Estándar de Prácticas recomendadas de seguridad básica de AWS en el CSPM de Security Hub - AWS Security Hub

Controles que se aplican al estándar

Estándar de Prácticas recomendadas de seguridad básica de AWS en el CSPM de Security Hub

Desarrollado por AWS y profesionales del sector, el estándar de Prácticas recomendadas de seguridad básica (FSBP) de AWS es una recopilación de prácticas recomendadas de seguridad para organizaciones, independientemente de su sector o tamaño. Incluye un conjunto de controles que detectan cuando los recursos y las Cuentas de AWS se desvían de las prácticas recomendadas de seguridad. También ofrece directrices prescriptivas sobre cómo mejorar y mantener la postura de seguridad de la organización.

En el CSPM de AWS Security Hub, el estándar de Prácticas recomendadas de seguridad básica de AWS incluye controles que evalúan de manera continua las cargas de trabajo y las Cuentas de AWS y ayudan a identificar áreas que se desvían de las prácticas recomendadas de seguridad. Los controles incluyen las mejores prácticas de seguridad para los recursos de varios Servicios de AWS. A cada control se le asigna una categoría que refleja la función de seguridad a la que se aplica el control. Para ver la lista de categorías y obtener más detalles, consulte Categorías de controles.

Controles que se aplican al estándar

La siguiente lista especifica qué controles del CSPM de AWS Security Hub se aplican al estándar de Prácticas recomendadas de seguridad básica de AWS (v1.0.0). Para revisar los detalles de un control, seleccione el control.

[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS

[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico

[ACM.2] Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits

[APIGateway.1] El registro de ejecución de REST de API Gateway y API de WebSocket debe estar habilitado

[APIGateway.2] Las etapas de la API de REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend

[APIGateway.3] Las etapas de la API de REST de API Gateway deberían tener el rastreo habilitado de AWS X-Ray

[APIGateway.4] La API Gateway debe estar asociada a una ACL web de WAF

[APIGateway.5] Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo

[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

[AppSync.1] Las cachés de la API de AWS AppSync deben estar cifradas en reposo

[AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo

[AppSync.5] Las API de AWS AppSync GraphQL no deben autenticarse con claves de API

[AppSync.6] Las cachés de la API de AWS AppSync deben estar cifradas en tránsito

[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado

[AutoScaling.1] Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado de ELB

[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad

[AutoScaling.3] Las configuraciones de lanzamiento de grupos de escalado automático deben configurar las instancias de EC2 para que requieran servicio de metadatos de instancias versión 2 (IMDSv2) (IMDSv2)

[AutoScaling.5] Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupo de escalado automático no deben tener direcciones IP públicas

[AutoScaling.6] Los grupos de escalado automático deben usar varios tipos de instancias en varias zonas de disponibilidad

[AutoScaling.9] Los grupos de Amazon EC2 Auto Scaling deben utilizar plantillas de lanzamiento de Amazon EC2

Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo

[CloudFront.1] Las distribuciones de CloudFront deben tener configurado un objeto raíz predeterminado

[CloudFront.3] Las distribuciones de CloudFront deberían requerir el cifrado en tránsito

[CloudFront.4] Las distribuciones de CloudFront deben tener configurada la conmutación por error de origen

[CloudFront.5] Las distribuciones de CloudFront deben tener el registro habilitado

[CloudFront.6] Las distribuciones de CloudFront deben tener WAF habilitado

[CloudFront.7] Las distribuciones de CloudFront deben usar certificados SSL/TLS personalizados

[CloudFront.8] Las distribuciones de CloudFront deben usar SNI para atender las solicitudes HTTPS

[CloudFront.9] Las distribuciones de CloudFront deben cifrar el tráfico a orígenes personalizados

[CloudFront.10] Las distribuciones de CloudFront no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados

[CloudFront.12] Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes

[CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen

[CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada

[CloudFront.16] Las distribuciones de CloudFront deben usar control de acceso a orígenes para orígenes de URL de funciones de Lambda

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro de seguimiento de varias regiones que incluya los eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo

[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada

[CloudTrail.5] Las rutas de CloudTrail deben integrarse con Registros de Amazon CloudWatch

[CodeBuild.1] Las URL del repositorio de origen de Bitbucket de CodeBuild no deben contener credenciales confidenciales

[CodeBuild.2] Las variables de entorno del proyecto de CodeBuild no deben contener credenciales de texto sin cifrar

[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

[CodeBuild.4] Los entornos del proyecto CodeBuild deben tener una duración de registro de AWS Config

[CodeBuild.7] Las exportaciones de grupos de informes de CodeBuild deben cifrarse en reposo

[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas

[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas

[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[Connect.2] Las instancias de Amazon Connect deben tener habilitado el registro en CloudWatch

[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo

[DataSync.1] Las tareas de DataSync deben tener el registro habilitado

[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas

[DMS.6] Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias

[DMS.7] Las tareas de replicación de DMS para la base de datos de destino deben tener habilitado el registro

[DMS.8] Las tareas de replicación del DMS para la base de datos de origen deben tener habilitado el registro

[DMS.9] Los puntos finales del DMS deben usar SSL

[DMS.10] Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM

[DMS.11] Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado

[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado

[DMS.13] Las instancias de replicación de DMS se deben configurar para usar varias zonas de disponibilidad

[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo

[DocumentDb.2] Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado

[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

[DocumentDb.4] Los clústeres de Amazon DocumentDB deben publicar registros de auditoría en CloudWatch Logs

[DocumentDb.5] Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones

[DocumentDB.6] Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito

[DynamoDB.1] Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda

[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación a un momento dado habilitada

[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada

[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito

[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.3] Los volúmenes de Amazon EBS asociados deben cifrarse en reposo

[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar activado

[EC2.8] Las instancias EC2 deben utilizar el servicio de metadatos de instancias versión 2 (IMDSv2)

[EC2.9] Las instancias Amazon EC2 no deben tener una dirección IPv4 pública

[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2

[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

[EC2.17] Las instancias de Amazon EC2 no deben usar varios ENI

[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados

[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo

[EC2.20] Ambos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389

[EC2.23] Amazon EC2 Transit Gateways no debe aceptar automáticamente las solicitudes de adjuntos de VPC

[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar direcciones IP públicas a las interfaces de red

[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes

[EC2.55] Las VPC se deben configurar con un punto de conexión de interfaz para la API de ECR

[EC2.56] Las VPC deben estar configuradas con un punto de conexión de interfaz para el registro de Docker

[EC2.57] Las VPC deben estar configuradas con un punto de conexión de interfaz para Systems Manager

[EC2.58] Las VPC se deben configurar con un punto de conexión de interfaz para los contactos del administrador de incidentes de Systems Manager

[EC2.60] Las VPC se deben configurar con un punto de conexión de interfaz para el administrador de incidentes de Systems Manager

[EC2.170] Las plantillas de lanzamiento de EC2 deben utilizar el servicio de metadatos de instancias versión 2 (IMDSv2)

[EC2.171] Las conexiones VPN de EC2 deben tener el registro habilitado

[EC2.172] Los ajustes de Bloqueo de acceso público de las VPC de EC2 deben bloquear el tráfico de las puertas de enlace de Internet

[EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados

[EC2.180] Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino

[EC2.181] Las plantillas de lanzamiento de EC2 deben habilitar el cifrado para los volúmenes de EBS asociados

[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes

[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas

[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida

[ECS.1] Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario

[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente

[ECS.3] Las definiciones de tareas de ECS no deben compartir el espacio de nombres de los procesos del anfitrión

[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios

[ECS.5] Los contenedores ECS deben limitarse al acceso de solo lectura a los sistemas de archivos raíz

[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor

[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro

[ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate

[ECS.12] Los clústeres de ECS deben usar Container Insights

[ECS.16] Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas

[EFS.1] Elastic File System debe configurarse para cifrar los datos del archivo en reposo con AWS KMS

[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo

[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz

[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario

[EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento

[EFS.7] Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas

[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo

[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público

[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible

[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados

[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría

[ElastiCache.1] Los clústeres de ElastiCache (Redis OSS) deben tener habilitada la copia de seguridad automática

[ElastiCache.2] Los clústeres de ElastiCache deben tener habilitadas las actualizaciones automáticas de versiones secundarias

[ElastiCache.3] Los grupos de replicación de ElastiCache deben tener habilitada la conmutación por error automática

[ElastiCache.4] Los grupos de replicación de ElastiCache deben cifrarse en reposo

[ElastiCache.5] Los grupos de replicación de ElastiCache (Redis OSS) deben cifrarse en tránsito

[ElastiCache.6] Los grupos de replicación de ElastiCache (Redis OSS) de versiones anteriores de Redis deben tener Redis OSS AUTH activado

[ElastiCache.7] Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado

[ElasticBeanstalk.1] Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados

[ElasticBeanstalk.2] Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas

[ElasticBeanstalk.3] Elastic Beanstalk debería transmitir los registros a CloudWatch

[ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

[ELB.2] Los equilibradores de carga clásicos con receptores SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager

[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS

[ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos

[ELB.5] El registro de las aplicaciones y de los equilibradores de carga clásicos debe estar habilitado

[ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada

[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones

[ELB.8] Los equilibradores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida de AWS Config

[ELB.9] Los equilibradores de carga clásicos deberían tener habilitado el equilibrio de carga entre zonas

[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad

[ELB.12] Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.13] Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad

[ELB.14] El Equilibrador de carga clásico debe configurarse con el modo defensivo o de mitigación de desincronización más estricto

[ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas

[ELB.18] Los oyentes de los equilibradores de carga de aplicación y de los equilibradores de carga de red deben usar protocolos seguros para cifrar los datos en tránsito

[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas

[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada

[EMR.3] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo

[EMR.4] Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito

[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo

[ES.2] Los dominios de Elasticsearch no deben ser de acceso público

[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos

[ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs

[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría

[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos

[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados

[ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente

[EventBridge.3] Los buses de eventos personalizados de EventBridge deben tener adjunta una política basada en recursos

[FSx.1] Los sistemas de archivos de FSx para OpenZFS deben configurarse para copiar etiquetas en copias de seguridad y volúmenes

[FSx.2] Los sistemas de archivos de FSx para Lustre deben configurarse para copiar etiquetas en copias de seguridad

[FSx.3] Los sistemas de archivos FSx para OpenZFS se deben configurar para una implementación Multi-AZ

[FSx.4] Los sistemas de archivos de FSx para NetApp ONTAP se deben configurar para la implementación Multi-AZ

[FSx.5] Los sistemas de archivos FSx para Windows File Server se deben configurar para la implementación Multi-AZ

[Glue.3] Las transformaciones de machine learning de AWS Glue deben cifrarse en reposo

[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue

[GuardDuty.1] Debe habilitarse GuardDuty

[GuardDuty.5] La supervisión de registros de auditoría de EKS en GuardDuty debe estar habilitada

[GuardDuty.6] La protección de Lambda en GuardDuty debe habilitarse

[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada

[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada

[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse

[GuardDuty.10] La protección de S3 en GuardDuty debe habilitarse

[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada

[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS

[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado

[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo

[Kinesis.3] Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos

[KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

[KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

[KMS.3] AWS KMS keys no debe eliminarse de forma involuntaria

[KMS.5] Las claves KMS no deben ser de acceso público

[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público

[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos

[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad

[Macie.1] Amazon Macie debe estar habilitado

[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada

[MQ.2] Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch

[MQ.3] Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias

[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios

[MSK.3] Los conectores de MSK Connect deben cifrarse en tránsito

[MSK.4] Los clústeres de MSK deben tener el acceso público desactivado

[MSK.5] Los conectores de MSK deben tener el registro habilitado

[MSK.6] Los clústeres de MSK deben desactivar el acceso sin autenticación

[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

[Neptune.2] Los clústeres de base de datos de Neptune tienen que publicar registros de auditoría en CloudWatch Logs

[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

[Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección de eliminación

[Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automáticas

[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

[Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

[Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado

[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas

[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos

[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados

El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío

Los firewalls de Network Firewall [NetworkFirewall.9] deben tener habilitada la protección de eliminación

[NetworkFirewall.10] Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred

[Opensearch.1] Los dominios de OpenSearch deben tener activado el cifrado en reposo

[Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público

Los dominios de OpenSearch [Opensearch.3] deben cifrar los datos enviados entre nodos

Debe estar habilitado el registro de errores del dominio OpenSearch [Opensearch.4] en CloudWatch Logs

Los dominios de OpenSearch [Opensearch.5] deben tener habilitado el registro de auditoría

Los dominios de OpenSearch [Opensearch.6] deben tener al menos tres nodos de datos

Los dominios de OpenSearch [Opensearch.7] deben tener habilitado un control de acceso detallado

[Opensearch.8] Las conexiones a los dominios de OpenSearch deben cifrarse mediante la política de seguridad TLS más reciente

[Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software

[PCA.1] La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada

Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

[RDS.1] La instantánea de RDS debe ser privada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, en función de la configuración PubliclyAccessible

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas

Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad

Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]

Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación

Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación

[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Registros de CloudWatch

La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS

Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas

La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS

Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas

Los clústeres de Amazon Aurora [RDS.14] deben tener habilitada la característica de búsqueda de datos anteriores

Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad

[RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos

Las instancias de base de datos de RDS [RDS.17] deben configurarse para copiar etiquetas en las instantáneas

Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos

Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos

Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.21] para los eventos críticos de los grupos de parámetros de bases de datos

Se debe configurar una suscripción a las notificaciones de eventos de RDS [RDS.22] para los eventos críticos de los grupos de seguridad de bases de datos

Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos

Los clústeres de bases de datos de RDS [RDS.24] deben usar un nombre de usuario de administrador personalizado

Las instancias de bases de datos de RDS [RDS.25] deben usar un nombre de usuario de administrador personalizado

Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo

Los clústeres de base de datos Aurora MySQL [RDS.34] deben publicar registros de auditoría en CloudWatch Logs

Los clústeres de bases de datos de RDS [RDS.35] deben tener habilitada la actualización automática de las versiones secundarias

[RDS.36] Las instancias de base de datos de RDS para PostgreSQL deben publicar los registros en Registros de CloudWatch

[RDS.37] Los clústeres de base de datos Aurora PostgreSQL deben publicar registros en Registros de CloudWatch

[RDS.40] Las instancias de bases de datos de RDS para SQL Server deben publicar registros en Registros de CloudWatch.

[RDS.41] Las instancias de RDS para SQL Server se deben cifrar en tránsito

[RDS.42] Las instancias de bases de datos de RDS para MariaDB deben publicar registros en Registros de CloudWatch

[RDS.43] Los proxies de bases de datos de RDS deben exigir cifrado TLS para las conexiones

[RDS.44] Las instancias de bases de datos de RDS para MariaDB se deben cifrar en tránsito

[RDS.45] Los clústeres de bases de datos de Aurora MySQL deben tener habilitado el registro de auditoría

[RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet

[RDS.47] Los clústeres de bases de datos de RDS para PostgreSQL deben estar configurados para copiar etiquetas en instantáneas de bases de datos

[RDS.48] Los clústeres de bases de datos de RDS para MySQL deben estar configurados para copiar etiquetas en las instantáneas de bases de datos

[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público

Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito

Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas

Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría

Amazon Redshift [Redshift.6] debería tener habilitadas las actualizaciones automáticas a las versiones principales

Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado

Los clústeres de Amazon Redshift [Redshift.8] no deben usar el nombre de usuario de administrador predeterminado

Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo

[Redshift.15] Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos

[Redshift.18] Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ

[RedshiftServerless.1] Los grupos de trabajo de Amazon Redshift sin servidor deben usar enrutamiento de VPC mejorado

[RedshiftServerless.2] Las conexiones a los grupos de trabajo de Redshift sin servidor deben requerir el uso de SSL

[RedshiftServerless.3] Los grupos de trabajo de Redshift sin servidor deben prohibir el acceso público

[RedshiftServerless.5] Los espacios de nombres de Redshift sin servidor no deben usar el nombre predeterminado de administrador

[RedshiftServerless.6] Los espacios de nombres de Redshift sin servidor deben exportar registros a Registros de Amazon CloudWatch

[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público

[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura

[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura

[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL

[S3.6] Las políticas de buckets de uso general de S3 deben restringir el acceso a otras Cuentas de AWS

[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público

[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor

[S3.12] Las ACL no deben utilizarse para administrar el acceso de los usuarios a los buckets de uso general de S3

[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida

[S3.19] Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público

[S3.24] Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público

[S3.25] Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida

Las instancias de cuaderno de Amazon SageMaker [SageMaker.1] no deberían tener acceso directo a Internet

Las instancias de cuaderno de SageMaker [SageMaker.2] deben lanzarse en una VPC personalizada

Los usuarios [SageMaker.3] no deberían tener acceso raíz a las instancias del cuaderno de SageMaker

[SageMaker.4] Las variantes de producción del punto de conexión de SageMaker deben tener un recuento de instancias inicial superior a 1

[SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red

[SageMaker.8] Las instancias de cuaderno de SageMaker se deben ejecutar en plataformas con soporte

Los secretos de Secrets Manager [SecretsManager.1] deberían tener habilitada la renovación automática

Los secretos de Secrets Manager [SecretsManager.2] configurados con renovación automática deberían renovarse correctamente

[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados

Los secretos de Secrets Manager [SecretsManager.4] deben renovarse en un número específico de días

[ServiceCatalog.1] Las carteras de Service Catalog solo deben compartirse dentro de una organización de AWS

[SNS.4] Las políticas de acceso a los temas de SNS no deberían permitir el acceso público

Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo

[SQS.3] Las políticas de acceso de la cola de SQS no deben permitir el acceso público

[SSM.1] Las instancias de Amazon EC2 deben administrarse mediante AWS Systems Manager

[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche

[SSM.3] Las instancias Amazon EC2 administradas por Systems Manager deben tener el estado de conformidad de la asociación de COMPLIANT

[SSM.4] Los documentos SSM no deben ser públicos

[SSM.6] La automatización de SSM debe tener habilitado el registro de CloudWatch

[SSM.7] Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público

Las máquinas de estado de Step Functions [StepFunctions.1] deberían tener el registro activado

[Transfer.2] Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión

[Transfer.3] Los conectores de Transfer Family deben tener habilitado el registro

El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado

Las reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condición

Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla

Las ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglas

Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición

Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla

Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas

Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas

Las reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch

[WorkSpaces.1] Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo

[WorkSpaces.2] Los volúmenes raíz de WorkSpaces deben estar cifrados en reposo

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Referencia de estándares

AWSEtiquetado de recursos de