Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
CIS AWS Foundations es el punto de referencia en Security Hub (CSPM)
El Center for Internet Security (CIS) AWS Foundations Benchmark sirve como un conjunto de mejores prácticas de configuración de seguridad para AWS. Estas mejores prácticas aceptadas por la industria le proporcionan procedimientos claros de step-by-step implementación y evaluación. Desde sistemas operativos hasta servicios en la nube y dispositivos de red, los controles de este punto de referencia le ayudan a proteger los sistemas específicos que utiliza su organización.
AWS Security Hub Cloud Security Posture Management (CSPM) es compatible con las versiones 3.0.0, 1.4.0 y 1.2.0 de CIS AWS Foundations Benchmark. En esta página se enumeran los controles de seguridad compatibles con cada versión. También proporciona una comparación de las versiones.
CIS AWS Foundations Benchmark, versión 3.0.0
Security Hub CSPM es compatible con la versión 3.0.0 (v3.0.0) del CIS Foundations Benchmark. AWS Security Hub CSPM ha cumplido con los requisitos de la certificación de software de seguridad CIS y ha recibido la certificación de software de seguridad CIS para los siguientes puntos de referencia de CIS:
-
Índice de referencia de la CEI para AWS las bases de datos de la CEI, versión 3.0.0, nivel 1
-
Punto de referencia CIS para CIS AWS Foundations Benchmark, v3.0.0, nivel 2
Controles que se aplican a la versión 3.0.0 de CIS AWS Foundations Benchmark
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo
[CloudTrail.4] La validación de archivo de CloudTrail registro debe estar habilitada
[EC2.6] El registro de flujos de VPC debe estar habilitado en todos VPCs
[EC2.7] El cifrado predeterminado de EBS debe estar activado
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2
[EC2.21] La red no ACLs debe permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
[IAM.9] La MFA debe estar habilitada para el usuario raíz
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloud ShellFullAccess
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse
La rotación de AWS KMS teclas [KMS.4] debe estar habilitada
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas
[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL
[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto
[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto
CIS AWS Foundations Benchmark, versión 1.4.0
Security Hub CSPM es compatible con la versión 1.4.0 (v1.4.0) del CIS Foundations Benchmark. AWS
Controles que se aplican a la versión 1.4.0 de CIS Foundations Benchmark AWS
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo
[CloudTrail.4] La validación de archivo de CloudTrail registro debe estar habilitada
[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch
[CloudTrail.6] Asegurar que los CloudTrail registros del bucket de S3 no son de acceso público
[EC2.6] El registro de flujos de VPC debe estar habilitado en todos VPCs
[EC2.7] El cifrado predeterminado de EBS debe estar activado
[EC2.21] La red no ACLs debe permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
[IAM.9] La MFA debe estar habilitada para el usuario raíz
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
La rotación de AWS KMS teclas [KMS.4] debe estar habilitada
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL
[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
CIS AWS Foundations Benchmark, versión 1.2.0
Security Hub CSPM es compatible con la versión 1.2.0 (v1.2.0) del CIS Foundations Benchmark. AWS Security Hub CSPM ha cumplido con los requisitos de la certificación de software de seguridad CIS y ha recibido la certificación de software de seguridad CIS para los siguientes puntos de referencia de CIS:
-
Índice de referencia de la CEI para los AWS fundamentos de la CEI, versión 1.2.0, nivel 1
-
Punto de referencia CIS para CIS AWS Foundations Benchmark, v1.2.0, nivel 2
Controles que se aplican a la versión 1.2.0 de CIS AWS Foundations Benchmark
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo
[CloudTrail.4] La validación de archivo de CloudTrail registro debe estar habilitada
[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch
[CloudTrail.6] Asegurar que los CloudTrail registros del bucket de S3 no son de acceso público
[EC2.6] El registro de flujos de VPC debe estar habilitado en todos VPCs
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
[IAM.9] La MFA debe estar habilitada para el usuario raíz
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
La rotación de AWS KMS teclas [KMS.4] debe estar habilitada
Comparación de versiones de CIS AWS Foundations Benchmark
En esta sección se resumen las diferencias entre las versiones específicas del Center for Internet Security (CIS) AWS Foundations Benchmark: v3.0.0, v1.4.0 y v1.2.0. AWS Security Hub Cloud Security Posture Management (CSPM) es compatible con cada una de estas versiones del CIS AWS Foundations Benchmark. Sin embargo, recomendamos utilizar la versión 3.0.0 para mantenerse al día con las mejores prácticas de seguridad. Puede tener varias versiones del estándar habilitadas al mismo tiempo. Para obtener información sobre los estándares habilitantes, consulte. Habilitación de un estándar de seguridad Si desea actualizar a la versión 3.0.0, habilítela antes de deshabilitar una versión anterior. De este modo, se evitan brechas en las comprobaciones de seguridad. Si utiliza la integración CSPM de Security Hub AWS Organizations y desea habilitar por lotes la versión 3.0.0 en varias cuentas, le recomendamos que utilice la configuración central.
Asignación de los controles a los requisitos del CIS en cada versión
Comprenda qué controles admite cada versión del CIS AWS Foundations Benchmark.
ID y título de control | Requisito del CIS v3.0.0 | Requisito del CIS v1.4.0 | Requisito del CIS v1.2.0 |
---|---|---|---|
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS |
1.2 |
1.2 |
1.18 |
3.1 |
3.1 |
2.1 |
|
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo |
3.5 |
3.7 |
2.7 |
[CloudTrail.4] La validación de archivo de CloudTrail registro debe estar habilitada |
3.2 |
3.2 |
2.2 |
[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch |
No compatible: el CIS eliminó este requisito |
3.4 |
2.4 |
[CloudTrail.6] Asegurar que los CloudTrail registros del bucket de S3 no son de acceso público |
No compatible: el CIS eliminó este requisito |
3.3 |
2.3 |
3.4 |
3.6 |
2.6 |
|
No compatible: comprobación manual |
4.3 |
3.3 |
|
No compatible: comprobación manual |
No compatible: comprobación manual |
3.1 |
|
No compatible: comprobación manual |
No compatible: comprobación manual |
3.2 |
|
No compatible: comprobación manual |
4.4 |
3.4 |
|
No compatible: comprobación manual |
4.5 |
3.5 |
|
No compatible: comprobación manual |
4.6 |
3.6 |
|
No compatible: comprobación manual |
4.7 |
3.7 |
|
No compatible: comprobación manual |
4.8 |
3.8 |
|
No compatible: comprobación manual |
4.9 |
3.9 |
|
No compatible: comprobación manual |
4.10 |
3.10 |
|
No compatible: comprobación manual |
4.11 |
3.11 |
|
No compatible: comprobación manual |
4.12 |
3.12 |
|
No compatible: comprobación manual |
4.13 |
3.13 |
|
No compatible: comprobación manual |
4.14 |
3.14 |
|
3.3 |
3.5 |
2,5 |
|
5.4 |
5.3 |
4.3 |
|
[EC2.6] El registro de flujos de VPC debe estar habilitado en todos VPCs |
3.7 |
3.9 |
2.9 |
[EC2.7] El cifrado predeterminado de EBS debe estar activado |
2.2.1 |
2.2.1 |
No compatible |
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2 |
5.6 |
No admitido |
No admitido |
No compatible: se sustituyó por los requisitos 5.2 y 5.3 |
No compatible: se sustituyó por los requisitos 5.2 y 5.3 |
4.1 |
|
No compatible: se sustituyó por los requisitos 5.2 y 5.3 |
No compatible: se sustituyó por los requisitos 5.2 y 5.3 |
4.2 |
|
[EC2.21] La red no ACLs debe permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389 |
5.1 |
5.1 |
No compatible |
5.2 |
No admitido |
No admitido |
|
5.3 |
No admitido |
No admitido |
|
2.4.1 |
No admitido |
No admitido |
|
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*” |
No admitido |
1.16 |
1,22 |
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas |
1.15 |
No compatible |
1.16 |
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos |
1.14 |
1.14 |
1.4 |
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir |
1.4 |
1.4 |
1.12 |
1.10 |
1.10 |
1.2 |
|
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz |
1.6 |
1.6 |
1.14 |
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas |
No se admite: consulte [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días en su lugar |
No se admite: consulte [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días en su lugar |
1.3 |
1.5 |
1.5 |
1.13 |
|
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.5 |
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.6 |
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.7 |
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.8 |
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más |
1.8 |
1.8 |
1.9 |
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas |
1.9 |
1.9 |
1.10 |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.11 |
|
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support |
1,17 |
1,17 |
1.2 |
No compatible: el CIS eliminó este requisito |
No compatible: el CIS eliminó este requisito |
1.1 |
|
1.12 |
1.12 |
No compatible: el CIS agregó este requisito en versiones posteriores |
|
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse |
1.19 |
No compatible: el CIS agregó este requisito en versiones posteriores |
No compatible: el CIS agregó este requisito en versiones posteriores |
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloud ShellFullAccess |
1.22 |
No compatible: el CIS agregó este requisito en versiones posteriores |
No compatible: el CIS agregó este requisito en versiones posteriores |
[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse |
1,20 |
No compatible: el CIS agregó este requisito en versiones posteriores |
No compatible: el CIS agregó este requisito en versiones posteriores |
3.6 |
3.8 |
2.8 |
|
No compatible: comprobación manual |
No compatible: comprobación manual |
No compatible: comprobación manual |
|
2.3.3 |
No compatible: el CIS agregó este requisito en versiones posteriores |
No compatible: el CIS agregó este requisito en versiones posteriores |
|
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo |
2.3.1 |
2.3.1 |
No compatible: el CIS agregó este requisito en versiones posteriores |
Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas |
2.3.2 |
No compatible: el CIS agregó este requisito en versiones posteriores |
No compatible: el CIS agregó este requisito en versiones posteriores |
[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público |
2.1.4 |
2.1.5 |
No compatible: el CIS agregó este requisito en versiones posteriores |
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL |
2.1.1 |
2.1.2 |
No compatible: el CIS agregó este requisito en versiones posteriores |
[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público |
2.1.4 |
2.1.5 |
No compatible: el CIS agregó este requisito en versiones posteriores |
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA |
2.1.2 |
2.1.3 |
No compatible: el CIS agregó este requisito en versiones posteriores |
ARNs para los puntos de referencia de la AWS Fundación CIS
Cuando habilita una o más versiones del índice de referencia de CIS AWS Foundations, comienza a recibir los resultados en el formato de búsqueda de AWS seguridad (ASFF). En el ASFF, cada versión utiliza el siguiente nombre de recurso de Amazon (ARN):
- CIS AWS Foundations Benchmark, versión 3.0.0
arn:aws:securityhub:
region
::standards/cis-aws-foundations-benchmark/v/3.0.0- Punto de referencia sobre AWS fundaciones de la CEI v1.4.0
arn:aws:securityhub:
region
::standards/cis-aws-foundations-benchmark/v/1.4.0- Punto de referencia sobre las AWS fundaciones de la CEI, versión
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
Puede utilizar el GetEnabledStandardsfuncionamiento de la API CSPM de Security Hub para encontrar el ARN de un estándar habilitado.
Los valores anteriores son para StandardsArn
. Sin embargo, StandardsSubscriptionArn
hace referencia al recurso de suscripción estándar que Security Hub CSPM crea al suscribirse a un estándar llamando a una BatchEnableStandardsregión.
nota
Al habilitar una versión del CIS AWS Foundations Benchmark, Security Hub CSPM puede tardar hasta 18 horas en generar resultados para los controles que utilizan la misma regla AWS Config vinculada a servicios que los controles habilitados en otros estándares habilitados. Para obtener más información sobre el programa para generar resultados de control, consulte Programación para ejecutar comprobaciones de seguridad.
Los campos de resultados serán diferentes si activa los resultados de los controles consolidados. Para obtener información sobre estas diferencias, consulte. Impacto de la consolidación en los campos y valores ASFF Para ver ejemplos de los resultados de los controles, consulte Muestras de los resultados de los controles.
Requisitos de CIS que no se admiten en Security Hub (CSPM)
Como se indica en la tabla anterior, el Security Hub CSPM no admite todos los requisitos de CIS en todas las versiones del CIS AWS Foundations Benchmark. Muchos de los requisitos no compatibles solo se pueden evaluar revisando manualmente el estado de los recursos. AWS