontos de acesso do EFS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EFS.6 Os destinos de montagem do EFS não devem ser associados a sub-redes que atribuam endereços IP públicos na inicialização AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
EFS.7 Os sistemas de arquivos do EFS devem ter backups automáticos habilitados AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
EFS.8 Os sistemas de arquivos do EFS devem ser criptografados em repouso Benchmark do CIS AWS Foundations v5.0.0, Melhores práticas básicas de segurança AWS MÉDIO Sim Acionado por alterações
EKS.1 Os endpoints do cluster EKS não devem ser acessíveis ao público AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
EKS.2 Os clusters EKS devem ser executados em uma versão compatível do Kubernetes AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
EKS.3 Os clusters do EKS devem usar segredos criptografados do Kubernetes AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Periódico
EKS.6 Os clusters do EKS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EKS.7 As configurações do provedor de identidades do EKS devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EKS.8 Os clusters do EKS devem ter o registro em log de auditoria habilitado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
EKS.9 Os grupos de nós do EKS devem ser executados em uma versão compatível do Kubernetes AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Acionado por alterações
ElastiCache.1 ElastiCache Os clusters (Redis OSS) devem ter backups automáticos habilitados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Sim Periódico
ElastiCache.2 ElastiCache os clusters devem ter atualizações automáticas de versões secundárias habilitadas AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
ElastiCache.3 ElastiCache os grupos de replicação devem ter o failover automático ativado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
ElastiCache.4 ElastiCache grupos de replicação devem ser criptografados em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
ElastiCache.5 ElastiCache os grupos de replicação devem ser criptografados em trânsito AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Periódico
ElastiCache.6 ElastiCache Grupos de replicação (Redis OSS) de versões anteriores devem ter o Redis OSS AUTH ativado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Periódico
ElastiCache.7 ElastiCache os clusters não devem usar o grupo de sub-rede padrão AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Periódico
ElasticBeanstalk.1 Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
ElasticBeanstalk.2 As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Sim Acionado por alterações
ElasticBeanstalk.3 O Elastic Beanstalk deve transmitir registros para CloudWatch AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Sim Acionado por alterações
ELB.1 O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS AWSMelhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
ELB.2 Os balanceadores de carga clássicos com SSL/HTTPS ouvintes devem usar um certificado fornecido pelo Gerenciador de certificados da AWS AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MÉDIO Não Acionado por alterações
ELB.3 Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
ELB.4 O Application Load Balancer deve ser configurado para eliminar cabeçalhos http AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
ELB.5 O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ELB.6 A proteção contra exclusão dos balanceadores de carga de aplicações, gateways e redes deve estar habilitada AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ELB.7 Os Classic Load Balancers devem ter a drenagem da conexão ativada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
ELB.8 Os Classic Load Balancers com receptores SSL devem usar uma política de segurança predefinida que tenha uma configuração forte AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
ELB.9 Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ELB.10 O Classic Load Balancer deve abranger várias zonas de disponibilidade AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
ELB.12 O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
ELB.13 Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
ELB.14 O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
ELB.16 Os balanceadores de carga de aplicativos devem ser associados a uma ACL web do AWS WAF NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ELB.17 Application Load Balancers e Network Load Balancers com receptores devem usar as políticas de segurança recomendadas AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ELB.18 Os receptores do Application Load Balancer e do Network Load Balancer devem usar protocolos seguros para criptografar dados em trânsito AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
ELB.21 Os grupos-alvo do Application and Network Load Balancer devem usar protocolos de verificação de integridade criptografados AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
ELB.22 Os grupos-alvo do ELB devem usar protocolos de transporte criptografados AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
EMR.1 Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
EMR.2 A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 CRÍTICO Não Periódico
EMR.3 As configurações de segurança do Amazon EMR devem ser criptografadas em repouso AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
EMR.4 As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ES.1 Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada AWSMelhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
ES.2 Os domínios do Elasticsearch não devem ser publicamente acessíveis AWSMelhores práticas básicas de segurança, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 CRÍTICO Não Periódico
ES.3 Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, MÉDIO Não Acionado por alterações
ES.4 O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ES.5 Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ES.6 Os domínios do Elasticsearch devem ter pelo menos três nós de dados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ES.7 Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
ES.8 As conexões com os domínios do Elasticsearch devem ser criptografadas com a política de segurança TLS mais recente AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
ES.9 Os domínios do Elasticsearch devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EventBridge.2 EventBridge ônibus de eventos devem ser etiquetados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
EventBridge.3 EventBridge os ônibus de eventos personalizados devem ter uma política baseada em recursos anexada AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAIXO Não Acionado por alterações
EventBridge.4 EventBridge endpoints globais devem ter a replicação de eventos ativada NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
FraudDetector.1 Os tipos de entidade do Amazon Fraud Detector devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
FraudDetector.2 Os rótulos do Amazon Fraud Detector devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
FraudDetector.3 Os resultados do Amazon Fraud Detector devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
FraudDetector.4 As variáveis do Amazon Fraud Detector devem ser marcadas com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
FSx.1 Os sistemas de arquivos do Amazon FSx para OpenZFS devem estar configurados para copiar tags para backups e volumes. AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Periódico
FSx.2 Os sistemas de arquivos FSx para Lustre devem estar configurados para copiar tags em backups AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 BAIXO Não Periódico
FSx.3 FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
FSx.4 Os sistemas de arquivos FSx for NetApp ONTAP devem ser configurados para implantação Multi-AZ AWSMelhores práticas básicas de segurança MÉDIO Sim Periódico
FSx.5 Os sistemas de arquivos FSx for Windows File Server devem ser configurados Multi-AZ para implantação AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
Glue.1 AWS Glueos trabalhos devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Glue.3 AWS Glueas transformações de aprendizado de máquina devem ser criptografadas em repouso AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
Glue.4 AWS GlueOs trabalhos do Spark devem ser executados em versões compatíveis do AWS Glue AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
GlobalAccelerator.1 Os aceleradores do Global Accelerator devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
GuardDuty.1 GuardDuty deve ser habilitado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
GuardDuty.2 GuardDuty os filtros devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
GuardDuty.3 GuardDuty Os IPsets devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
GuardDuty.4 GuardDuty detectores devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
GuardDuty.5 GuardDuty O monitoramento do registro de auditoria do EKS deve estar ativado AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Periódico
GuardDuty.6 GuardDuty A Proteção Lambda deve estar ativada AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
GuardDuty.7 GuardDuty O monitoramento de tempo de execução do EKS deve estar ativado AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
GuardDuty.8 GuardDuty A proteção contra malware para EC2 deve estar ativada AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Periódico
GuardDuty.9 GuardDuty A proteção do RDS deve estar ativada AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
GuardDuty.10 GuardDuty A proteção S3 deve estar ativada AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
GuardDuty.11 GuardDuty O monitoramento de tempo de execução deve estar ativado AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Periódico
GuardDuty.12 GuardDuty O ECS Runtime Monitoring deve estar ativado AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
GuardDuty.13 GuardDuty O monitoramento de tempo de execução do EC2 deve estar ativado AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
IAM.1 As políticas do IAM não devem permitir privilégios administrativos completos "*" CIS AWS Foundations Benchmark v1.2.0, Melhores práticas de segurança AWS básicas v1.0.0, PCI DSS v3.2.1, CIS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP AWS 800-171 Rev. 2 HIGH (ALTO) Não Acionado por alterações
IAM.2 Os usuários do IAM não devem ter políticas do IAM anexadas CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark AWS v1.2.0, Foundational Security Best Practices v1.0.0, AWS PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 BAIXO Não Acionado por alterações
IAM.3 As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 Rev. 5AWS, PCI DSS v4.0.1 AWS MÉDIO Não Periódico
IAM.4 A chave de acesso do usuário raiz do IAM não deve existir CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations AWS Benchmark v1.2.0, Melhores Práticas de Segurança Fundamental v1.0.0AWS, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 CRÍTICO Não Periódico
IAM.5 A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 Rev. 5AWS, PCI DSS v4.0.1 AWS MÉDIO Não Periódico
IAM.6 A MFA de hardware deve estar habilitada para o usuário raiz CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, Melhores práticas de segurança básica, NIST SP 800-53 Rev. 5AWS, PCI DSS v3.2.1AWS, PCI DSS v4.0.1 CRÍTICO Não Periódico
IAM.7 Políticas de senha para usuários do IAM que devem ter configurações fortes AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MÉDIO Sim Periódico
IAM.8 As credenciais de usuário do IAM não utilizadas devem ser removidas CIS AWS Foundations Benchmark v1.2.0, Melhores práticas AWS básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 MÉDIO Não Periódico
IAM.9 A MFA deve estar habilitada para o usuário raiz CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS AWS v3.2.1, PCI DSS v4.0.1 CRÍTICO Não Periódico
IAM.10 Políticas de senha para usuários do IAM que devem ter configurações fortes NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 MÉDIO Não Periódico
IAM.11 Certifique-se que A política de senha do IAM exija pelo menos uma letra maiúscula Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MÉDIO Não Periódico
IAM.12 Certifique-se que a política de senha do IAM exija pelo menos uma letra minúscula Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MÉDIO Não Periódico
IAM.13 Certifique-se que política de senha do IAM exija pelo menos um símbolo Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2 MÉDIO Não Periódico
IAM.14 Certifique-se que política de senha do IAM exija pelo menos um número Referência do CIS AWS Foundations v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MÉDIO Não Periódico
IAM.15 Certifique-se que a política de senha do IAM exija um comprimento mínimo de 14 ou mais CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 AWS MÉDIO Não Periódico
IAM.16 Verificar se a política de senha do IAM impede a reutilização de senhas CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2AWS, PCI DSS v4.0.1 BAIXO Não Periódico
IAM.17 Certifique-se que a política de senha do IAM expire senhas em até 90 dias ou menos Referência do CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 BAIXO Não Periódico
IAM.18 Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2AWS, PCI DSS v4.0.1 BAIXO Não Periódico
IAM.19 A MFA deve estar habilitada para todos os usuários do IAM NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 MÉDIO Não Periódico
IAM.21 As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços. AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 BAIXO Não Acionado por alterações
IAM.22 As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas Benchmark do CIS AWS Foundations v5.0.0, do CIS Foundations Benchmark v3.0.0, do AWS CIS Foundations Benchmark v1.4.0, do NIST SP AWS 800-171 Rev. 2 MÉDIO Não Periódico
IAM.23 Os analisadores do IAM Access Analyzer devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IAM.24 Os perfis do IAM devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IAM.25 Os usuários do IAM devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IAM.26 SSL/TLS Os certificados expirados gerenciados no IAM devem ser removidos Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0 AWS MÉDIO Não Periódico
IAM.27 As identidades do IAM não devem ter a AWSCloudShellFullAccess política anexada Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0 AWS MÉDIO Não Acionado por alterações
IAM.28 O analisador de acesso externo do IAM Access Analyzer deve ser habilitado Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0 AWS HIGH (ALTO) Não Periódico
Inspector.1 A varredura do EC2 pelo Amazon Inspector deve estar habilitada AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
Inspector.2 A varredura do ECR pelo Amazon Inspector deve estar habilitada AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
Inspector.3 A varredura de código do Lambda pelo Amazon Inspector deve estar habilitada AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
Inspector.4 A varredura padrão do Lambda pelo Amazon Inspector deve estar habilitada AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
IoT.1 AWS IoT Device Defenderperfis de segurança devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT.2 AWS IoT Coreações de mitigação devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT.3 AWS IoT Coreas dimensões devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT.4 AWS IoT Coreos autorizadores devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT.5 AWS IoT Corealiases de função devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoT.6 AWS IoT Coreas políticas devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTEvents.1 AWS IoT Eventsas entradas devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTEvents.2 AWS IoT Eventsmodelos de detectores devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTEvents.3 AWS IoT Eventsmodelos de alarme devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTSiteWise.1 AWS IoT SiteWisemodelos de ativos devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTSiteWise.2 AWS IoT SiteWiseos painéis devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTSiteWise.3 AWS IoT SiteWisegateways devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTSiteWise.4 AWS IoT SiteWiseportais devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTSiteWise.5 AWS IoT SiteWiseprojetos devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTTwinMaker.1 AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTTwinMaker.2 AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTTwinMaker.3 AWSAs TwinMaker cenas de IoT devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTTwinMaker.4 AWSAs TwinMaker entidades de IoT devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTWireless.1 AWSOs grupos multicast do IoT Wireless devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTWireless.2 AWSOs perfis de serviço IoT Wireless devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IoTWireless.3 AWSAs tarefas do IoT Wireless FUOTA devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IVS.1 Os pares de chaves de reprodução do IVS devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IVS.2 As configurações de gravação do IVS devem ser marcadas com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
IVS.3 Os canais do IVS devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Keyspaces.1 Os keyspaces do Amazon Keyspaces devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Kinesis.1 Os fluxos do Kinesis devem ser criptografados em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Kinesis.2 Os fluxos do Kinesis devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Kinesis.3 Os fluxos do Kinesis devem ter um período de retenção de dados adequado AWSMelhores práticas básicas de segurança MÉDIO Sim Acionado por alterações
KMS.1 As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
KMS.2 As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
KMS.3 AWS KMS keysnão deve ser excluído acidentalmente AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 CRÍTICO Não Acionado por alterações
KMS.4 AWS KMS keya rotação deve ser ativada CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, AWS CIS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS AWS v3.2.1, PCI DSS v4.0.1 MÉDIO Não Periódico
KMS.5 As chaves do KMS não devem ser acessíveis publicamente AWSMelhores práticas básicas de segurança CRÍTICO Não Acionado por alterações
Lambda.1 As funções do Lambda devem proibir o acesso público AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 CRÍTICO Não Acionado por alterações
Lambda.2 As funções do Lambda devem usar os tempos de execução compatíveis AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
Lambda.3 As funções do Lambda devem estar em uma VPC PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
Lambda.5 As funções do Lambda da VPC devem operar em várias zonas de disponibilidade AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
Lambda.6 As funções do Lambda devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Lambda.7 As funções Lambda devem ter o rastreamento AWS X-Ray ativo ativado NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
Macie.1 O Amazon Macie deve ser habilitado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
Macie.2 A descoberta automatizada de dados confidenciais do Macie deve estar habilitada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Periódico
MSK.1 Os clusters MSK devem ser criptografados em trânsito entre os nós do agente AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
MSK.2 Os clusters do MSK devem ter um monitoramento aprimorado configurado NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
MSK.3 Os conectores da MSK Connect devem ser criptografados em trânsito AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
MSK.4 Os clusters do MSK devem ter o acesso público desabilitado AWSMelhores práticas básicas de segurança CRÍTICO Não Acionado por alterações
MSK.5 Os conectores do MSK devem ter o registro em log habilitado AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
MSK.6 Os clusters do MSK devem desabilitar o acesso não autenticado AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
MQ.2 Os corretores ActiveMQ devem transmitir os registros de auditoria para CloudWatch AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
MQ.4 Os agentes do Amazon MQ devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
MQ.5 Os corretores ActiveMQ devem usar o modo de implantação active/standby NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
MQ.6 Os agentes do RabbitMQ devem usar o modo de implantação de cluster NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
Neptune.1 Os clusters de banco de dados Neptune devem ser criptografados em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Neptune.2 Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
Neptune.3 Os snapshots do cluster de banco de dados Neptune não devem ser públicos AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 CRÍTICO Não Acionado por alterações
Neptune.4 O cluster de banco de dados do Neptune deve ter a proteção contra exclusão habilitada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
Neptune.5 Os clusters de banco de dados Neptune devem ter backups automatizados habilitados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
Neptune.6 Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Neptune.7 Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Neptune.8 Os clusters de banco de dados Neptune devem ser configurados para copiar tags para snapshots AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
Neptune.9 Os clusters de banco de dados Neptune devem ser implantados em várias zonas de disponibilidade NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
NetworkFirewall.1 Os firewalls do Network Firewall devem ser implantados em várias zonas de disponibilidade NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
NetworkFirewall.2 O registro em log do Network Firewall deve ser habilitado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MÉDIO Não Periódico
NetworkFirewall.3 As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MÉDIO Não Acionado por alterações
NetworkFirewall.4 A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos. AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
NetworkFirewall.5 A ação sem estado padrão para políticas de firewall de rede deve ser descartar ou encaminhar pacotes fragmentados. AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MÉDIO Não Acionado por alterações
NetworkFirewall.6 O grupo de regras de firewall de rede sem estado não deve estar vazio AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MÉDIO Não Acionado por alterações
NetworkFirewall.7 Os firewalls do Network Firewall devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
NetworkFirewall.8 As políticas de firewall do Network Firewall devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
NetworkFirewall.9 Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
NetworkFirewall.10 Os firewalls do Network Firewall devem ter a proteção contra alteração de sub-rede habilitada AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Opensearch.1 OpenSearch os domínios devem ter a criptografia em repouso ativada AWSMelhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Opensearch.2 OpenSearch os domínios não devem ser acessíveis ao público AWSMelhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 CRÍTICO Não Acionado por alterações
Opensearch.3 OpenSearch os domínios devem criptografar os dados enviados entre os nós AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Opensearch.4 OpenSearch o registro de erros de domínio CloudWatch nos registros deve estar ativado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Opensearch.5 OpenSearch os domínios devem ter o registro de auditoria ativado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
Opensearch.6 OpenSearch os domínios devem ter pelo menos três nós de dados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Opensearch.7 OpenSearch os domínios devem ter um controle de acesso refinado ativado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Acionado por alterações
Opensearch.8 As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Opensearch.9 OpenSearch domínios devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Opensearch.10 OpenSearch os domínios devem ter a atualização de software mais recente instalada AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
Opensearch.11 OpenSearch os domínios devem ter pelo menos três nós primários dedicados NIST SP 800-53 Rev. 5 BAIXO Não Periódico
PCA.1 CA privada da AWSa autoridade de certificação raiz deve ser desativada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Periódico
PCA.2 AWSAs autoridades certificadoras privadas da CA devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.1 [RDS.1] Os snapshots do RDS devem ser privados AWSMelhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 CRÍTICO Não Acionado por alterações
RDS.2 As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, Melhores práticas básicas de segurança, NIST SP 800-53 Rev. 5AWS, AWS PCI DSS v3.2.1, PCI DSS v4.0.1 CRÍTICO Não Acionado por alterações
RDS.3 As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada. CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark v1.4.0, Foundational Security Best Practices v1.0.0, AWS NIST SP 800-53 AWS Rev. 5 MÉDIO Não Acionado por alterações
RDS.4 Os snapshots do cluster do RDS e os snapshots do banco de dados devem ser criptografados em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
RDS.5 As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade Benchmark do CIS AWS Foundations v5.0.0, Melhores práticas de segurança AWS básicas v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
RDS.6 O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Sim Acionado por alterações
RDS.7 O cluster de banco de dados do RDS deve ter a proteção contra exclusão habilitada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
RDS.8 As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
RDS.9 As instâncias de banco de dados do RDS devem publicar registros em Logs CloudWatch AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
RDS.10 A autenticação do IAM deve ser configurada para instâncias do RDS AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
RDS.11 As instâncias do RDS devem ter backups automáticos habilitados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
RDS.12 A autenticação do IAM deve ser configurada para clusters do RDS AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
RDS.13 As atualizações automáticas de versões secundárias do RDS devem estar habilitadas CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, Melhores AWS práticas de segurança básica, NIST SP 800-53 Rev. 5AWS, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
RDS.14 Os clusters Amazon Aurora devem ter o backtracking habilitado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
RDS.15 Os clusters de banco de dados do RDS devem ser configurados com várias zonas de disponibilidade Benchmark do CIS AWS Foundations v5.0.0, Melhores práticas de segurança AWS básicas v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
RDS.16 Os clusters de banco de dados do Aurora devem ser configurados para copiar tags para snapshots de bancos de dados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
RDS.17 As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para snapshots AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
RDS.19 As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
RDS.20 As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAIXO Não Acionado por alterações
RDS.21 Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAIXO Não Acionado por alterações
RDS.22 Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAIXO Não Acionado por alterações
RDS.23 As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
RDS.24 Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
RDS.25 As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
RDS.26 As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
RDS.27 Os clusters de banco de dados do RDS devem ser criptografados em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
RDS.28 Os clusters de bancos de dados do RDS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.29 Os snapshots de cluster de bancos de dados do RDS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.30 As instâncias de bancos de dados do RDS devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.31 Os grupos de segurança de bancos de dados do RDS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.32 Os snapshots de bancos de dados do RDS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.33 Os grupos de sub-redes de bancos de dados do RDS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
RDS.34 Os clusters de banco de dados Aurora MySQL devem publicar registros de auditoria no Logs CloudWatch AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
RDS.35 Os clusters de banco de dados do RDS devem ter a atualização automática de versões secundárias ativada AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
RDS.36 O RDS para instâncias de banco de dados PostgreSQL deve publicar registros em Logs CloudWatch AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações
RDS.37 Os clusters de banco de dados Aurora PostgreSQL devem publicar registros em Logs CloudWatch AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
RDS.38 As instâncias de banco de dados do RDS para PostgreSQL devem ser criptografadas em trânsito AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
RDS.39 As instâncias de banco de dados do RDS para MySQL devem ser criptografadas em trânsito AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
RDS.40 O RDS para instâncias de banco de dados SQL Server deve publicar registros em Logs CloudWatch AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
RDS.41 As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
RDS.42 O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
RDS.43 Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
RDS.44 As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
RDS.45 Os clusters de banco de dados do Aurora MySQL devem ter o registro em log de auditoria habilitado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
RDS.46 As instâncias de banco de dados do RDS não devem ser implantadas em sub-redes públicas com rotas para gateways da Internet AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Periódico
RDS.47 Os clusters de banco de dados do RDS para PostgreSQL devem ser configurados para copiar tags para snapshots AWSMelhores práticas básicas de segurança BAIXO Não Acionado por alterações
RDS.48 Os clusters de banco de dados do RDS para MySQL devem ser configurados para copiar tags para snapshots AWSMelhores práticas básicas de segurança BAIXO Não Acionado por alterações
RDS.50 Os clusters de banco de dados do RDS devem ter um período de retenção de backup suficiente definido AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Sim Acionado por alterações
RDS.51 Os clusters globais do RDS devem ser executados em uma versão compatível do Aurora MySQL AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Acionado por alterações
Redshift.1 Os clusters do Amazon Redshift devem proibir o acesso público AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 CRÍTICO Não Acionado por alterações
Redshift.2 As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
Redshift.3 Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Sim Acionado por alterações
Redshift.4 Os clusters do Amazon Redshift devem ter o registro de auditoria ativado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
Redshift.6 O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Redshift.7 Os clusters do Redshift devem usar roteamento de VPC aprimorado AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Redshift.8 Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Redshift.10 Os clusters do Redshift devem ser criptografados em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Redshift.11 Os clusters do Redshift devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Redshift.12 As notificações de assinatura de eventos do Redshift devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Redshift.13 Os snapshots de clusters do Redshift devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Redshift.14 Os grupos de sub-redes de clusters do Redshift devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Redshift.15 Os grupos de segurança do Redshift devem permitir a entrada na porta do cluster de origens restritas AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
Redshift.16 Os grupos de sub-redes de clusters do Redshift devem ter sub-redes de várias zonas de disponibilidade NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Redshift.17 Os grupos de parâmetros de clusters do Redshift devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Redshift.18 Os clusters do Redshift devem ter Multi-AZ implantações habilitadas AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
RedshiftServerless.1 Os grupos de trabalho do Amazon Redshift sem servidor devem usar roteamento aprimorado de VPC AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Periódico
RedshiftServerless.2 As conexões com grupos de trabalho do Redshift sem servidor devem ser obrigatórias para o uso de SSL AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
RedshiftServerless.3 Os grupos de trabalho do Redshift sem servidor devem proibir o acesso público AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Periódico
RedshiftServerless.4 Os namespaces sem servidor do Redshift devem ser criptografados com o gerenciamento do cliente AWS KMS keys NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
RedshiftServerless.5 Os namespaces do Redshift sem servidor não devem usar o nome de usuário admin padrão AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
RedshiftServerless.6 Os namespaces sem servidor do Redshift devem exportar registros para Logs CloudWatch AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
Route53.1 As verificações de integridade do Route 53 devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Route53.2 As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
S3.1 Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark AWS v1.4.0, Melhores práticas de segurança básica, AWS NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 MÉDIO Não Periódico
S3.2 Os buckets de uso geral do S3 devem bloquear o acesso público para leitura AWSMelhores práticas básicas de segurança, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 CRÍTICO Não Acionado por alterações e periódico
S3.3 Os buckets de uso geral do S3 devem bloquear o acesso público para gravação AWSMelhores práticas básicas de segurança, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 CRÍTICO Não Acionado por alterações e periódico
S3.5 Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark AWS v1.4.0, AWS Melhores práticas de segurança básica, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
S3.6 As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 HIGH (ALTO) Não Acionado por alterações
S3.7 Os buckets de uso geral do S3 devem usar replicação entre regiões PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 BAIXO Não Acionado por alterações
S3.8 Os buckets de uso geral do S3 devem bloquear o acesso público CIS AWS Foundations Benchmark v5.0.0, CIS Foundations Benchmark v3.0.0, AWS CIS Foundations Benchmark AWS v1.4.0, Melhores práticas de segurança básica, AWS NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
S3.9 Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
S3.10 Os buckets de uso geral do S3 com versionamento habilitado devem ter configurações de ciclo de vida NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
S3.11 Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MÉDIO Sim Acionado por alterações
S3.12 As ACLs não devem ser usadas para gerenciar o acesso de usuários aos buckets de uso geral do S3 AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
S3.13 Os buckets de uso geral do S3 devem ter configurações de ciclo de vida AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 BAIXO Sim Acionado por alterações
S3.14 Os buckets de uso geral do S3 devem ter o versionamento habilitado NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 BAIXO Não Acionado por alterações
S3.15 Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações
S3.17 Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
S3.19 Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 CRÍTICO Não Acionado por alterações
S3.20 Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada Benchmark do CIS AWS Foundations v5.0.0, do CIS Foundations Benchmark v3.0.0, do AWS CIS Foundations Benchmark v1.4.0, do NIST SP AWS 800-53 Rev. 5 BAIXO Não Acionado por alterações
S3.22 Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0, PCI AWS DSS v4.0.1 MÉDIO Não Periódico
S3.23 Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto Referência do CIS AWS Foundations v5.0.0, Referência do CIS Foundations v3.0.0, PCI AWS DSS v4.0.1 MÉDIO Não Periódico
S3.24 Os pontos de Multi-Region acesso S3 devem ter as configurações de bloqueio de acesso público ativadas AWSMelhores práticas básicas de segurança, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
S3.25 Os buckets de diretório do S3 devem ter configurações de ciclo de vida AWSMelhores práticas básicas de segurança BAIXO Sim Acionado por alterações
SageMaker.1 As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 HIGH (ALTO) Não Periódico
SageMaker.2 SageMaker instâncias de notebook devem ser lançadas em uma VPC personalizada AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Acionado por alterações
SageMaker.3 Os usuários não devem ter acesso root às instâncias do SageMaker notebook AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 HIGH (ALTO) Não Acionado por alterações
SageMaker.4 SageMaker as variantes de produção de endpoints devem ter uma contagem inicial de instâncias maior que 1 AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
SageMaker.5 SageMaker os modelos devem ter o isolamento de rede ativado AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
SageMaker.6 SageMaker as configurações de imagem do aplicativo devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
SageMaker.7 SageMaker as imagens devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
SageMaker.8 SageMaker instâncias de notebook devem ser executadas em plataformas compatíveis AWSMelhores práticas básicas de segurança MÉDIO Não Periódico
SageMaker.9 SageMaker as definições de tarefas de qualidade de dados devem ter a criptografia de tráfego entre contêineres ativada AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
SageMaker.10 SageMaker as definições de tarefas de explicabilidade do modelo devem ter a criptografia de tráfego entre contêineres ativada AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
SageMaker.11 SageMaker as definições de trabalho de qualidade de dados devem ter o isolamento de rede ativado AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
SageMaker.12 SageMaker as definições de tarefas de viés de modelo devem ter o isolamento de rede ativado AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
SageMaker.13 SageMaker as definições de tarefas de qualidade do modelo devem ter a criptografia de tráfego entre contêineres ativada AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
SageMaker.14 SageMaker os cronogramas de monitoramento devem ter o isolamento de rede ativado AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
SageMaker.15 SageMaker as definições de tarefas de viés de modelo devem ter a criptografia de tráfego entre contêineres ativada AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Acionado por alterações
SageMaker.16 SageMaker os modelos devem usar registro privado em VPC para contêineres primários AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
SageMaker.17 SageMaker as lojas off-line do grupo de recursos devem ser criptografadas com AWS KMS chaves AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
SageMaker.18 SageMaker grupos de recursos: lojas on-line com armazenamento padrão devem ser criptografadas com AWS KMS chaves NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
SageMaker.19 SageMaker os modelos devem usar registro privado na VPC para pipelines de inferência de vários contêineres AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
SageMaker.20 SageMaker as definições de tarefas de explicabilidade do modelo devem ter o isolamento de rede ativado AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Acionado por alterações
SageMaker.21 SageMaker as instâncias do notebook devem ser criptografadas com AWS KMS chaves gerenciadas pelo cliente AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
SageMaker.22 SageMaker os cronogramas de monitoramento devem ter a criptografia de tráfego entre contêineres ativada AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
SageMaker.23 SageMaker os experimentos de inferência devem ter o volume de armazenamento da instância criptografado com chaves gerenciadas pelo AWS KMS cliente AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
SageMaker.24 SageMaker os experimentos de inferência devem ter o armazenamento de dados criptografado com chaves gerenciadas pelo AWS KMS cliente AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
SageMaker.25 SageMaker as definições de trabalho de qualidade do modelo devem ter o isolamento de rede ativado AWSMelhores práticas básicas de segurança HIGH (ALTO) Não Acionado por alterações
SecretsManager.1 Os segredos do Secrets Manager devem ter a alternância automática ativada AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações
SecretsManager.2 Os segredos do Secrets Manager configurados com alternância automática devem girar com sucesso AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Acionado por alterações
SecretsManager.3 Remover segredos do Secrets Manager não utilizados AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Sim Periódico
SecretsManager.4 Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Sim Periódico
SecretsManager.5 Os segredos do Secrets Manager devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
ServiceCatalog.1 Os portfólios do Service Catalog devem ser compartilhados somente dentro de uma AWS organização AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Periódico
SES.1 As listas de contatos do SES devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
SES.2 Os conjuntos de configuração do SES devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
SES.3 Os conjuntos de configuração do SES devem ter o TLS ativado para envio de e-mails AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
SNS.1 Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MÉDIO Não Acionado por alterações
SNS.3 Os tópicos do SNS devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
SNS.4 As políticas de acesso a tópicos do SNS não devem permitir o acesso público AWSMelhores práticas básicas de segurança CRÍTICO Não Acionado por alterações
SQS.1 As filas do Amazon SQS devem ser criptografadas em repouso AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
SQS.2 As filas do SQS devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
SQS.3 As políticas de acesso a filas do SQS não devem permitir o acesso público AWSMelhores práticas básicas de segurança CRÍTICO Não Acionado por alterações
SSM.1 As instâncias do EC2 devem ser gerenciadas por AWS Systems Manager AWSMelhores práticas básicas de segurança v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
SSM.2 As instâncias do EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT após a instalação do patch AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 HIGH (ALTO) Não Acionado por alterações
SSM.3 As instâncias de EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 BAIXO Não Acionado por alterações
SSM.4 Os documentos SSM não devem ser públicos AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 CRÍTICO Não Periódico
SSM.5 Os documentos do SSM devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
SSM.6 A automação SSM deve ter o CloudWatch registro ativado AWSMelhores práticas básicas de segurança v1.0.0 MÉDIO Não Periódico
SSM.7 Os documentos do SSM devem ter a configuração de bloqueio de compartilhamento público ativada AWSMelhores práticas básicas de segurança v1.0.0 CRÍTICO Não Periódico
StepFunctions.1 As máquinas de estado do Step Functions devem ter o registro ativado AWSMelhores práticas básicas de segurança v1.0.0, PCI DSS v4.0.1 MÉDIO Sim Acionado por alterações
StepFunctions.2 As atividades do Step Functions devem ser marcadas AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Transfer.1 Os fluxos de trabalho do Transfer Family devem ser marcados AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Transfer.2 Os servidores do Transfer Family não devem usar o protocolo FTP para conexão de endpoints AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Periódico
Transfer.3 Os conectores do Transfer Family devem ter o registro em log habilitado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
Transfer.4 Os contratos do Transfer Family devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Transfer.5 Os certificados do Transfer Family devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Transfer.6 Os conectores do Transfer Family devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
Transfer.7 Os perfis do Transfer Family devem ser marcados com tags AWSPadrão de marcação de recursos BAIXO Sim Acionado por alterações
WAF.1 AWSO registro do WAF Classic Global Web ACL deve estar ativado AWSMelhores práticas básicas de segurança, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 MÉDIO Não Periódico
WAF.2 AWSAs regras regionais clássicas do WAF devem ter pelo menos uma condição AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
WAF.3 AWSOs grupos de regras regionais clássicos do WAF devem ter pelo menos uma regra AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
WAF.4 AWSAs ACLs Web regionais clássicas do WAF devem ter pelo menos uma regra ou grupo de regras AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
WAF.6 AWSAs regras globais do WAF Classic devem ter pelo menos uma condição AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
WAF.7 AWSOs grupos de regras globais do WAF Classic devem ter pelo menos uma regra AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
WAF.8 AWSAs ACLs globais da web do WAF Classic devem ter pelo menos uma regra ou grupo de regras AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
WAF.10 AWSAs ACLs da web do WAF devem ter pelo menos uma regra ou grupo de regras AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5 MÉDIO Não Acionado por alterações
WAF.11 AWSO registro de WAF web ACL deve estar ativado NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 BAIXO Não Periódico
WAF.12 AWSAs regras do WAF devem ter CloudWatch métricas ativadas AWSMelhores práticas básicas de segurança v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 MÉDIO Não Acionado por alterações
WorkSpaces.1 WorkSpaces os volumes do usuário devem ser criptografados em repouso AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações
WorkSpaces.2 WorkSpaces os volumes raiz devem ser criptografados em repouso AWSMelhores práticas básicas de segurança MÉDIO Não Acionado por alterações