Padrão gerenciado por serviços: AWS Control Tower

Esta seção fornece informações sobre o Service-Managed Standard:. AWS Control Tower

O que é o Service-Managed Standard:? AWS Control Tower

Esse padrão foi desenvolvido para usuários do AWS Security Hub AWS Control Tower e. Ele permite que você configure os controles proativos AWS Control Tower junto com os controles de detetive do Security Hub no AWS Control Tower serviço.

Os controles proativos ajudam a garantir que você Contas da AWS mantenha a conformidade, pois sinalizam ações que podem levar a violações de políticas ou configurações incorretas. Os controles de detetive detectam a não conformidade de recursos (por exemplo, configurações incorretas) em sua Contas da AWS. Ao habilitar controles proativos e detectivos para seu AWS ambiente, você pode aprimorar sua postura de segurança em diferentes estágios de desenvolvimento.

dica

Os padrões gerenciados por serviços diferem dos padrões gerenciados pelo AWS Security Hub. Por exemplo, você deve criar e excluir um padrão gerenciado por serviços no serviço de gerenciamento. Para ter mais informações, consulte Padrões gerenciados por serviços.

No console e na API do Security Hub, você pode ver o Service-Managed Standard: AWS Control Tower junto com outros padrões do Security Hub.

Criando o padrão

Esse padrão estará disponível somente se você criar o padrão em AWS Control Tower. AWS Control Tower cria o padrão quando você ativa pela primeira vez um controle aplicável usando um dos seguintes métodos:

• AWS Control Tower console

• AWS Control Tower API (chame a EnableControlAPI)

• AWS CLI (execute o enable-controlcomando)

Os controles do Security Hub são identificados no AWS Control Tower console como SH. ControlID (por exemplo, SH. CodeBuild.1).

Ao criar o padrão, se você ainda não tiver habilitado o Security Hub, AWS Control Tower também habilita o Security Hub para você.

Se você não tiver configurado AWS Control Tower, não poderá visualizar ou acessar esse padrão no console do Security Hub, na API do Security Hub ou AWS CLI. Mesmo que você tenha configurado AWS Control Tower, não poderá visualizar ou acessar esse padrão no Security Hub sem primeiro criar o padrão AWS Control Tower usando um dos métodos anteriores.

Esse padrão só está disponível Regiões da AWS onde AWS Control Tower está disponível, inclusive AWS GovCloud (US).

Ativando e desativando controles no padrão

Depois de criar o padrão no AWS Control Tower console, você pode ver o padrão e seus controles disponíveis nos dois serviços.

Depois de criar o padrão pela primeira vez, ele não tem nenhum controle ativado automaticamente. Além disso, quando o Security Hub adiciona novos controles, eles não são habilitados automaticamente para o Service-Managed Standard:. AWS Control Tower Você deve ativar e desativar os controles para o padrão in AWS Control Tower usando um dos seguintes métodos:

• AWS Control Tower console

• AWS Control Tower API (chame as DisableControlAPIs EnableControle)

• AWS CLI (execute os disable-controlcomandos enable-controle)

Quando você altera o status de habilitação de um controle em AWS Control Tower, a alteração também é refletida no Security Hub.

No entanto, desabilitar um controle no Security Hub que está ativado AWS Control Tower resulta em desvio de controle. O status do controle em é AWS Control Tower exibido comoDrifted. Você pode resolver esse desvio selecionando Registrar novamente a OU no AWS Control Tower console ou desativando e reativando o controle AWS Control Tower usando um dos métodos anteriores.

A conclusão das ações de ativação e desativação AWS Control Tower ajuda a evitar desvios de controle.

Quando você ativa ou desativa os controles em AWS Control Tower, a ação se aplica a todas as contas e regiões. Se você ativar e desativar os controles no Security Hub (não recomendado para esse padrão), a ação se aplicará somente à conta atual e à região.

nota

A configuração central não pode ser usada para gerenciar o Service-Managed Standard:. AWS Control Tower Se você usar a configuração central, poderá usar somente o AWS Control Tower serviço para ativar e desativar os controles desse padrão para uma conta gerenciada centralmente.

Visualizando o status da habilitação e o status do controle

Você pode exibir o status de habilitação de um controle usando um dos métodos a seguir:

• Console do Security Hub, API do Security Hub ou AWS CLI

• AWS Control Tower console

• AWS Control Tower API para ver uma lista de controles habilitados (chame a ListEnabledControlsAPI)

• AWS CLI para ver uma lista de controles habilitados (execute o list-enabled-controlscomando)

Um controle que você desabilita AWS Control Tower tem um status de habilitação Disabled no Security Hub, a menos que você habilite explicitamente esse controle no Security Hub.

O Security Hub calcula o status do controle com base no status do fluxo de trabalho e no status de conformidade das descobertas de controle. Para obter mais informações sobre o status de habilitação e o status de controle, consulte Visualizar detalhes de um controle.

Com base nos status de controle, o Security Hub calcula uma pontuação de segurança para o Service-Managed Standard:. AWS Control Tower Essa pontuação só está disponível no Security Hub. Além disso, você só pode visualizar as descobertas de controle no Security Hub. A pontuação de segurança padrão e as descobertas de controle não estão disponíveis em AWS Control Tower.

nota

Quando você ativa controles para Service-Managed Standard: AWS Control Tower, o Security Hub pode levar até 18 horas para gerar descobertas para controles que usam uma regra vinculada ao AWS Config serviço existente. Você pode ter regras vinculadas a serviços existentes se tiver habilitado outros padrões e controles no Security Hub. Para ter mais informações, consulte Programar a execução de verificações de segurança.

Excluindo o padrão

Você pode excluir esse padrão AWS Control Tower desativando todos os controles aplicáveis usando um dos seguintes métodos:

• AWS Control Tower console

• AWS Control Tower API (chame a DisableControlAPI)

• AWS CLI (execute o disable-controlcomando)

A desativação de todos os controles exclui o padrão em todas as contas gerenciadas e regiões governadas no AWS Control Tower. A exclusão do padrão em o AWS Control Tower remove da página Padrões do console do Security Hub, e você não pode mais acessá-lo usando a API do Security Hub ou AWS CLI.

nota

Desabilitar todos os controles do padrão no Security Hub não desativa nem exclui o padrão.

A desativação do serviço Security Hub remove o Service-Managed Standard: AWS Control Tower e quaisquer outros padrões que você tenha habilitado.

Localizando o formato de campo para o Service-Managed Standard: AWS Control Tower

Ao criar o Service-Managed Standard: AWS Control Tower e habilitar controles para ele, você começará a receber descobertas de controle no Security Hub. O Security Hub relata as descobertas de controle no AWS Formato de descoberta de segurança (ASFF). Esses são os valores ASFF para o nome do recurso da Amazon (ARN) desse padrão e GeneratorId:

• ARN padrão: arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

• GeneratorId – service-managed-aws-control-tower/v/1.0.0/CodeBuild.1

Para obter um exemplo de descoberta do Service-Managed Standard: AWS Control Tower, consulte. Exemplo de descobertas de controle

Controles que se aplicam ao padrão gerenciado por serviços: AWS Control Tower

Padrão gerenciado por serviços: AWS Control Tower suporta um subconjunto de controles que fazem parte do padrão AWS Foundational Security Best Practices (FSBP). Escolha um controle na tabela a seguir para ver informações sobre ele, incluindo etapas de correção para descobertas malsucedidas.

A lista a seguir mostra os controles disponíveis para o Service-Managed Standard:. AWS Control Tower Os limites regionais dos controles correspondem aos limites regionais dos controles corolários no padrão FSBP. Essa lista mostra IDs de controle de segurança independentes do padrão. No AWS Control Tower console, os IDs de controle são formatados como SH. ControlID (por exemplo, SH). CodeBuild.1). No Security Hub, se as descobertas de controle consolidadas estiverem desativadas em sua conta, o campo ProductFields.ControlId usará o ID de controle baseado em padrão. O ID de controle baseado em padrões é formatado como CT. ControlId(por exemplo, CT. CodeBuild.1).

• [Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS

• [ACM.1] Os certificados importados e emitidos pelo ACM devem ser renovados após um período de tempo especificado

• [ACM.2] Os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

• [ApiGateway.1] O REST do API Gateway WebSocket e o registro de execução da API devem estar habilitados

• [APIGateway.2] Os estágios da API REST de Gateway devem ser configurados para usar certificados SSL para autenticação de back-end

• [APIGateway.3] Os estágios da API REST de Gateway devem ter o rastreamento AWS X-Ray habilitado

• [APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL

• [APIGateway.5] Os dados do cache da API REST de Gateway devem ser criptografados em repouso

• [APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização

• [APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API de Gateway

• [AppSync.5] As APIs AWS AppSync do GraphQL não devem ser autenticadas com chaves de API

• [AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do ELB

• [AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade

• [AutoScaling.3] As configurações de lançamento de grupos do Auto Scaling devem configurar as instâncias do EC2 para exigir o Instance Metadata Service Version 2 (IMDSv2)

• [Autoscaling.5] As instâncias do Amazon EC2 lançadas usando as configurações de execução em grupo do Auto Scaling não devem ter endereços IP públicos

• [AutoScaling.6] Os grupos de Auto Scaling devem usar vários tipos de instância em várias zonas de disponibilidade

• [AutoScaling.9] Os grupos do Amazon EC2 Auto Scaling devem usar os modelos de lançamento do Amazon EC2

• [CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação

• [CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada

• [CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada

• [CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs

• [CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente

• [CodeBuild.1] Os URLs do repositório CodeBuild de origem do Bitbucket não devem conter credenciais confidenciais

• [CodeBuild.2] as variáveis de ambiente CodeBuild do projeto não devem conter credenciais de texto não criptografado

• [CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados

• [CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config

• [DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas

• [DMS.9] Os endpoints do DMS devem usar SSL

• [DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso

• [DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado

• [DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos

• [DynamoDB.1] As tabelas do DynamoDB devem escalar automaticamente a capacidade de acordo com a demanda

• [DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time

• [DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

• [PCI.EC2.1] Os instantâneos do Amazon EBS não devem ser restauráveis publicamente

• [EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída

• [EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso.

• [EC2.4] As instâncias EC2 interrompidas devem ser removidas após um período de tempo especificado

• [EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs

• [EC2.7] A criptografia padrão do EBS deve estar ativada

• [EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)

• As instâncias do Amazon EC2 não devem ter um endereço IPv4 público

• [EC2.10] O Amazon EC2 deve ser configurado para usar endpoints da VPC criados para o serviço Amazon EC2

• As sub-redes do Amazon EC2 não devem atribuir automaticamente endereços IP públicos

• [EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas

• As instâncias do Amazon EC2 não devem usar vários ENIs

• [EC2.18] Os grupos de segurança só devem permitir tráfego de entrada irrestrito para portas autorizadas

• [EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco

• [EC2.20] Ambos os túneis VPN para uma conexão VPN Site-to-Site devem estar ativos AWS

• [EC2.21] As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389

• [PCI.EC2.3] Os grupos de segurança do Amazon EC2 devem ser removidos

• [EC2.23] Os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

• Os modelos de lançamento do Amazon EC2 não devem atribuir IPs públicos às interfaces de rede

• [ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada

• [ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada

• [ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada

• [ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário.

• [ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente

• [ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host

• [ECS.4] Os contêineres ECS devem ser executados sem privilégios

• [ECS.5] Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz

• [ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner

• [ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate

• [ECS.12] Os clusters do ECS devem usar Container Insights

• [EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS

• [EFS.2] Os volumes do Amazon EFS devem estar em planos de backup

• [EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz

• [EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário

• [EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público

• [EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes

• [ElastiCache.3] ElastiCache para grupos de replicação do Redis, o failover automático deve estar ativado

• [ElastiCache.4] ElastiCache para Redis, os grupos de replicação devem ser criptografados em repouso

• [ElastiCache.5] ElastiCache para Redis, os grupos de replicação devem ser criptografados em trânsito

• [ElastiCache.6] ElastiCache para grupos de replicação do Redis antes da versão 6.0 deve usar o Redis AUTH

• [ElasticBeanstalk.1] Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde aprimorados habilitados

• [ElasticBeanstalk.2] As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

• [ELBv2.1] O Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS

• [ELB.2] Os balanceadores de carga clássicos com ouvintes SSL/HTTPS devem usar um certificado fornecido pelo AWS Certificate Manager

• Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS

• [ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http

• [ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado

• [ELB.6] Os balanceadores de carga de aplicativos, gateways e redes devem ter a proteção contra exclusão ativada

• [ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada

• [ELB.8] Os balanceadores de carga clássicos com ouvintes SSL devem usar uma política de segurança predefinida que tenha uma duração forte AWS Config

• [ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado

• [ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade

• [ELB.12] O Application Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

• [ELB.13] Balanceadores de carga de aplicações, redes e gateways devem abranger várias zonas de disponibilidade

• O Classic Load Balancer deve ser configurado com o modo defensivo ou com o modo de mitigação de dessincronização mais rigoroso

• [EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos

• [ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.

• [ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis

• [ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós

• [ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado

• [ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado

• [ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados

• [ES.7] Os domínios do Elasticsearch devem ser configurados com pelo menos três nós principais dedicados

• [ES.8] As conexões com os domínios do Elasticsearch devem ser criptografadas usando a política de segurança TLS mais recente

• [EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

• [GuardDuty.1] GuardDuty deve ser ativado

• [IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

• [IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

• [IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

• [IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

• [IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

• [IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

• [IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes

• [IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

• [IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

• [Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso

• [KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

• [KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

• [KMS.3] não AWS KMS keys deve ser excluído acidentalmente

• A rotação de AWS KMS teclas [KMS.4] deve estar ativada

• [Lambda.1] As funções do Lambda.1 devem proibir o acesso público

• [Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis

• [Lambda.3] As funções do Lambda devem estar em uma VPC

• [Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade

• [MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente

• [MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera

• [MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster

• [Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

• [Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

• [Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

• [Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

• [Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados

• [Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

• [Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

• [Neptune.8] Os clusters de banco de dados do Neptune devem ser configurados para copiar tags para instantâneos

• [NetworkFirewall.3] As políticas de Firewall de Rede devem ter pelo menos um grupo de regras associado

• [NetworkFirewall.4] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar pacotes completos

• [NetworkFirewall.5] A ação sem estado padrão para políticas de Firewall de Rede deve ser descartar ou encaminhar para pacotes fragmentados

• [NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio

• Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada

• Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público

• Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós

• O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado

• Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado

• Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados

• Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado

• [Opensearch.8] As conexões com OpenSearch domínios devem ser criptografadas usando a política de segurança TLS mais recente

• [RDS.1] Os instantâneos do RDS devem ser privados

• [RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela duração PubliclyAccessible AWS Config

• [RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.

• [RDS.4] Os instantâneos do cluster do RDS e os instantâneos do banco de dados devem ser criptografados em repouso

• [RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade

• [RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS

• [RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada

• [RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch

• [RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS

• [RDS.11] As instâncias do RDS devem ter backups automáticos habilitados

• [RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS

• [RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas

• [RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade

• [RDS.17] As instâncias de banco de dados do RDS devem ser configuradas para copiar tags para instantâneos

• [RDS.18] As instâncias do RDS devem ser implantadas em uma VPC

• [RDS.19] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de cluster

• [RDS.20] As assinaturas existentes de notificação de eventos do RDS devem ser configuradas para eventos críticos de instâncias de bancos de dados

• [RDS.21] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de parâmetros do banco de dados

• [RDS.22] Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do grupo de segurança do banco de dados

• [RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados

• [RDS.25] As instâncias de banco de dados do RDS devem usar um nome de usuário de administrador personalizado

• [RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso

• [PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público

• [Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

• [Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado

• [Redshift.6] O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas

• [Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado

• [Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão

• [Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão

• [Redshift.10] Os clusters do Redshift devem ser criptografados em repouso

• [S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público ativadas

• [S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura

• [S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação

• [S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso de SSL

• [S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS

• [S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

• [S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado

• [S3.12] As ACLs não devem ser usadas para gerenciar o acesso do usuário aos buckets de uso geral do S3

• [S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida

• [S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys

• [SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet

• [SageMaker.2] instâncias de SageMaker notebook devem ser iniciadas em uma VPC personalizada

• [SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook

• [SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada

• [SecretsManager.2] Os segredos do Secrets Manager configurados com rotação automática devem girar com sucesso

• [SecretsManager.3] Remover segredos não utilizados do Secrets Manager

• [SecretsManager.4] Os segredos do Secrets Manager devem ser alternados dentro de um determinado número de dias

• [SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso

• [SSM.1] As instâncias do Amazon EC2 devem ser gerenciadas por AWS Systems Manager

• [PCI.SSM.1] As instâncias do Amazon EC2 gerenciadas pelo devem ter um status de conformidade de patch de COMPLIANT (Em conformidade) após a instalação do patch

• PCI.SSM.2 As instâncias de Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPATÍVEL

• [SSM.4] Os documentos SSM não devem ser públicos

• [WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição

• [WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra

• [WAF.4] As ACLs regionais AWS WAF clássicas da web devem ter pelo menos uma regra ou grupo de regras

• [WAF.10] as ACLs AWS WAF da web devem ter pelo menos uma regra ou grupo de regras

Para obter mais informações sobre esse padrão, consulte controles do Security Hub no Guia do usuário do AWS Control Tower .