Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cumplimiento de la configuración en Accelerate
AMS Accelerate le ayuda a configurar sus recursos con altos estándares de seguridad e integridad operativa, y a cumplir con los siguientes estándares del sector:
Centro de Seguridad de Internet (CIS)
Marco de seguridad en la nube (CSF) del Instituto Nacional de Estándares y Tecnología (NIST)
Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU (Health Insurance Portability and Accountability Act, HIPAA).
Estándar de seguridad de datos (DSS) de la industria de tarjetas de pago (PCI)
Para ello, implementamos todo nuestro conjunto de AWS Config reglas de cumplimiento en su cuenta, consulte. Biblioteca de reglas AMS Config Una AWS Config regla representa las configuraciones deseadas para un recurso y se evalúa en función de los cambios de configuración en la configuración de AWS los recursos. Cualquier cambio de configuración desencadena un gran número de reglas para comprobar su conformidad. Por ejemplo, supongamos que crea un bucket de Amazon S3 y lo configura para que sea legible públicamente, infringiendo los estándares del NIST. La bucket-public-read-prohibited regla ams-nist-cis-s 3 detecta la infracción y etiqueta el bucket de S3 como no compatible en el informe de configuración. Como esta regla pertenece a la categoría de corrección automática de incidentes, crea inmediatamente un informe de incidentes que le avisa del problema. Otras infracciones más graves de las reglas pueden provocar que AMS solucione el problema automáticamente. Consulte Respuestas a las infracciones en Accelerate.
importante
Si quiere que hagamos más, por ejemplo, si quiere que AMS corrija una infracción en su nombre, independientemente de su categoría, envíe una solicitud de servicio en la que pida a AMS que corrija los recursos no conformes por usted. En la solicitud de servicio, incluya un comentario como «Como parte de la corrección de la regla de configuración de AMS, corrija los recursos RESOURCE_ARNS_OR_IDs no conformes y configure la regla de la cuenta» y CONFIG_RULE_NAME añada los datos necesarios para subsanar la infracción.
Si quiere que hagamos menos, por ejemplo, si no quiere que tomemos medidas en relación con un segmento de S3 concreto que, por diseño, requiere acceso público, puede crear excepciones, consulte. Crear excepciones a las reglas en Accelerate
Biblioteca de reglas AMS Config
Accelerate despliega una biblioteca de reglas de configuración de AMS para proteger su cuenta. Estas reglas de configuración comienzan conams-. Puede ver las reglas de su cuenta y su estado de conformidad desde la AWS Config consola, la AWS CLI o la AWS Config API. Para obtener información general sobre el uso AWS Config, consulte ViewingConfiguration Cumplimiento.
nota
Regiones de AWS En el caso de las regiones con suscripción voluntaria y de gov cloud, solo implementamos un subconjunto de las reglas de configuración debido a las restricciones regionales. Comprueba la disponibilidad de las reglas en las regiones consultando el enlace asociado al identificador en la tabla de reglas de configuración de AMS Accelerate.
No puede eliminar ninguna de las reglas de configuración de AMS implementadas.
Tabla de reglas
Descargar como ams_config_rules.zip.
| Nombre de la regla | Servicio | Desencadenador | Acción | Marcos |
|---|---|---|---|---|
| ams-nist-cis-guardduty-habilitado-centralizado | GuardDuty | Periódico | Remediar | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (2) (ii); PCI: 2.2, 3.4, 8.2.1; |
| ams-nist-cis-vpc-flow-logs-enabled | VPC | Periódico | Remediar | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A), 164.312 (b); PCI: 2.2, 10.1, 10.3.2, 10.3.3, 10.3.4, 10.3.4, 10.3.5, 10.3.6; |
| ams-eks-secrets-encrypted | EKS | Periódico | Incidente | CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-eks-endpoint-no-acceso público | EKS | Periódico | Incidente | CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-nist-cis-vpc-default-security-group-closed | VPC | Config changes | Incidente | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.312 (e) (1); PCI: 1.2,1.3,2.1,2.2,1.2.1,1.3.1,1.3.1,1.3.2,2.2.2; |
| ams-nist-cis-iam-política de contraseñas | IAM | Periódico | Incidente | CIS: NA; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (3) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (4) (i) ,164,308 (a) (4) (ii) (A) ,164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1); PCI: 7.1.2, 7.1.3, 7.2.1, 7.2.2; |
| ams-nist-cis-iam-root-access-key-check | IAM | Periódico | Incidente | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (a), 164,308 (a) (4) (ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1); PCI: 2.2,7.1.2,7.1.3,7.2.1.7.2.2; |
| ams-nist-cis-iam-user-mfa-enabled | IAM | Periódico | Incidente | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (3) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (4) (i) ,164,308 (a) ,164,308 (a) ,164,308 (a) ,164,308 (a), (4) (ii) (A) 64.308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1); PCI: 2.2,7.1.2,7.1.3, 7.2.1; |
| ams-nist-cis-restricted-ssh | Grupos de seguridad | Config changes | Incidente | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (4) (ii) (A) ,164,308 (a) (4) (ii) (B) ,164,308 (a) (4) (ii) (C) ,164.312 (a) (1); PCI: 2.2, 7.2, 8.1, 8.1.4; |
| ams-nist-cis-restricted-puertos comunes | Grupos de seguridad | Config changes | Incidente | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164,308 (a) (3) (i) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) ,164.308 (a) (4) (ii)) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1); PCI: 1.2,1.3,2,2,1.3.2,1.3.2,2.2.2; |
| ams-nist-cis-s3 account-level-public-access - bloques | S3 | Config changes | Incidente | CIS: CIS.9, CIS.12, CIS.14; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (a) (4) (ii) (A) ,164.308 (a) (4) (ii), 164.308 (a) (4) (ii), 164,308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.2.1,1.3.1,1.3.2,1.3.4, 1.3.6, 2.2, 2.2.2; |
| ams-nist-cis-s3- bucket-public-read-prohibited | S3 | Config changes | Incidente | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (a) (4) (ii) (A) ,164.308 (a) (4) (ii), 164.308 (a) (4) (ii), 164,308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.4, .3.6, 2.2.2; |
| ams-nist-cis-s3- bucket-public-write-prohibited | S3 | Config changes | Incidente | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (a) (4) (ii) (A) ,164.308 (a) (4) (ii), 164.308 (a) (4) (ii), 164,308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.4, .3.6, 2.2.2; |
| ams-nist-cis-sbucket-server-side-encryptionHabilitado para 3 | S3 | Config changes | Incidente | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (c) (2), 164.312 (e) (2) (ii); PCI: 2.2, 3.4, 10.5, 8.2.1; |
| ams-nist-cis-securityhub-habilitado | Centro de seguridad | Periódico | Incidente | CIS: CIS.3, CIS.4, CIS.6, CIS.12, CIS.16, CIS.19; NIST-CSF: PR.DS-5, PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-cis-ecinstance-managed-by-systems2- administrador | EC2 | Config changes | Informe | CIS: CIS.2, CIS.5; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: 164.308 (a) (5) (ii) (B); PCI: 2.4; |
| ams-nist-cis-cloudtrail-habilitado | CloudTrail | Periódico | Informe | CIS: CIS.16, CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A), 164.308 (a) (5) (ii) (C), 164.312 (b); PCI: 10.1,10.2.1,10.2.2,102.3, 10,4, 102,5, 10,2, 102,7, 103,1,103,2,10,3, 10,3, 103,4, 103,5, 103,6; |
| ams-nist-cis-access-teclas giradas | IAM | Periódico | Informe | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: 2.2; |
| ams-nist-cis-acm-certificate-expiration-check | Certificate Manager | Config changes | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.AC-5, PR.PT-4; HIPAA: NA; PCI: 4.1; |
| ams-nist-cis-alb- comprobar http-to-https-redirection | ALB | Periódico | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 2.3, 4.1, 8.2.1; |
| ams-nist-cis-api- encriptado gw-cache-enabled-and | API Gateway | Config changes | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4; |
| ams-nist-cis-api-gw-execution-logging-enabled | API Gateway | Config changes | Informe | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164.312 (b); PCI: 10.1, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6, 10.5.4; |
| ams-nist-autoscaling-group-elb-healthcheck-required | ELB | Config changes | Informe | CIS: NA; NIST-CSF: PR.PT-1, PR.PT-5; HIPAA: 164.312 (b); PCI: 2.2; |
| ams-nist-cis-cloud-trail-encryption-enabled | CloudTrail | Periódico | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (2) (ii); PCI: 2.2, 3.4, 10.5; |
| ams-nist-cis-cloud- -habilitado trail-log-file-validation | CloudTrail | Periódico | Informe | CIS: CIS.6; NIST-CSF: PR.DS-6; HIPAA: 164.312 (c) (1), 164.312 (c) (2); PCI: 2.2, 10.5, 11.5, 10.5.2, 10.5.5; |
| ams-nist-cis-cloudtrail- Compatible con eventos de datos s3 | CloudTrail | Periódico | Informe | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A), 164.312 (b); PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.5, 10.3.1, 10.3.2, 10.3.2, 10.3.3, 10.3.4, 10.3.5 10.3.6; |
| ams-nist-cis-cloudwatch-alarm-action-check | CloudWatch | Config changes | Informe | CIS: CIS.13, CIS.14; NIST-CSF: NA; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4; |
| ams-nist-cis-cloudwatch-log-group-encrypted | CloudWatch | Periódico | Informe | CIS: CIS.13, CIS.14; NIST-CSF: NA; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4; |
| ams-nist-cis-codebuild-project-envvar-awscred-check | CodeBuild | Config changes | Informe | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 8.2.1; |
| ams-nist-cis-codebuild- comprobar project-source-repo-url | CodeBuild | Config changes | Informe | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 8.2.1; |
| ams-nist-cis-db-instance-backup-enabled | RDS | Config changes | Informe | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B); PCI: NA; |
| ams-nist-cis-dms-replication-not-public | DMS | Periódico | Informe | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (a) (4) (ii) (A) ,164.308 (a) (4) (ii), 164.308 (a) (4) (ii), 164,308 (a) (4) (ii) (C) ,164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4, 1.3.6, 2.2.2; |
| ams-nist-dynamodb-autoscaling-habilitado | DynamoDB | Periódico | Informe | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (ii) (C); PCI: NA; |
| ams-nist-cis-dynamodbCompatible con -PIRT | DynamoDB | Periódico | Informe | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B); PCI: NA; |
| ams-nist-dynamodb-throughput-control de límites | DynamoDB | Periódico | Informe | CIS: NA; NIST-CSF: NA; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-ebs-optimized-instancia | EBS | Config changes | Informe | CIS: NA; NIST-CSF: NA; HIPAA: 164.308 (a) (7) (i); PCI: NA; |
| ams-nist-cis-ebs-snapshot-public-restorable-check | EBS | Periódico | Informe | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (a) (4) (ii) (A) ,164.308 (a) (4) (ii), 164.308 (a) (4) (ii), 164,308 (a) (4) (ii) (C) ,164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4, 1.3.6, 2.2.2; |
| ams-nist-ec2- instance-detailed-monitoring-enabled | EC2 | Config changes | Informe | CIS: NA; NIST-CSF: DE.AE-1, PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-cis-ec2- instance-no-public-ip | EC2 | Config changes | Informe | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (4) (ii) (A) ,164,308 (a) (4) (ii) (C) ,164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4, 1.3.6, 2.2.2; |
| ams-nist-cis-ecmanagedinstance-association-compliance-statusVerificación 2 | EC2 | Config changes | Informe | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C) ,164.312 (a) (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4, 1.3.6, 2.2.2; |
| ams-nist-cis-ecmanagedinstance-patch-compliance-statusVerificación 2 | EC2 | Config changes | Informe | CIS: CIS.2, CIS.5; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: 164.308 (a) (5) (ii) (B); PCI: 6.2; |
| ams-nist-cis-ecInstancia de 2 paradas | EC2 | Periódico | Informe | CIS: CIS.2; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: NA; PCI: NA; |
| ams-nist-cis-ec2- volume-inuse-check | EC2 | Config changes | Informe | CIS: CIS.2; NIST-CSF: PR.IP-1; HIPAA: NA; PCI: NA; |
| ams-nist-cis-efs-cheque cifrado | EFS | Periódico | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4, 8.2.1; |
| ams-nist-cis-eip-adjunto | EC2 | Config changes | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4, 8.2.1; |
| ams-nist-cis-elasticache- comprobar redis-cluster-automatic-backup | ElastiCache | Periódico | Informe | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (ii) (A), 164.308 (a) (7) (ii) (B); PCI: NA; |
| ams-nist-cis-opensearch-encrypted-at-rest | OpenSearch | Periódico | Informe | CIS: CIS.14, CIS.13; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4, 8.2.1; |
| ams-nist-cis-opensearch-in-vpc-only | OpenSearch | Periódico | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4, 8.2.1; |
| ams-nist-cis-elb-acm-certificate-required | Certificate Manager | Config changes | Informe | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A) ,164.308 (a), 164.308 (a) (4) (ii), 164,308 (a), 164,308 (a) (4) (ii) (C) 64.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4, 1.3.6, 2.2.2; |
| ams-nist-elb-deletion-protección habilitada | ELB | Config changes | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (1), 164.312 (e) (2), 164.312 (e) (2) (ii); PCI: 4.1, 8.2.1; |
| ams-nist-cis-elb-Habilitado para el registro | ELB | Config changes | Informe | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164.312 (b); PCI: 10.1, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6, 10.5.4; |
| ams-nist-cis-emr-Compatible con Kerberos | EMR | Periódico | Informe | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164.312 (b); PCI: 10.1, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6, 10.5.4; |
| ams-nist-cis-emr-master-no-public-ip | EMR | Periódico | Informe | CIS: CIS.14, CIS.16; NIST-CSF: PR.AC-1, PR.AC-4, PR.AC-6; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (a) (4) (ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1); PCI: 7.2.1; |
| ams-nist-cis-encrypted-volúmenes | EBS | Config changes | Informe | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C) ,164.312 (a) (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4, 1.3.6, 2.2.2; |
| ams-nist-cis-guardduty-non-archived-findings | GuardDuty | Periódico | Informe | CIS: CIS.12, CIS.13, CIS.16, CIS.19, CIS.3, CIS.4, CIS.6, CIS.8; NIST-CSF: DE.AE-2, DE.AE-3, DE.CM-4, DE.DP-5, ID.RA-1, ID.RA-3, PR.DS-5, PR.PT-1; HIPAA: 164.308 (a) (5) (ii) (C), 164,308 (a) (6) (ii), 164,312 (b); PCI: 6.1, 11.4, 5.1.2; |
| ams-nist-iam-group-has-users-check | IAM | Config changes | Informe | CIS: NA; NIST-CSF: PR.AC-4, PR.AC-1; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (3) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (4) (i) ,164,308 (a) (4) (ii) (A) ,164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1); PCI: 7.1.2, 7.1.3, 7.2.1, 7.2.2; |
| ams-nist-cis-iam- policy-no-statements-with -acceso de administrador | IAM | Config changes | Informe | CIS: CIS.16; NIST-CSF: PR.AC-6, PR.AC-7; HIPAA: 164.308 (a) (4) (ii) (B), 164.308 (a) (5) (ii) (D), 164.312 (d); PCI: 8.2.3, 8.2.4, 8.2.5; |
| ams-nist-cis-iam-user-group-membership-check | IAM | Config changes | Informe | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (4) (ii) (A) ,164,308 (a) (4) (ii) (B) ,164,308 (a) (4) (ii) (C) ,164.312 (a) (1), 164.312 (a) (2) (i); PCI: 2.2,7.1.2,7.2.1,8.1.1; |
| ams-nist-cis-iam-user-no-policies-check | IAM | Config changes | Informe | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-7; HIPAA: 164.308 (a) (4) (ii) (B), 164.312 (d); PCI: 8.3; |
| ams-nist-cis-iam-user-unused-credentials-check | IAM | Periódico | Informe | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (a) (4) (ii) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1); PCI: 2.2,7.1.2,7.1.3.7.2.1.7.2.2; |
| ams-nist-cis-ec2- instances-in-vpc | EC2 | Config changes | Informe | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164,308 (a) (3) (i) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) ,164.308 (a) (4) (ii)) (A), 164,308 (a) (4) (ii) (B), 164,308 (a) (4) (ii) (C), 164,312 (a) (1), 164,312 (e) (1); PCI: 1.2,1.3,2,2,1.3.2,1.3.2,2.2.2; |
| ams-nist-cis-internet-gateway-authorized-vpc-only | Puerta de enlace de Internet | Periódico | Informe | CIS: CIS.9, CIS.12; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-nist-cis-kms- -eliminación cmk-not-scheduled-for | KMS | Periódico | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: NA; PCI: 3.5, 3.6; |
| ams-nist-lambda-concurrency-comprobar | Lambda | Config changes | Informe | CIS: NA; NIST-CSF: NA; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-lambda-dlq-comprobar | Lambda | Config changes | Informe | CIS: NA; NIST-CSF: NA; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-cis-lambda-function-public-access-prohibited | Lambda | Config changes | Informe | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A) ,164.308 (a), 164.308 (a) (4) (ii), 164,308 (a), 164,308 (a) (4) (ii) (C) 64.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4, 2.2.2; |
| ams-nist-cis-lambda-interior-vpc | Lambda | Config changes | Informe | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C) ,164.312 (a) (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4, 2.2.2; |
| ams-nist-cis-mfa- enabled-for-iam-console -acceso | IAM | Periódico | Informe | CIS: CIS.16; NIST-CSF: PR.AC-7; HIPAA: 164.312 (d); PCI: 2.2, 8.3; |
| ams-nist-cis-multi-region-cloudtrail-enabled | CloudTrail | Periódico | Informe | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A), 164.312 (b); PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3, 10.2.4, 10.2.5, 10.2.6, 10.2.710. 3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| ams-nist-rds-enhanced-habilitado para monitoreo | RDS | Config changes | Informe | CIS: NA; NIST-CSF: PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-cis-rds-instance-public-access-check | RDS | Config changes | Informe | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (a) (4) (ii) (A) ,164.308 (a) (4) (ii), 164.308 (a) (4) (ii), 164,308 (a) (4) (ii) (C) ,164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4, 1.3.6, 2.2.2; |
| ams-nist-rds-multi-az-soporte | RDS | Config changes | Informe | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (ii) (C); PCI: NA; |
| ams-nist-cis-rds-snapshots-public-prohibited | RDS | Config changes | Informe | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (a) (4) (ii) (A) ,164.308 (a) (4) (ii), 164.308 (a) (4) (ii), 164,308 (a) (4) (ii) (C) ,164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4, 1.3.6, 2.2.2; |
| ams-nist-cis-rds-cifrado en almacenamiento | RDS | Config changes | Informe | CIS: CIS.13, CIS.5, CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (b), 164.312 (e) (2) (ii); PCI: 3.4, 10.1, 10.2.1, 10.2.2, 10.2.2.10.3 2,4, 102,5, 103,3,1, 10,3, 10,3, 103,4,103,5, 103,6, 8,21; |
| ams-nist-cis-redshift-cluster-configuration-check | RedShift | Config changes | Informe | CIS: CIS.6, CIS.13, CIS.5; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (b), 164.312 (e) (2) (ii); PCI: 3.4, 8.2.1, 10.2.1, 10.2.1, 10.2.10.10.10.10 2.3, 10.2.4, 10.2.5, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| ams-nist-cis-redshift-cluster-public-access-check | RedShift | Config changes | Informe | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (a) (4) (ii) (A) ,164.308 (a) (4) (ii), 164.308 (a) (4) (ii), 164,308 (a) (4) (ii) (C) ,164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4, 1.3.6, 2.2.2; |
| ams-nist-cis-redshift-require-tls-ssl | RedShift | Periódico | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 2.3, 4.1; |
| ams-nist-cis-root-account-hardware-mfa-enabled | IAM | Periódico | Informe | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-7; HIPAA: 164.312 (d); PCI: 2.2, 8.3; |
| ams-nist-cis-root-account-mfa-enabled | IAM | Periódico | Informe | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-7 ; HIPAA: 164.312 (d); PCI: 2.2, 8.3; |
| ams-nist-cis-s3- bucket-default-lock-enabled | S3 | Config changes | Informe | CIS: CIS.14, CIS.13; NIST-CSF: ID.BE-5, PR.PT-5, RC.RP-1; HIPAA: NA; PCI: NA; |
| ams-nist-cis-s3- bucket-logging-enabled | S3 | Config changes | Informe | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A), 164.312 (b); PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.4,10.2.5, 10.2.5,10.2.7, 10.3.1, 3.10.2.2,10.3.10.3.4, 10.3.5, 10.3.6; |
| ams-nist-cis-s3- bucket-replication-enabled | S3 | Config changes | Informe | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B); PCI: 2.2, 10.5.3; |
| ams-nist-cis-s3- bucket-ssl-requests-only | S3 | Config changes | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (c) (2), 164.312 (e) (2) (i), 164.312 (e), 164.312 (e) (2) (ii); PCI: 2.2, 4.1, 8.2.1; |
| ams-nist-cis-s3- bucket-versioning-enabled | S3 | Periódico | Informe | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.DS-6, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164,308 (a) (7) (i) ,164,308 (a) (7) (ii) (A) ,164,308 (a) (7) (ii) (B) ,164.312 (c) (1), 164,312 (c) (2); PCI: 10.5.3; |
| ams-nist-cis-sagemaker- endpoint-configuration-kms-key -configurado | SageMaker | Periódico | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4, 8.2.1; |
| ams-nist-cis-sagemaker- -configurado notebook-instance-kms-key | SageMaker | Periódico | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4, 8.2.1; |
| ams-nist-cis-sagemaker- -acceso notebook-no-direct-internet | SageMaker | Periódico | Informe | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A) ,164.308 (a), 164.308 (a) (4) (ii), 164,308 (a), 164,308 (a) (4) (ii) (C) 64.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4, 1.3.6, 2.2.2; |
| ams-nist-cis-secretsmanager-rotation-enabled-check | Secrets Manager | Config changes | Informe | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: NA; |
| ams-nist-cis-secretsmanager-scheduled-rotation-success-check | Secrets Manager | Config changes | Informe | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: NA; |
| ams-nist-cis-sns-kms cifrados | SNS | Config changes | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (2) (ii); PCI: 8.2.1; |
| ams-nist-cis-vpc- -puertos autorizados sg-open-only-to | VPC | Config changes | Informe | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.312 (e) (1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,2.2.2; |
| ams-nist-vpc-vpn-2 túneles hacia arriba | VPC | Config changes | Informe | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i); PCI: NA; |
| ams-cis-ec2- ebs-encryption-by-default | EC2 | Periódico | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (2) (ii); PCI: 2.2, 3.4, 8.2.1; |
| ams-cis-rds-snapshot-encriptado | RDS | Config changes | Informe | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4, 8.2.1; |
| ams-cis-redshift-cluster- comprobación de la configuración de mantenimiento | RedShift | Config changes | Informe | CIS: CIS.5; NIST-CSF: PR.DS-4, PR.IP-1, PR.IP-4; HIPAA: 164.308 (a) (5) (ii) (A), 164.308 (a) (7) (ii) (A); PCI: 6.2; |
Respuestas a las infracciones en Accelerate
Todas las infracciones de las reglas de Config aparecen en el informe de configuración. Se trata de una respuesta universal. Según la categoría de remediación (gravedad) de la regla, AMS podría tomar medidas adicionales, que se resumen en la siguiente tabla. Para obtener más información sobre cómo personalizar el código de acción para determinadas reglas, consulteRespuestas a los hallazgos personalizados.
Acciones de remediación
| Código de acción | Acciones de AMS |
|---|---|
| Informe | |
| Incidente | |
| Remediar |
¿Solicitar ayuda adicional
nota
AMS puede subsanar cualquier infracción por usted, independientemente de su categoría de remediación. Para solicitar ayuda, envíe una solicitud de servicio e indique qué recursos desea que AMS corrija con un comentario como: «Como parte de la corrección de la regla de configuración de AMS, corrija el RESOURCE_ARNS_OR_IDs recurso ARNs/IDs>, la regla de configuración de la cuenta que no cumple los requisitos» y añada las entradas necesarias para subsanar la infracción. CONFIG_RULE_NAME
AMS Accelerate cuenta con una biblioteca de documentos y manuales de AWS Systems Manager automatización para ayudar a corregir los recursos no conformes.
Agregar al informe de configuración
AMS genera un informe de configuración que rastrea el estado de cumplimiento de todas las reglas y recursos de su cuenta. Puede solicitar el informe a su CSDM. También puede revisar el estado de conformidad desde la consola de AWS Config, la AWS CLI o la API de AWS Config. Su informe de configuración incluye:
Los principales recursos de su entorno, que no cumplen con las normas, para descubrir posibles amenazas y errores de configuración
Cumplimiento de los recursos y las reglas de configuración a lo largo del tiempo
Config las descripciones de las reglas, la severidad de las reglas y los pasos de corrección recomendados para corregir los recursos no conformes
Cuando un recurso pasa a un estado no compatible, el estado del recurso (y el estado de la regla) pasa a ser No compatible en tu informe de configuración. Si la regla pertenece a la categoría de corrección Config Report Only, de forma predeterminada, AMS no realiza ninguna otra acción. Siempre puede crear una solicitud de servicio para solicitar ayuda o remediación adicional a AMS.
Para obtener más información, consulte AWS Config Reporting.
Informe automático de incidentes en Accelerate
En el caso de infracciones moderadamente graves de las normas, AMS crea automáticamente un informe de incidentes para notificarle que un recurso ha dejado de cumplir las normas y le pregunta qué medidas le gustaría llevar a cabo. Dispones de las siguientes opciones a la hora de responder a un incidente:
Solicite que AMS corrija los recursos no conformes enumerados en el incidente. A continuación, intentamos subsanar el recurso que no cumple con las normas y se lo notificamos una vez que se haya resuelto el incidente subyacente.
Puede resolver el problema de forma manual en la consola o mediante su sistema de despliegue automatizado (por ejemplo, mediante las actualizaciones de plantillas de CI/CD Pipeline). A continuación, puede resolver el incidente. El recurso no conforme se vuelve a evaluar según el cronograma de la regla y, si el recurso se evalúa como no conforme, se crea un nuevo informe de incidente.
Puede optar por no resolver el recurso no conforme y simplemente resolver el incidente. Si actualiza la configuración del recurso más adelante, AWS Config activará una reevaluación y se le volverá a alertar para evaluar la no conformidad de ese recurso.
Corrección automática en Accelerate
Las reglas más críticas pertenecen a la categoría Auto Remediate. El incumplimiento de estas normas puede afectar gravemente a la seguridad y la disponibilidad de sus cuentas. Cuando un recurso infringe una de estas reglas:
AMS le notifica automáticamente con un informe de incidente.
AMS inicia una reparación automática utilizando nuestros documentos SSM automatizados.
AMS actualiza el informe de incidentes con el éxito o el fracaso de la remediación automática.
Si la solución automática no funciona, un ingeniero de AMS investiga el problema.
Crear excepciones a las reglas en Accelerate
La función Reglas de AWS Config de excepción de recursos le permite suprimir la notificación de recursos específicos que no cumplen con las normas para una regla específica.
nota
Los recursos exentos siguen apareciendo como No conformes en la consola de AWS Config Service. Los recursos exentos aparecen con una marca especial en Config Reports (Resource_Exception:TRUE). CSDMs Puedes filtrar esos recursos según esa columna al generar informes.
Si tienes recursos que sabes que no cumplen con los requisitos, puedes eliminar un recurso específico para una regla de configuración específica en sus informes de configuración. Para ello:
Envía una solicitud de servicio a Accelerate relacionada con tu cuenta, junto con una lista de las reglas de configuración y los recursos que quieres eximir del informe. Debe proporcionar una justificación empresarial explícita (por ejemplo, no es necesario que lo resource_name_1 denuncie y no resource_name_2 tenga copias de seguridad porque no queremos que se haga una copia de seguridad). Para obtener ayuda para enviar una solicitud de servicio de Accelerate, consulteCrear una solicitud de servicio en Accelerate.
Pegue en la solicitud las siguientes entradas (para cada recurso añada un bloque independiente con todos los campos obligatorios, como se muestra) y, a continuación, envíelas:
[ { "resource_name": "resource_name_1", "config_rule_name": "config_rule_name_1", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" }, { "resource_name": "resource_name_2", "config_rule_name": "config_rule_name_2", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" } ]
Reduzca AWS Config los costos en Accelerate
Puede reducir los costes de AWS Config si utiliza la opción de registrar periódicamente el tipo de AWS::EC2::Instance recurso. El registro periódico captura los últimos cambios de configuración de sus recursos una vez cada 24 horas, lo que reduce la cantidad de cambios realizados. Cuando está habilitada, AWS Config solo registra la configuración más reciente de un recurso al final de un período de 24 horas. Esto le permite adaptar los datos de configuración a casos de uso específicos de planificación operativa, cumplimiento y auditoría que no requieren una supervisión continua. Este cambio solo se recomienda si tiene aplicaciones que dependen de arquitecturas efímeras, lo que significa que aumenta o reduce constantemente el número de instancias.
Para optar por el registro periódico para este tipo de AWS::EC2::Instance recurso, póngase en contacto con su equipo de entrega de AMS.
