As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Padrão Foundational Security Best Practices (FSBP)
O padrão AWS Foundational Security Best Practices é um conjunto de controles que detectam quando você Contas da AWS e seus recursos se desviam das melhores práticas de segurança.
O padrão permite que você avalie continuamente todas as suas cargas de trabalho Contas da AWS e suas cargas de trabalho para identificar rapidamente as áreas de desvio das melhores práticas. Ele fornece orientações acionáveis e prescritivas sobre como aprimorar e manter a postura de segurança da sua organização.
Os controles incluem as melhores práticas de segurança para recursos de vários Serviços da AWS. Cada controle recebe uma categoria que reflete a função de segurança à qual ele se aplica. Para ter mais informações, consulte Categorias de controle.
Controles que se aplicam ao padrão FSBP
[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits
Os estágios da API REST de Gateway devem ter o rastreamento AWS X-Ray habilitado.
O API Gateway deve ser associado a uma WAF Web ACL
Os dados do cache da API REST de Gateway devem ser criptografados em repouso
As rotas do API de Gateway devem especificar um tipo de autorização
O registro de acesso deve ser configurado para os estágios V2 do API de Gateway
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
[AppSync.5] As APIs AWS AppSync do GraphQL não devem ser autenticadas com chaves de API
Os grupos de trabalho do Athena devem ser criptografados em repouso
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado
[CloudFront.7] CloudFront as distribuições devem usar certificados SSL/TLS personalizados
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
[CodeBuild.5] ambientes de CodeBuild projeto não devem ter o modo privilegiado ativado
[Config.1] AWS Config deve estar habilitado
As instâncias de replicação do PCI.DMS.1 Database Migration Service não devem ser públicas
As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado
As tarefas de replicação do DMS para o banco de dados de destino devem ter o registro em log ativado
Os endpoints do DMS devem usar SSL
Os clusters do Amazon DocumentDB devem ser criptografados em repouso
Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda
[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada
[PCI.EC2.1] Os instantâneos do Amazon EBS não devem ser restauráveis publicamente
[EC2.2] O grupo de segurança padrão da VPC não deve permitir o tráfego de entrada e saída
[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso.
As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs
[EC2.7] A criptografia padrão do EBS deve estar ativada
As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)
As instâncias do Amazon EC2 não devem ter um endereço IPv4 público
O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2
As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos
As listas de controle de acesso à rede não utilizadas devem ser removidas
As instâncias do Amazon EC2 não devem usar vários ENIs
Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas
Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
[EC2.20] Ambos os túneis VPN para uma conexão VPN Site-to-Site devem estar ativos AWS
As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389
Os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC
Os tipos de instância paravirtual do Amazon EC2 não devem ser usados
Os modelos de lançamento do Amazon EC2 não devem atribuir IPs públicos às interfaces de rede
Os repositórios privados do ECR devem ter a digitalização de imagens configurada
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário.
Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente
As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
Os contêineres ECS devem ser executados sem privilégios
Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz
Os segredos não devem ser passados como variáveis de ambiente do contêiner
As definições de tarefas do ECS devem ter uma configuração de registro em log
Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
Os clusters do ECS devem usar Container Insights
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
Os pontos de acesso do EFS devem impor um diretório raiz
Os pontos de acesso do EFS devem impor uma identidade de usuário
Os endpoints do cluster EKS não devem ser acessíveis ao público
Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado
[ElastiCache.1] Os clusters ElastiCache Redis devem ter o backup automático ativado
[ElastiCache.4] ElastiCache para Redis, os grupos de replicação devem ser criptografados em repouso
[ElastiCache.5] ElastiCache para Redis, os grupos de replicação devem ser criptografados em trânsito
[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS
O Application Load Balancer deve ser configurado para eliminar cabeçalhos http
O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado
A proteção contra exclusão do Application Load Balancer deve estar ativada
Os Classic Load Balancers devem ter a drenagem da conexão ativada
Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado
Verifica se o Classic Load Balancer abrange várias zonas de disponibilidade (AZs).
Balanceadores de carga de aplicações, redes e gateways não abrangem várias zonas de disponibilidade
[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada
[ES.1] Os domínios do devem ter a criptografia em repouso habilitada.
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado
Os domínios do Elasticsearch devem ter pelo menos três nós de dados
Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados
[GuardDuty.1] GuardDuty deve ser ativado
[IAM.1] As políticas do não devem permitir privilégios administrativos completos "*"
[IAM.2] Os usuários do não devem ter políticas do IAM anexadas
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
[IAM.4] A chave de acesso do usuário raiz do não deve existir
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
As credenciais de usuário do IAM não utilizadas devem ser removidas
Os fluxos do Kinesis devem ser criptografados em repouso
[KMS.3] não AWS KMS keys deve ser excluído acidentalmente
[PCI.lambda.1] As funções do devem proibir o acesso público
[Lambda.2] As funções do devem usar os tempos de execução mais recentes
[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade
[Macie.1] O Amazon Macie deve estar ativado
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve ser ativada
Os clusters MSK devem ser criptografados em trânsito entre os nós do agente
Os clusters de banco de dados Neptune devem ser criptografados em repouso
Os instantâneos do cluster de banco de dados Neptune não devem ser públicos
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
Os clusters de banco de dados Neptune devem ter backups automatizados habilitados
Os clusters de banco de dados Neptune devem ser criptografados em repouso
Os clusters de banco de dados Neptune devem ser configurados para copiar tags para instantâneos
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada
As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
[RDS.1] Os instantâneos do RDS devem ser privados
[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.
As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade
O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS
[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada
[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada
[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch
A autenticação do IAM deve ser configurada para instâncias do RDS
As instâncias do RDS devem ter backups automáticos habilitados
A autenticação do IAM deve ser configurada para instâncias do RDS
[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas
[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado
Os clusters de banco de dados Neptune devem ser configurados para copiar tags para instantâneos
As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para instantâneos
As instâncias do RDS devem ser implantadas em uma VPC
As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados
Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado
Os clusters de banco de dados do RDS devem usar um nome de usuário de administrador personalizado
Os clusters de banco de dados Neptune devem ser criptografados em repouso
[PCI.Redshift.1] Os clusters do devem proibir o acesso público
As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas
Os clusters do Redshift devem usar roteamento de VPC aprimorado
Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações para usar SSL
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usando AWS KMS
As filas do Amazon SQS devem ser criptografadas em repouso
[SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager
Os documentos SSM não devem ser públicos
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
[WAF.4] As ACLs regionais AWS WAF clássicas da web devem ter pelo menos uma regra ou grupo de regras
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
[WAF.8] As ACLs web globais AWS WAF clássicas devem ter pelo menos uma regra ou grupo de regras
[WAF.10] as ACLs AWS WAF da web devem ter pelo menos uma regra ou grupo de regras
As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch