Referencia de controles para el CSPM de Security Hub
Esta referencia de controles proporciona una tabla de los controles disponibles en el CSPM de AWS Security Hub, con enlaces a información adicional sobre cada control. En la tabla, los controles están organizados en orden alfabético según su ID de control. Aquí solo se incluyen los controles que el CSPM de Security Hub tiene en uso activo. Los controles retirados quedan excluidos de la tabla.
La tabla proporciona la siguiente información para cada control:
-
Identificador de control de seguridad: este identificador se aplica a todos los estándares e indica el Servicio de AWS recurso al que se refiere el control. La consola del CSPM de Security Hub muestra los ID de los controles de seguridad, sin importar si la funcionalidad de resultados consolidados de controles está habilitada o desactivada en la cuenta. Sin embargo, los resultados del CSPM de Security Hub solo hacen referencia a los ID de los controles de seguridad si la funcionalidad de resultados consolidados de controles está habilitada en la cuenta. Si los resultados de control consolidados están desactivados en su cuenta, algunos identificadores de control varían según el estándar en los resultados de control. Para ver un mapeo de los identificadores de control específicos del estándar con los identificadores de control de seguridad, consulte Cómo afecta la consolidación a las identificaciones y títulos de control.
Si desea configurar las automatizaciones de los controles de seguridad, le recomendamos que filtre en función del identificador del control y no del título o la descripción. Aunque el CSPM de Security Hub actualiza ocasionalmente los títulos o las descripciones de los controles, los ID de los controles permanecen iguales.
Los identificadores de control pueden omitir números. Estos son marcadores de posición para futuros controles.
-
Título de control de seguridad: este título se aplica a todos los estándares. La consola del CSPM de Security Hub muestra los títulos de los controles de seguridad sin importar si la funcionalidad de resultados consolidados de controles está habilitada o desactivada en la cuenta. Sin embargo, los resultados del CSPM de Security Hub solo hacen referencia a los títulos de los controles de seguridad si la funcionalidad de resultados consolidados de controles está habilitada en la cuenta. Si los resultados de control consolidados están desactivados en su cuenta, algunos títulos de control varían según el estándar en los resultados de control. Para ver un mapeo de los identificadores de control específicos del estándar con los identificadores de control de seguridad, consulte Cómo afecta la consolidación a las identificaciones y títulos de control.
-
Normas aplicables: indica a qué normas se aplica un control. Seleccione un control para revisar los requisitos específicos de los marcos de cumplimiento de terceros.
-
Gravedad: la gravedad de un control identifica su importancia desde el punto de vista de la seguridad. Para obtener información sobre cómo el CSPM de Security Hub determina la gravedad del control, consulte Niveles de gravedad correspondientes a los resultados de control.
-
Admite parámetros personalizados: indica si el control admite valores personalizados para uno o varios parámetros. Seleccione un control para revisar los detalles de los parámetros. Para obtener más información, consulte Comprensión de los parámetros de control en el CSPM de Security Hub.
-
Tipo de programa: indica cuándo se evalúa el control. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
Seleccione un control para revisar información adicional. Los controles están organizados en orden alfabético según el ID del control de seguridad.
| ID de control de seguridad | Título de control de seguridad | Estándares aplicables | Gravedad | Admite parámetros personalizados | Tipo de programación |
|---|---|---|---|---|---|
| Account.1 | La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS | Indicador de referencia de AWS de CIS v5.0.0, Indicador de referencia de AWS de CIS v3.0.0, Prácticas recomendadas de seguridad básica de AWS v1.0.0, estándar de administración de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| Account.2 | Cuenta de AWS debe ser parte de una organización AWS Organizations | NIST SP 800-53 Rev. 5 | ALTO | |
Periódico |
| ACM.1 | Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1 | MEDIO | |
El cambio se desencadena y es periódico |
| ACM.2 | Los certificados RSA administrados por ACM deben usar una longitud de clave de al menos 2048 bits | Prácticas recomendadas de seguridad básica de AWS v1.0.0; PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| ACM.3 | Los certificados ACM deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Amplify.1 | Las aplicaciones de Amplify deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Amplify.2 | Las ramificaciones de Amplify deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| APIGateway.1 | El registro de ejecución de REST de API Gateway y API de WebSocket debe estar habilitado | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| APIGateway.2 | Las etapas de la API de REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de backend | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | MEDIO | |
El cambio se ha activado |
| APIGateway.3 | Las etapas de la API de REST de API de API Gateway tener habilitado el rastreo AWS X-Ray | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| APIGateway.4 | La API de Gateway debe estar asociada a una ACL web de WAF | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| APIGateway.5 | Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| APIGateway.8 | Las rutas de API Gateway deben especificar un tipo de autorización | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| APIGateway.9 | El registro de acceso debe configurarse para las etapas V2 de API Gateway | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| AppConfig.1 | Las aplicaciones de AWS AppConfig deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| AppConfig.2 | Los perfiles de configuración de AWS AppConfig deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| AppConfig.3 | Los entornos de AWS AppConfig deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| AppConfig.4 | Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| AppFlow.1 | Los flujos de Amazon AppFlow deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| AppRunner.1 | Los servicios de App Runner deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| AppRunner.2 | Los conectores de VPC de App Runner deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| AppSync.1 | Las cachés de la API de AWS AppSync deben estar cifradas en reposo | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| AppSync.2 | AWS AppSync debe tener habilitado el registro a nivel de campo | Prácticas recomendadas de seguridad básica de AWS v1.0.0; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| AppSync.4 | Las API de GraphQL de AWS AppSync deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| AppSync.5 | Las API de GraphQL de AWS AppSync no se deben autenticar con claves de API | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| AppSync.6 | Las cachés de la API de AWS AppSync deben estar cifradas en tránsito | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| Athena.2 | Los catálogos de datos de Athena deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Athena.3 | Los grupos de trabajo de Athena deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Athena.4 | Los grupos de trabajo de Athena deben tener el registro habilitado | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| AutoScaling.1 | Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado de ELB | Prácticas recomendadas de seguridad básica de AWS; Estándar administrado por el servicio: AWS Control Tower; PCI DSS v3.2.1; NIST SP 800-53 Rev. 5 | BAJA | El cambio se ha activado | |
| AutoScaling.2 | El grupo de Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| AutoScaling.3 | Las configuraciones de lanzamiento de grupo de escalado automático deben configurar las instancias de EC2 para que requieran el servicio de metadatos de instancias versión 2 (IMDSv2) | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| Autoscaling.5 | Las instancias de Amazon EC2 lanzadas mediante configuraciones de lanzamiento de grupo de escalado automático no deben tener direcciones IP públicas | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| AutoScaling.6 | Los grupos de escalado automático deben usar varios tipos de instancias en varias zonas de disponibilidad | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| AutoScaling.9 | Los grupos de escalado automático de EC2 deberían usar plantillas de lanzamiento de EC2 | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| AutoScaling.10 | Los grupos de escalado automático de EC2 deberían estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Backup.1 | Los puntos de recuperación de AWS Backup deben estar cifrados en reposo | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Backup.2 | Los puntos de recuperación de AWS Backup deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Backup.3 | Los almacenes de AWS Backup deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Backup.4 | Los planes de informes de AWS Backup deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Backup.5 | Los planes de copia de seguridad de AWS Backup deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Lote.1 | Las colas de trabajos de Batch deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Lote.2 | Las políticas de programación de Batch deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Lote.3 | Los entornos de computación de Batch deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Lote.4 | Las propiedades de los recursos de computación en los entornos de computación administrados de Batch deben estar etiquetadas. | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| CloudFormation.2 | Las pilas de CloudFormation deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| CloudFront.1 | Las distribuciones de CloudFront deben tener un objeto raíz predeterminado configurado | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | ALTO | El cambio se ha activado | |
| CloudFront.3 | Las distribuciones de CloudFront deberían requerir el cifrado en tránsito | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| CloudFront.4 | Las distribuciones de CloudFront deben tener configurada la conmutación por error de origen | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| CloudFront.5 | Las distribuciones de CloudFront deben tener el registro habilitado | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| CloudFront.6 | Las distribuciones de CloudFront deben tener WAF habilitado | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| CloudFront.7 | Las distribuciones de CloudFront tienen que utilizar certificados SSL/TLS personalizados | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | MEDIO | |
El cambio se ha activado |
| CloudFront.8 | Las distribuciones de CloudFront deben utilizar SNI para atender solicitudes HTTPS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| CloudFront.9 | Las distribuciones de CloudFront deben cifrar el tráfico en orígenes personalizados | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| CloudFront.10 | Las distribuciones de CloudFront no deben usar protocolos SSL obsoletos entre las ubicaciones periféricas y los orígenes personalizados | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| CloudFront.12 | Las distribuciones de CloudFront no deben apuntar a orígenes S3 inexistentes | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | ALTO | |
Periódico |
| CloudFront.13 | Las distribuciones de CloudFront deben usar el control de acceso de origen | AWS Foundational Security Best Practices v1.0.0 | MEDIO | |
El cambio se ha activado |
| CloudFront.14 | Las distribuciones de CloudFront deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| CloudFront.15 | Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada | AWS Foundational Security Best Practices v1.0.0 | MEDIO | El cambio se ha activado | |
| CloudFront.16 | Las distribuciones de CloudFront deben usar el control de acceso al origen para los orígenes de URL de funciones de Lambda | AWS Foundational Security Best Practices v1.0.0 | MEDIO | El cambio se ha activado | |
| CloudTrail.1 | CloudTrail debe estar habilitado y configurado con al menos un seguimiento de varias regiones que incluya eventos de administración de lectura y escritura | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; Indicador de referencia de AWS v1.2.0 de CIS; Prácticas recomendadas de seguridad básica de AWS; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5 | ALTO | Periódico | |
| CloudTrail.2 | CloudTrail debe tener habilitado el cifrado en reposo | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.2.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
Periódico |
| CloudTrail.3 | Al menos un registro de seguimiento de CloudTrail debe habilitarse | NIST SP 800-171 Rev. 2; PCI DSS v4.0.1; PCI DSS v3.2.1 | ALTO | Periódico | |
| CloudTrail.4 | La validación de archivo de registro de CloudTrail debe estar habilitada | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; Indicador de referencia de AWS v1.2.0 de CIS; Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1; PCI DSS v3.2.1; Estándar administrado por el servicio: AWS Control Tower | BAJA | |
Periódico |
| CloudTrail.5 | Los registros de seguimiento de CloudTrail deben integrarse con los registros de Amazon CloudWatch | Indicador de referencia de AWS v1.2.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower. | BAJA | |
Periódico |
| CloudTrail.6 | Asegurar que los registros de CloudTrail del bucket de S3 no son de acceso público | Indicador de referencia de AWS v1.2.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; PCI DSS v4.0.1 | CRÍTICO | |
El cambio se desencadena y es periódico |
| CloudTrail.7 | Asegurar que el registro de acceso al bucket de S3 esté habilitado en el bucket de S3 de CloudTrail | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.2.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; PCI DSS v4.0.1 | BAJA | |
Periódico |
| CloudTrail.9 | Los registros de seguimiento de CloudTrail deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| CloudTrail.10 | Los almacenes de datos de eventos de CloudTrail Lake se deben cifrar con claves de AWS KMS keys administradas por el cliente | NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| CloudWatch.1 | Debe existir un filtro de métrica de registro y una alarma para el uso del usuario raíz | Indicador de referencia de AWS v1.4.0 del CI; Indicador de referencia de AWS v1.2.0 del CIS; NIST SP 800-171 Rev. 2; PCI DSS v3.2.1 | BAJA | |
Periódico |
| CloudWatch.2 | Asegurar que haya un filtro de métricas de registro y alarma para las llamadas a la API no autorizadas | AWS Foundations Benchmark v1.2.0 de CIS, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.3 | Asegurar que haya un filtro de métricas de registro y alarma de registro para el inicio de sesión en la Consola de administración sin MFA | CIS AWS Foundations Benchmark v1.2.0 | BAJA | |
Periódico |
| CloudWatch.4 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de IAM | Indicador de referencia de AWS de CIS v1.4.0, Indicador de referencia de AWS de CIS v1.2.0, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.5 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de configuración de CloudTrail | Indicador de referencia de AWS de CIS v1.4.0, Indicador de referencia de AWS de CIS v1.2.0, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.6 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los errores de autenticación de la Consola de administración de AWS | Indicador de referencia de AWS de CIS v1.4.0, Indicador de referencia de AWS de CIS v1.2.0, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.7 | Asegurar que haya un filtro de métricas de registro y alarma de registro para la deshabilitación o eliminación programada de CMK creadas por el cliente | Indicador de referencia de AWS de CIS v1.4.0, Indicador de referencia de AWS de CIS v1.2.0, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.8 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de bucket de S3 | Indicador de referencia de AWS de CIS v1.4.0, Indicador de referencia de AWS de CIS v1.2.0, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.9 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de configuración de AWS Config | Indicador de referencia de AWS de CIS v1.4.0, Indicador de referencia de AWS de CIS v1.2.0, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.10 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de grupos de seguridad | Indicador de referencia de AWS de CIS v1.4.0, Indicador de referencia de AWS de CIS v1.2.0, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.11 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios en las Listas de control de acceso a la red (NACL) | Indicador de referencia de AWS de CIS v1.4.0, Indicador de referencia de AWS de CIS v1.2.0, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.12 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red | Indicador de referencia de AWS de CIS v1.4.0, Indicador de referencia de AWS de CIS v1.2.0, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.13 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a la tabla de enrutamiento | Indicador de referencia de AWS de CIS v1.4.0, Indicador de referencia de AWS de CIS v1.2.0, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.14 | Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de VPC | Indicador de referencia de AWS de CIS v1.4.0, Indicador de referencia de AWS de CIS v1.2.0, NIST SP 800-171 Rev. 2 | BAJA | |
Periódico |
| CloudWatch.15 | Las alarmas de CloudWatch deben tener configuradas acciones específicas | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ALTO | |
El cambio se ha activado |
| CloudWatch.16 | Los grupos de registros de CloudWatch deben retenerse durante un periodo específico | NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| CloudWatch.17 | Las acciones de alarma de CloudWatch deben estar habilitadas | NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| CodeArtifact.1 | Los repositorios de CodeArtifact deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| CodeBuild.1 | Las URL del repositorio de origen de Bitbucket de CodeBuild no deben contener credenciales confidenciales | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | CRÍTICO | El cambio se ha activado | |
| CodeBuild.2 | Las variables de entorno del proyecto de CodeBuild no deben contener credenciales de texto sin cifrar | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | CRÍTICO | |
El cambio se ha activado |
| CodeBuild.3 | Los registros de CodeBuild S3 deben estar cifrados | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower, | BAJA | |
El cambio se ha activado |
| CodeBuild.4 | Los entornos de proyecto CodeBuild deben tener una configuración de registro | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| CodeBuild.7 | Las exportaciones de grupos de informes de CodeBuild deben cifrarse en reposo | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| CodeGuruProfiler.1 | Los grupos de generación de perfiles del Generador de perfiles de CodeGuru deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| CodeGuruReviewer.1 | Las asociaciones de repositorios del Revisor de CodeGuru deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Cognito.1 | Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación de funciones completo para la autenticación estándar | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| Cognito.2 | Los grupos de identidades de Cognito no deben permitir identidades sin autenticar | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| Cognito.3 | Las políticas de contraseñas para grupos de usuarios de Cognito deben tener configuraciones seguras | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| Config.1 | AWS Config debe estar habilitado y utilizar el rol vinculado al servicio para el registro de recursos | Indicador de referencia de AWS v5.0.0 del CIS; Indicador de referencia de AWS v3.0.0 del CIS; Indicador de referencia de AWS v1.4.0 del CIS; Indicador de referencia de AWS v1.2.0 del CIS; Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1 | CRÍTICO | Periódico | |
| Connect.1 | Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Connect.2 | Las instancias de Amazon Connect deben tener habilitado el registro de CloudWatch | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| DataFirehose.1 | Los flujos de entrega de Firehose deben estar cifrados en reposo | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| DataSync.1 | Las tareas de DataSync deben tener el registro habilitado | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| DataSync.2 | Las tareas de DataSync deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Detective.1 | Los gráficos de comportamiento de Detective deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| DMS.1 | Las instancias de replicación de Servicio de migración de bases de datos no deben ser públicas | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | CRÍTICO | |
Periódico |
| DMS.2 | Los certificados DMS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| DMS.3 | Las suscripciones a eventos de DMS deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| DMS.4 | Las instancias de replicación de DMS deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| DMS.5 | Los grupos de subredes de replicación del DMS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| DMS.6 | Las instancias de replicación de DMS deben tener habilitada la actualización automática de las versiones secundarias | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| DMS.7 | Las tareas de replicación del DMS para la base de datos de destino deben tener el registro habilitado | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| DMS.8 | Las tareas de replicación del DMS para la base de datos de origen deben tener el registro habilitado | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| DMS.9 | Los puntos finales del DMS deben usar SSL | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| DMS.10 | Los puntos de conexión de DMS para las bases de datos de Neptune deben tener habilitada la autorización de IAM | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| DMS.11 | Los puntos de conexión de DMS para MongoDB deben tener un mecanismo de autenticación habilitado | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| DMS.12 | Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| DMS.13 | Las instancias de replicación de DMS se deben configurar para utilizar varias zonas de disponibilidad | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| DocumentDB.1 | Los clústeres de Amazon DocumentDB deben estar cifrados en reposo | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Estándar de gestión de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| DocumentDB.2 | Los clústeres de Amazon DocumentDB deben tener un período de retención de copias de seguridad adecuado | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| DocumentDB.3 | Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | CRÍTICO | |
El cambio se ha activado |
| DocumentDB.4 | Los clústeres de Amazon DocumentDB deben publicar registros de auditoría en CloudWatch Logs | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| DocumentDB.5 | Los clústeres de Amazon DocumentDB deben tener habilitada la protección contra eliminaciones | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DocumentDB.6 | Los clústeres de Amazon DocumentDB deben estar cifrados en tránsito | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| DynamoDB.1 | Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| DynamoDB.2 | Las tablas de DynamoDB tienen que tener habilitada la recuperación a un momento dado | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DynamoDB.3 | Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| DynamoDB.4 | Las tablas de DynamoDB deben estar presentes en un plan de copia de seguridad | NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| DynamoDB.5 | Las tablas de DynamoDB deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| DynamoDB.6 | Las tablas de DynamoDB deben tener la protección contra eliminación habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| DynamoDB.7 | Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | Periódico | |
| EC2.1 | Las instantáneas de EBS no se deben poder restaurar públicamente | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Periódico |
| EC2.2 | Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.2.0 de CIS; Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; PCI DSS v3.2.1; Indicador de referencia de AWS v1.4.0 de CIS; NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| EC2.3 | Los volúmenes de EBS asociados deben cifrarse en reposo | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| EC2.4 | Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| EC2.6 | El registro de flujos de VPC debe estar habilitado en todos los VPC | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.2.0 de CIS; Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; PCI DSS v3.2.1; Indicador de referencia de AWS v1.4.0 de CIS; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | MEDIO | |
Periódico |
| EC2.7 | El cifrado predeterminado EBS debe estar habilitado | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; Indicador de referencia de AWS v1.4.0 de CIS; NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| EC2.8 | Las instancias EC2 deben usar el servicio de metadatos de instancias (IMDS) versión 2 (IMDSv2) | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | |
El cambio se ha activado |
| EC2.9 | Las instancias EC2 no deben tener una dirección IPv4 pública | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| EC2.10 | Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2 | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | MEDIO | |
Periódico |
| EC2.12 | Los EIP EC2 sin utilizar deben eliminarse | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | BAJA | |
El cambio se ha activado |
| EC2.13 | Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22 | Indicador de referencia de AWS v1.2.0 de CIS; PCI DSS v3.2.1; PCI DSS v4.0.1; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | ALTO | El cambio se desencadena y es periódico | |
| EC2.14 | Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389 | Indicador de referencia de AWS v1.2.0 de CIS; PCI DSS v4.0.1 | ALTO | El cambio se desencadena y es periódico | |
| EC2.15 | Las subredes de EC2 no deberían asignar automáticamente direcciones IP públicas | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower, | MEDIO | |
El cambio se ha activado |
| EC2.16 | Deben eliminarse las listas de control de acceso a la red no utilizadas | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower, | BAJA | |
El cambio se ha activado |
| EC2.17 | Las instancias de EC2 no tienen que ser compatibles con varios ENI | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| EC2.18 | Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | ALTO | |
El cambio se ha activado |
| EC2.19 | Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo | Prácticas recomendadas de seguridad básica de AWS; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | CRÍTICO | El cambio se desencadena y es periódico | |
| EC2.20 | Los dos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | MEDIO | |
El cambio se ha activado |
| EC2.21 | Los ACL de red no deben permitir el ingreso desde 0.0.0.0/0 al puerto 22 o al puerto 3389 | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.4.0; Prácticas recomendadas de seguridad básica: AWS; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| EC2.22 | Los grupos de seguridad de EC2 que no se utilicen deben eliminarse | Estándar de gestión de servicios: AWS Control Tower | MEDIO | Periódico | |
| EC2.23 | Las pasarelas de tránsito de EC2 no deberían aceptar automáticamente las solicitudes de adjuntos de VPC | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| EC2.24 | No se deben utilizar los tipos de instancias paravirtuales EC2 | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| EC2.25 | Las plantillas de lanzamiento de EC2 no deben asignar direcciones IP públicas a las interfaces de red | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | |
El cambio se ha activado |
| EC2.28 | Los volúmenes de EBS tienen que ser parte de un plan de copia de seguridad | NIST SP 800-53 Rev. 5 | BAJA | |
Periódico |
| EC2.33 | La conexión de puerta de enlace de tránsito de EC2 debe estar etiquetada | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.34 | Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.35 | Las interfaces de red de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.36 | Las puertas de enlace de cliente de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.37 | Las direcciones IP elásticas de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.38 | Las instancias de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.39 | Las puertas de enlace de Internet de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.40 | Las puertas de enlace de NAT de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.41 | Las ACL de red de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.42 | Las tablas de enrutamiento de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.43 | Los grupos de seguridad de EC2 deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.44 | Las subredes de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.45 | Los volúmenes de EC2 deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.46 | Las VPC de Amazon deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.47 | Los servicios de puntos de conexión de Amazon VPC deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.48 | Los registros de flujo de Amazon VPC deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.49 | Las conexiones de emparejamiento de Amazon VPC deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.50 | Las puertas de enlace de VPN de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.51 | Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1 | BAJA | |
El cambio se ha activado |
| EC2.52 | Las puertas de enlace de tránsito de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.53 | Los grupos de seguridad de EC2 no deberían permitir la entrada desde 0.0.0.0/0 a los puertos de administración de servidores remotos | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; PCI DSS v4.0.1 | ALTO | Periódico | |
| EC2.54 | Los grupos de seguridad de EC2 no deberían permitir la entrada desde ::/0 a los puertos de administración de servidores remotos | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; PCI DSS v4.0.1 | ALTO | Periódico | |
| EC2.55 | Las VPC deben estar configuradas con un punto de conexión de interfaz para la API de ECR | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| EC2.56 | Las VPC deben estar configuradas con un punto de conexión de interfaz para el registro de Docker | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| EC2.57 | Las VPC deben estar configuradas con un punto de conexión de interfaz para Systems Manager | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| EC2.58 | Las VPC deben estar configuradas con un punto de conexión de interfaz para los Contactos del Administrador de incidentes de Systems Manager | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| EC2.60 | Las VPC deben estar configuradas con un punto de conexión de interfaz para el Administrador de incidentes de Systems Manager | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| EC2.170 | Las plantillas de lanzamiento de EC2 deben usar el servicio de metadatos de instancias (IMDS) versión 2 (IMDSv2) | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | BAJA | El cambio se ha activado | |
| EC2.171 | Las conexiones VPN de EC2 deben tener el registro habilitado | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| EC2.172 | La configuración de bloqueo de acceso público de VPC para EC2 debe bloquear el tráfico de puerta de enlace de Internet | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| EC2.173 | Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| EC2.174 | Los conjuntos de opciones DHCP de EC2 deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.175 | Las plantillas de lanzamiento de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.176 | Las listas de prefijos de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.177 | Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.178 | Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.179 | Los destinos de duplicación de tráfico de EC2 deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EC2.180 | Las interfaces de red de EC2 deben tener habilitada la comprobación de origen y destino | AWS Foundational Security Best Practices v1.0.0 | MEDIO | El cambio se ha activado | |
| EC2.181 | Las plantillas de lanzamiento de EC2 deben permitir el cifrado para los volúmenes de EBS asociados | AWS Foundational Security Best Practices v1.0.0 | MEDIO | El cambio se ha activado | |
| ECR.1 | Los repositorios privados de ECR deben tener configurado el escaneo de imágenes | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5, PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | |
Periódico |
| ECR.2 | Los repositorios privados de ECR deben tener configurada la inmutabilidad de las etiquetas | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ECR.3 | Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ECR.4 | Los repositorios públicos de ECR deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| ECR.5 | Los repositorios de ECR se deben cifrar con AWS KMS keys administradas por el cliente | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| ECS.1 | Las definiciones de tareas de Amazon ECS deben tener modos de red seguros y definiciones de usuario. | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| ECS.2 | Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | |
El cambio se ha activado |
| ECS.3 | Las definiciones de tareas de ECS no deben compartir el espacio de nombres del proceso del host | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| ECS.4 | Los contenedores ECS deben ejecutarse sin privilegios | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| ECS.5 | Los contenedores ECS deben estar limitados a un acceso de solo lectura a los sistemas de archivos raíz | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| ECS.8 | Los secretos no deben pasarse como variables de entorno del contenedor | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | |
El cambio se ha activado |
| ECS.9 | Las definiciones de tareas de ECS deben tener una configuración de registro | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| ECS.10 | Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ECS.12 | Los clústeres de ECS deben usar Container Insights | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ECS.13 | Los servicios de ECS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| ECS.14 | Los clústeres de ECS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| ECS.15 | Las definiciones de tareas de ECS deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| ECS.16 | Los conjuntos de tareas de ECS no deben asignar automáticamente direcciones IP públicas | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | ALTO | El cambio se ha activado | |
| ECS.17 | Las definiciones de tareas de ECS no deben utilizar el modo de red de host | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| EFS.1 | Elastic File System debe configurarse para cifrar los datos del archivo en reposo con AWS KMS | Indicador de referencia de AWS de CIS v5.0.0, Indicador de referencia de AWS de CIS v3.0.0, Prácticas recomendadas de seguridad básica de AWS v1.0.0, estándar de administración de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| EFS.2 | Los volúmenes de Amazon EFS deben estar en los planes de copia de seguridad | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| EFS.3 | Los puntos de acceso EFS deben aplicar un directorio raíz | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| EFS.4 | Los puntos de acceso EFS deben imponer una identidad de usuario | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| EFS.5 | Los puntos de acceso de EFS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EFS.6 | Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| EFS.7 | Los sistemas de archivos de EFS deben tener habilitadas las copias de seguridad automáticas | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| EFS.8 | Los sistemas de archivos de EFS deben cifrarse en reposo | Indicador de referencia de AWS v5.0.0 de CIS; Prácticas recomendadas de seguridad básica de AWS | MEDIO | El cambio se ha activado | |
| EKS.1 | Los puntos de conexión del clúster EKS no deben ser de acceso público | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | ALTO | |
Periódico |
| EKS.2 | Los clústeres de EKS deben ejecutarse en una versión compatible de Kubernetes | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | |
El cambio se ha activado |
| EKS.3 | Los clústeres de EKS deben usar secretos de Kubernetes cifrados | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | Periódico | |
| EKS.6 | Los clústeres de EKS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EKS.7 | Las configuraciones de los proveedores de identidad de EKS deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EKS.8 | Los clústeres de EKS deben tener habilitado el registro de auditoría | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| ElastiCache.1 | Los clústeres de ElastiCache (Redis OSS) deben tener habilitado las copias de seguridad automáticas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | Periódico | |
| ElastiCache.2 | Los clústeres de ElastiCache deben tener habilitadas las actualizaciones automáticas de versiones secundarias | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | ALTO | |
Periódico |
| ElastiCache.3 | Los grupos de replicación de ElastiCache deben tener habilitada la conmutación por error automática | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ElastiCache.4 | Los grupos de replicación de ElastiCache deben cifrarse en reposo | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ElastiCache.5 | Los grupos de replicación de ElastiCache deben cifrarse en tránsito | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
Periódico |
| ElastiCache.6 | Los grupos de replicación de ElastiCache (Redis OSS) de versiones anteriores de Redis OSS deben tener Redis AUTH activado | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
Periódico |
| ElastiCache.7 | Los clústeres de ElastiCache no deben usar el grupo de subredes predeterminado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | |
Periódico |
| ElasticBeanstalk.1 | Los entornos de Elastic Beanstalk deberían tener habilitados los informes de estado mejorados | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| ElasticBeanstalk.2 | Las actualizaciones de la plataforma gestionada de Elastic Beanstalk deben estar habilitadas | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | |
El cambio se ha activado |
| ElasticBeanstalk.3 | Elastic Beanstalk debería transmitir los registros a CloudWatch | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | ALTO | |
El cambio se ha activado |
| ELB.1 | El Equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ELB.2 | Los equilibradores de carga clásicos con agentes de escucha SSL/HTTPS deben usar un certificado proporcionado por AWS Certificate Manager | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | MEDIO | |
El cambio se ha activado |
| ELB.3 | Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.4 | Equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.5 | El registro de aplicaciones y de los equilibradores de carga clásicos debe estar habilitado | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.6 | La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada | Prácticas recomendadas de seguridad básica de AWS; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| ELB.7 | Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.8 | Los equilibradores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una configuración sólida | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.9 | Los equilibradores de carga clásicos deben tener habilitado el equilibrador de carga entre zonas | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.10 | Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.12 | Equilibrador de carga de aplicación debe configurarse con el modo defensivo o de mitigación de desincronización más estricto. | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.13 | Los equilibradores de carga de aplicaciones, redes y puertas de enlace deben abarcar varias zonas de disponibilidad | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.14 | Equilibrador de carga clásico debe configurarse con el modo defensivo o con el modo de mitigación de desincronización más estricto. | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ELB.16 | Los equilibradores de carga de aplicaciones deben estar asociados a una ACL web de AWS WAF | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.17 | Los equilibradores de carga de red y de aplicaciones con oyentes deben usar las políticas de seguridad recomendadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ELB.18 | Los oyentes de equilibradores de carga de aplicación y de red deben utilizar protocolos seguros para cifrar los datos en tránsito | AWS Foundational Security Best Practices v1.0.0 | MEDIO | El cambio se ha activado | |
| EMR.1 | Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | Periódico | |
| EMR.2 | La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | CRÍTICO | Periódico | |
| EMR.3 | Las configuraciones de seguridad de Amazon EMR deben estar cifradas en reposo | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| EMR.4 | Las configuraciones de seguridad de Amazon EMR deben estar cifradas en tránsito | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| ES.1 | Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| ES.2 | Los dominios de Elasticsearch no deben ser de acceso público | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v3.2.1; PCI DSS v4.0.1; NIST SP 800-53 Rev. 5; Estándar administrado por el servicio: AWS Control Tower | CRÍTICO | |
Periódico |
| ES.3 | Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower, | MEDIO | |
El cambio se ha activado |
| ES.4 | El registro de errores del dominio de Elasticsearch en CloudWatch Logs debe estar habilitado | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ES.5 | Los dominios de Elasticsearch deben tener habilitado el registro de auditoría | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| ES.6 | Los dominios de Elasticsearch deben tener al menos tres nodos de datos | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ES.7 | Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| ES.8 | Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | El cambio se ha activado | |
| ES.9 | Los dominios de Elasticsearch deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EventBridge.2 | Los buses de eventos de EventBridge deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| EventBridge.3 | Los buses de eventos personalizados de EventBridge deben tener asociada una política basada en recursos | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | BAJA | |
El cambio se ha activado |
| EventBridge.4 | Los puntos de conexiones globales de EventBridge deben tener habilitada la replicación de eventos | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| FraudDetector.1 | Los tipos de entidad de Amazon Fraud Detector deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| FraudDetector.2 | Las etiquetas de Amazon Fraud Detector deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| FraudDetector.3 | Las salidas de Amazon Fraud Detector deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| FraudDetector.4 | Las variables de Amazon Fraud Detector deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| FSx.1 | Los sistemas de archivos de FSx para OpenZFS deben configurarse para copiar etiquetas en copias de seguridad y volúmenes | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
Periódico |
| FSx.2 | Los sistemas de archivos de FSx para Lustre deben configurarse para copiar etiquetas en copias de seguridad | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | BAJA | Periódico | |
| FSx.3 | Los sistemas de archivos de FSx para OpenZFS se deben configurar para la implementación multi-AZ | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| FSx.4 | Los sistemas de archivos de FSx para NetApp ONTAP se deben configurar para una implementación multi-AZ | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| FSx.5 | Los sistemas de archivos de FSx para Windows File Server se deben configurar para una implementación multi-AZ | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| Glue.1 | Los trabajos de AWS Glue deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Glue.3 | Las transformaciones de machine learning de AWS Glue deben cifrarse en reposo | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| Glue.4 | Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| GlobalAccelerator.1 | Los aceleradores de Global Accelerator deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| GuardDuty.1 | GuardDuty.1 debe habilitarse | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | |
Periódico |
| GuardDuty.2 | Los filtros GuardDuty deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| GuardDuty.3 | Los IPSets de GuardDuty deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| GuardDuty.4 | Los detectores de GuardDuty deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| GuardDuty.5 | La supervisión de registros de auditoría de EKS en GuardDuty debe estar habilitada | AWSPrácticas recomendadas de seguridad básica de | ALTO | Periódico | |
| GuardDuty.6 | La protección de Lambda en GuardDuty debe estar habilitada | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | ALTO | Periódico | |
| GuardDuty.7 | La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | MEDIO | Periódico | |
| GuardDuty.8 | La protección contra malware para EC2 en GuardDuty debe estar habilitada | AWSPrácticas recomendadas de seguridad básica de | ALTO | Periódico | |
| GuardDuty.9 | La protección de RDS en GuardDuty debe estar habilitada | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | ALTO | Periódico | |
| GuardDuty.10 | La protección de S3 en GuardDuty debe estar habilitada | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | ALTO | Periódico | |
| GuardDuty.11 | La supervisión de tiempo de ejecución en GuardDuty debe estar habilitada | AWSPrácticas recomendadas de seguridad básica de | ALTO | Periódico | |
| GuardDuty.12 | La supervisión de tiempo de ejecución de ECS en GuardDuty debe estar habilitada | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| GuardDuty.13 | La supervisión de tiempo de ejecución de EC2 en GuardDuty debe estar habilitada | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| IAM.1 | Las políticas de IAM no deben permitir privilegios administrativos completos “*” | Indicador de referencia de AWS v1.2.0 de CIS; Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower, PCI DSS v3.2.1; Indicador de referencia de AWS v1.4.0 de CIS; NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ALTO | |
El cambio se ha activado |
| IAM.2 | Los usuarios de IAM no deben tener políticas de IAM asociadas | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.2.0 de CIS; Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; PCI DSS v3.2.1; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | BAJA | |
El cambio se ha activado |
| IAM.3 | Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; Indicador de referencia de AWS v1.2.0 de CIS; Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
Periódico |
| IAM.4 | La clave de acceso del usuario raíz de IAM no debería existir | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; Indicador de referencia de AWS v1.2.0 de CIS; Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; PCI DSS v3.2.1; NIST SP 800-53 Rev. 5 | CRÍTICO | |
Periódico |
| IAM.5 | MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; Indicador de referencia de AWS v1.2.0 de CIS; Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
Periódico |
| IAM.6 | La MFA de hardware debe estar habilitada para el usuario raíz | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; Indicador de referencia de AWS v1.2.0 de CIS; Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | CRÍTICO | |
Periódico |
| IAM.7 | Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
Periódico |
| IAM.8 | Deben eliminarse las credenciales de usuario de IAM que no se utilicen | Indicador de referencia de AWS de CIS v1.2.0; Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
Periódico |
| IAM.9 | La MFA debe estar habilitada para el usuario raíz | Indicador de referencia de AWS v5.0.0 del CIS; Indicador de referencia de AWS v3.0.0 del CIS; Indicador de referencia de AWS v1.4.0 del CIS; Indicador de referencia de AWS v1.2.0 del CIS; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1 | CRÍTICO | |
Periódico |
| IAM.10 | Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras | NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | MEDIO | |
Periódico |
| IAM.11 | Asegurar que la política de contraseñas de IAM requiere al menos una letra mayúscula | Indicador de referencia de AWS v1.2.0 de CIS; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.12 | Asegurar que la política de contraseñas de IAM requiere al menos una letra minúscula | Indicador de referencia de AWS v1.2.0 de CIS; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.13 | Asegurar que la política de contraseñas de IAM requiere al menos un símbolo | AWS Foundations Benchmark v1.2.0 de CIS, NIST SP 800-171 Rev. 2 | MEDIO | |
Periódico |
| IAM.14 | Asegurar que la política de contraseñas de IAM requiere al menos un número | Indicador de referencia de AWS v1.2.0 de CIS; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.15 | Asegurar que la política de contraseñas de IAM requiere una longitud mínima de 14 o más | Indicador de referencia de AWS v5.0.0 del CIS; Indicador de referencia de AWS v3.0.0 del CIS; Indicador de referencia de AWS v1.4.0 del CIS; Indicador de referencia de AWS v1.2.0 del CIS; NIST SP 800-171 Rev. 2 | MEDIO | |
Periódico |
| IAM.16 | Asegurar que la política de contraseñas de IAM impide la reutilización de contraseñas | Indicador de referencia de AWS v5.0.0 del CIS; Indicador de referencia de AWS v3.0.0 del CIS; Indicador de referencia de AWS v1.4.0 del CIS; Indicador de referencia de AWS v1.2.0 del CIS; NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAJA | |
Periódico |
| IAM.17 | Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos | Indicador de referencia de AWS v1.2.0 de CIS; PCI DSS v4.0.1 | BAJA | |
Periódico |
| IAM.18 | Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support | Indicador de referencia de AWS v5.0.0 del CIS; Indicador de referencia de AWS v3.0.0 del CIS; Indicador de referencia de AWS v1.4.0 del CIS; Indicador de referencia de AWS v1.2.0 del CIS; NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAJA | |
Periódico |
| IAM.19 | MFA se debe habilitar para todos los usuarios de IAM | NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v3.2.1; PCI DSS v4.0.1 | MEDIO | |
Periódico |
| IAM.21 | Las políticas de IAM administrada por los clientes que usted cree no deberían permitir acciones comodín para los servicios | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | BAJA | |
El cambio se ha activado |
| IAM.22 | Deben eliminarse las credenciales de usuario de IAM que no se hayan utilizado durante 45 días | Indicador de referencia de AWS de CIS v5.0.0; Indicador de referencia de AWS de CIS v3.0.0; Indicador de referencia de AWS de CIS v1.4.0; NIST SP 800-171 Rev. 2 | MEDIO | |
Periódico |
| IAM.23 | Los analizadores del Analizador de acceso de IAM deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IAM.24 | Los roles de IAM deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IAM.25 | Los usuarios de IAM deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IAM.26 | Los certificados SSL/TLS caducados administrados en IAM deben eliminarse | Indicador de referencia de AWS de CIS v5.0.0, Indicador de referencia de AWS de CIS v3.0.0 | MEDIO | Periódico | |
| IAM.27 | Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess | Indicador de referencia de AWS de CIS v5.0.0, Indicador de referencia de AWS de CIS v3.0.0 | MEDIO | El cambio se ha activado | |
| IAM.28 | El analizador de acceso externo del Analizador de acceso de IAM debe estar habilitado | Indicador de referencia de AWS de CIS v5.0.0, Indicador de referencia de AWS de CIS v3.0.0 | ALTO | Periódico | |
| Inspector.1 | El análisis de EC2 en Amazon Inspector debe estar habilitado | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | ALTO | Periódico | |
| Inspector.2 | El análisis de ECR en Amazon Inspector debe estar habilitado | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | ALTO | Periódico | |
| Inspector.3 | El análisis de código de Lambda en Amazon Inspector debe estar habilitado | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | ALTO | Periódico | |
| Inspector.4 | El análisis de estándar de Lambda en Amazon Inspector debe estar habilitado | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | ALTO | Periódico | |
| IoT.1 | Los perfiles de seguridad de AWS IoT Device Defender deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoT.2 | Las acciones de mitigación de AWS IoT Core deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoT.3 | Las dimensiones de AWS IoT Core deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoT.4 | Los autorizadores de AWS IoT Core deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoT.5 | Los alias de los roles de AWS IoT Core deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoT.6 | Las políticas de AWS IoT Core deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTEvents.1 | Las entradas de AWS IoT Events deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTEvents.2 | Los modelos de detector de AWS IoT Events deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTEvents.3 | Los modelos de alarma de AWS IoT Events deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTSiteWise.1 | Los modelos de activos de AWS IoT SiteWise deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTSiteWise.2 | Los paneles de AWS IoT SiteWise deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTSiteWise.3 | Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTSiteWise.4 | Los portales de AWS IoT SiteWise deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTSiteWise.5 | Los proyectos de AWS IoT SiteWise deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTTwinMaker.1 | Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTTwinMaker.2 | Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTTwinMaker.3 | Las escenas de AWS IoT TwinMaker deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTTwinMaker.4 | Las entidades de AWS IoT TwinMaker deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTWireless.1 | Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTWireless.2 | Los perfiles de servicios de servicios de AWS IoT Wireless deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IoTWireless.3 | Las tareas FUOTA de AWS IoT Wireless deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IVS.1 | Los pares de claves de reproducción de IVS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IVS.2 | Las configuraciones de grabación de IVS deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| IVS.3 | Los canales de IVS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Keyspaces.1 | Los espacios clave de Amazon Keyspaces deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Kinesis.1 | Las transmisiones de Kinesis deben cifrarse en reposo | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Kinesis.2 | Las transmisiones de Kinesis deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Kinesis.3 | Las transmisiones de Kinesis deben tener un periodo adecuado de retención de datos | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| KMS.1 | Las políticas administradas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| KMS.2 | Las entidades principales de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| KMS.3 | AWS KMS keys no debe borrarse involuntariamente | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | |
El cambio se ha activado |
| KMS.4 | La rotación de AWS KMS key debe estar habilitada | Indicador de referencia de AWS v5.0.0 del CIS; Indicador de referencia de AWS v3.0.0 del CIS; Indicador de referencia de AWS v1.4.0 del CIS; Indicador de referencia de AWS v1.2.0 del CIS; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1 | MEDIO | |
Periódico |
| KMS.5 | Las claves KMS no deben ser de acceso público | AWSPrácticas recomendadas de seguridad básica de | CRÍTICO | El cambio se ha activado | |
| Lambda.1 | Las funciones de Lambda deberían prohibir el acceso público | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | CRÍTICO | |
El cambio se ha activado |
| Lambda.2 | Las funciones de Lambda deben usar los últimos tiempos de ejecución | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Lambda.3 | Las funciones de Lambda deben estar en una VPC | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | BAJA | |
El cambio se ha activado |
| Lambda.5 | Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Lambda.6 | Las funciones de Lambda deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Lambda.7 | Las funciones de Lambda deben tener habilitado el rastreo activo de AWS X-Ray | NIST SP 800-53 Rev. 5 | BAJA | El cambio se ha activado | |
| Macie.1 | Amazon Macie debe estar habilitado | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| Macie.2 | La detección automática de datos confidenciales de Macie debe estar habilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | ALTO | Periódico | |
| MSK.1 | Los clústeres de MSK deben cifrarse en tránsito entre los nodos de los corredores | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| MSK.2 | Los clústeres de MSK deberían tener configurada una supervisión mejorada | NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| MSK.3 | Los conectores de MSK Connect deben cifrarse en tránsito | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| MSK.4 | Los clústeres de MSK deben tener el acceso público desactivado | AWSPrácticas recomendadas de seguridad básica de | CRÍTICO | El cambio se ha activado | |
| MSK.5 | Los conectores de MSK deben tener el registro habilitado | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| MSK.6 | Los clústeres de MSK deben desactivar el acceso no autenticado | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| MQ.2 | Los agentes de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| MQ.3 | Los agentes de Amazon MQ deben tener habilitada la actualización automática de las versiones secundarias | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | BAJA | El cambio se ha activado | |
| MQ.4 | Los agentes de Amazon MQ deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| MQ.5 | Los corredores de ActiveMQ deben usar el modo de implementación activo/en espera | NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower | BAJA | |
El cambio se ha activado |
| MQ.6 | Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres | NIST SP 800-53 Rev. 5, estándar de administración de servicios: AWS Control Tower | BAJA | |
El cambio se ha activado |
| Neptune.1 | Los clústeres de bases de datos de Neptune deberían estar cifrados en reposo | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Estándar de gestión de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Neptune.2 | Los clústeres de base de datos de Neptune tienen que publicar registros de auditoría en CloudWatch Logs | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Neptune.3 | Las instantáneas del clúster de base de datos de Neptune no deben ser públicas | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | CRÍTICO | |
El cambio se ha activado |
| Neptune.4 | Los clústers de Neptune DB deben tener habilitada la protección contra eliminación. | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Estándar de gestión de servicios: AWS Control Tower | BAJA | |
El cambio se ha activado |
| Neptune.5 | Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automatizadas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Estándar de gestión de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Neptune.6 | Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Estándar de gestión de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Neptune.7 | Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Estándar de gestión de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Neptune.8 | Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Estándar de gestión de servicios: AWS Control Tower | BAJA | |
El cambio se ha activado |
| Neptune.9 | Los clústeres de base de datos de Neptune se deben implementar en varias zonas de disponibilidad | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.1 | Los firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad | NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.2 | El registro de Network Firewall debe estar habilitado | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | MEDIO | |
Periódico |
| NetworkFirewall.3 | Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.4 | La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos. | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.5 | La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados. | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.6 | El grupo de reglas de firewall de redes sin estado no debe estar vacío | Prácticas recomendadas de seguridad básica de AWS v1.0.0; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.7 | Los firewall de Network Firewall deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| NetworkFirewall.8 | Las políticas de firewall de Network Firewall deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| NetworkFirewall.9 | Los firewalls de Network Firewall deben tener habilitada la protección de eliminación | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| NetworkFirewall.10 | Los firewalls de Network Firewall deben tener habilitada la protección contra cambios de subred | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| Opensearch.1 | Los dominios de OpenSearch deben tener habilitado el cifrado en reposo | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.2 | Los dominios de OpenSearch no deben ser de acceso público | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | |
El cambio se ha activado |
| Opensearch.3 | Los dominios de OpenSearch deben cifrar los datos enviados entre nodos | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.4 | Debe estar habilitado el registro de errores del dominio OpenSearch en CloudWatch Logs | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.5 | Los dominios de OpenSearch deben tener habilitado el registro de auditoría | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Opensearch.6 | Los dominios de OpenSearch deben tener al menos tres nodos de datos | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Opensearch.7 | Los dominios de OpenSearch tienen que tener habilitado el control de acceso detallado | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| Opensearch.8 | Las conexiones a los dominios de OpenSearch deben cifrarse mediante la política de seguridad TLS más reciente | Prácticas recomendadas de seguridad básica de AWS; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| Opensearch.9 | Los dominios de OpenSearch deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Opensearch.10 | Los dominios de OpenSearch deben tener instalada la última actualización de software | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | BAJA | |
El cambio se ha activado |
| Opensearch.11 | Los dominios de OpenSearch deben tener al menos tres nodos principales dedicados | NIST SP 800-53 Rev. 5 | BAJA | Periódico | |
| PCA.1 | La autoridad emisora de certificados raíz de AWS Private CA debe estar deshabilitada | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
Periódico |
| PCA.2 | Las autoridades de certificado CA privadas de AWS deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| RDS.1 | Las instantáneas de RDS deben ser privadas | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRÍTICO | |
El cambio se ha activado |
| RDS.2 | Las instancias de base de datos de RDS DB deben prohibir el acceso público, en función de la configuración PubliclyAccessible | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Prácticas recomendadas de seguridad básica de AWS; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1 | CRÍTICO | |
El cambio se ha activado |
| RDS.3 | Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo | Indicador de referencia de AWS de CIS v5.0.0, Indicador de referencia de AWS de CIS v3.0.0, Indicador de referencia de AWS de CIS v1.4.0, Prácticas recomendadas de seguridad básica de AWS v1.0.0, estándar de administración de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.4 | Las instantáneas del clúster de RDS y las instantáneas de las bases de datos deben cifrarse en reposo | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.5 | Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad | Indicador de referencia de AWS de CIS v5.0.0, Prácticas recomendadas de seguridad básica de AWS v1.0.0, estándar de administración de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.6 | Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.7 | Los clústeres RDS deben tener habilitada la protección contra la eliminación | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.8 | Indica si las instancias de base de datos de RDS debe tener la protección contra eliminación habilitada. | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.9 | Las instancias de base de datos de RDS deben publicar los registros en Registros de CloudWatch | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| RDS.10 | La autenticación de IAM debe configurarse para las instancias de RDS | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.11 | Las instancias RDS deben tener habilitadas las copias de seguridad automáticas | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.12 | La autenticación de IAM debe configurarse para los clústeres de RDS | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.13 | Deben habilitarse las actualizaciones automáticas entre versiones secundarias de RDS | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | |
El cambio se ha activado |
| RDS.14 | Los clústeres de Amazon Aurora deben tener habilitada la característica de búsqueda de datos anteriores | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.15 | Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad | Indicador de referencia de AWS de CIS v5.0.0; Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| RDS.16 | Los clústeres de bases de datos de Aurora se deben configurar para copiar etiquetas en instantáneas de bases de datos | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | BAJA | El cambio se ha activado | |
| RDS.17 | Las instancias de base de datos de RDS deben configurarse para copiar etiquetas en las instantáneas | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.18 | Las instancias de RDS deben implementarse en una VPC | Estándar de gestión de servicios: AWS Control Tower | ALTO | |
El cambio se ha activado |
| RDS.19 | Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos del clúster | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.20 | Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos de las instancias de bases de datos | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | BAJA | |
El cambio se ha activado |
| RDS.21 | Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de parámetros de bases de datos | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | BAJA | |
El cambio se ha activado |
| RDS.22 | Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de los grupos de seguridad de bases de datos | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | BAJA | |
El cambio se ha activado |
| RDS.23 | Las instancias RDS no deben usar el puerto predeterminado de un motor de base de datos | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | BAJA | |
El cambio se ha activado |
| RDS.24 | Los clústeres de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| RDS.25 | Las instancias de bases de datos de RDS deben usar un nombre de usuario de administrador personalizado | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| RDS.26 | Las instancias de base de datos de RDS tienen que ser protegidas por planes de copia de seguridad | NIST SP 800-53 Rev. 5 | MEDIO | |
Periódico |
| RDS.27 | Los clústeres de bases de datos de RDS deben cifrarse en reposo | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, Estándar de gestión de servicios: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| RDS.28 | Los clústeres de base de datos de RDS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| RDS.29 | Las instantáneas del clúster de base de datos de RDS deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| RDS.30 | Las instancias de bases de datos de RDS deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| RDS.31 | Los grupos de seguridad de bases de datos de RDS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| RDS.32 | Las instantáneas de bases de datos de RDS deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| RDS.33 | Los grupos de subredes de bases de datos de RDS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| RDS.34 | registros publicados en CloudWatch Logs para los clústeres de base de datos de de Aurora MySQL y Aurora PostgreSQL | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| RDS.35 | Los clústeres de bases de datos de RDS deberían tener habilitada la actualización automática de las versiones secundarias | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| RDS.36 | Las instancias de base de datos de RDS para PostgreSQL deben publicar los registros en Registros de CloudWatch | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| RDS.37 | Los clústeres de base de datos Aurora PostgreSQL deben publicar registros en Registros de CloudWatch | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| RDS.38 | Las instancias de base de datos de RDS para PostgreSQL se deben cifrar en tránsito | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| RDS.39 | Las instancias de base de datos de RDS para MySQL se deben cifrar en tránsito | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| RDS.40 | Las instancias de base de datos de RDS para SQL Server deben publicar registros en Registros de CloudWatch | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| RDS.41 | Las instancias de base de datos de RDS para SQL Server se deben cifrar en tránsito | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| RDS.42 | Las instancias de base de datos de RDS para MariaDB deben publicar registros en Registros de CloudWatch | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| RDS.43 | Los proxies de base de datos de RDS deben exigir el cifrado TLS para las conexiones | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| RDS.44 | Las instancias de base de datos de RDS para MariaDB se deben cifrar en tránsito | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| RDS.45 | Los clústeres de base de datos de Aurora MySQL deben tener habilitado el registro de auditoría | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| RDS.46 | Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet. | AWSPrácticas recomendadas de seguridad básica de | ALTO | Periódico | |
| RDS.47 | Los clústeres de bases de datos de RDS para PostgreSQL se deben configurar para copiar etiquetas en las instantáneas de bases de datos | AWSPrácticas recomendadas de seguridad básica de | BAJA | El cambio se ha activado | |
| RDS.48 | Los clústeres de bases de datos de RDS para MySQL se deben configurar para copiar etiquetas en las instantáneas de bases de datos | AWSPrácticas recomendadas de seguridad básica de | BAJA | El cambio se ha activado | |
| Redshift.1 | Los clústeres de Amazon Redshift deberían prohibir el acceso público | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | CRÍTICO | |
El cambio se ha activado |
| Redshift.2 | Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Redshift.3 | Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.4 | Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| Redshift.6 | Amazon Redshift debería tener habilitadas las actualizaciones automáticas a las versiones principales | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.7 | Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.8 | Los clústeres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.10 | Los clústeres de Redshift deben estar cifrados en reposo | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| Redshift.11 | Los clústeres de Redshift deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Redshift.12 | Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Redshift.13 | Las instantáneas del clúster de Redshift deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Redshift.14 | Los grupos de subredes del clúster de Redshift deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Redshift.15 | Los grupos de seguridad de Redshift deberían permitir la entrada en el puerto del clúster solo desde orígenes restringidos | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | ALTO | Periódico | |
| Redshift.16 | Los grupos de subredes del clúster de Redshift deben tener subredes de varias zonas de disponibilidad | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| Redshift.17 | Los grupos de parámetros del clúster de Redshift deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Redshift.18 | Los clústeres de Redshift deben tener habilitadas las implementaciones Multi-AZ | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| RedshiftServerless.1 | Los grupos de trabajo de Amazon Redshift sin servidor deben utilizar enrutamiento de VPC mejorado | AWSPrácticas recomendadas de seguridad básica de | ALTO | Periódico | |
| RedshiftServerless.2 | Se debe requerir que las conexiones a los grupos de trabajo de Redshift Serverless utilicen SSL | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| RedshiftServerless.3 | Los grupos de trabajo de Redshift sin servidor deben prohibir el acceso público | AWSPrácticas recomendadas de seguridad básica de | ALTO | Periódico | |
| RedshiftServerless.4 | Los espacios de nombres de Redshift sin servidor deben estar cifrados con AWS KMS keys administradas por el cliente | NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| RedshiftServerless.5 | Los espacios de nombres de Amazon Redshift no deben usar el nombre de usuario de administrador predeterminado | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| RedshiftServerless.6 | Los espacios de nombres de Redshift sin servidor deben exportar los registros a Registros de CloudWatch | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| Route53.1 | Las comprobaciones de estado de Route 53 deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Route53.2 | Las zonas alojadas públicas de Route 53 deben registrar las consultas de DNS | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| S3.1 | Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | Periódico | |
| S3.2 | Los buckets de uso general de S3 deben bloquear el acceso público de lectura | Prácticas recomendadas de seguridad básica de AWS; Estándar administrado por el servicio: AWS Control Tower; PCI DSS v3.2.1; NIST SP 800-53 Rev. 5 | CRÍTICO | El cambio se desencadena y es periódico | |
| S3.3 | Los buckets de uso general de S3 deben bloquear el acceso público de escritura | Prácticas recomendadas de seguridad básica de AWS; Estándar administrado por el servicio: AWS Control Tower; PCI DSS v3.2.1; NIST SP 800-53 Rev. 5 | CRÍTICO | El cambio se desencadena y es periódico | |
| S3.5 | En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; Indicador de referencia de AWS v1.4.0 de CIS; Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | El cambio se ha activado | |
| S3.6 | Las políticas de buckets de uso general de S3 deben restringir el acceso a otras Cuentas de AWS | Prácticas recomendadas de seguridad básica de AWS; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | ALTO | El cambio se ha activado | |
| S3.7 | Los buckets de uso general de S3 deben usar la replicación entre regiones | PCI DSS v3.2.1, NIST SP 800-53 rev. 5 | BAJA | El cambio se ha activado | |
| S3.8 | Los buckets de uso general de S3 deben bloquear el acceso público | Indicador de referencia de AWS de CIS v5.0.0; Indicador de referencia de AWS de CIS v3.0.0; Indicador de referencia de AWS v1.4.0 de CIS; Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | El cambio se ha activado | |
| S3.9 | Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | El cambio se ha activado | |
| S3.10 | Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida | NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| S3.11 | Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | El cambio se ha activado | |
| S3.12 | Las ACL no deben utilizarse para administrar el acceso de los usuarios a los buckets de uso general de S3 | Prácticas recomendadas de seguridad básica de AWS; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| S3.13 | Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida | Prácticas recomendadas de seguridad básica de AWS; Estándar administrado por el servicio: AWS Control Tower; NIST SP 800-53 Rev. 5 | BAJA | El cambio se ha activado | |
| S3.14 | Los buckets de uso general de S3 deben tener habilitado el control de versiones | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAJA | El cambio se ha activado | |
| S3.15 | Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos | NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | El cambio se ha activado | |
| S3.17 | Los buckets de uso general de S3 deben cifrarse en reposo con AWS KMS keys | NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | El cambio se ha activado | |
| S3.19 | Los puntos de acceso de S3 deben tener habilitada la configuración de Bloqueo de acceso público | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | CRÍTICO | El cambio se ha activado | |
| S3.20 | Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA | Indicador de referencia de AWS de CIS v5.0.0; Indicador de referencia de AWS de CIS v3.0.0; Indicador de referencia de AWS de CIS v1.4.0; NIST SP 800-53 Rev. 5 | BAJA | El cambio se ha activado | |
| S3.22 | Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; PCI DSS v4.0.1 | MEDIO | Periódico | |
| S3.23 | Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto | Indicador de referencia de AWS v5.0.0 de CIS; Indicador de referencia de AWS v3.0.0 de CIS; PCI DSS v4.0.1 | MEDIO | Periódico | |
| S3.24 | Los puntos de acceso de varias regiones de S3 deben tener habilitado el bloqueo de acceso público | Prácticas recomendadas de seguridad básica de AWS; PCI DSS v4.0.1 | ALTO | El cambio se ha activado | |
| S3.25 | Los buckets de directorio de S3 deben tener configuraciones de ciclo de vida | AWSPrácticas recomendadas de seguridad básica de | BAJA | El cambio se ha activado | |
| SageMaker.1 | Las instancias de cuaderno de Amazon SageMaker no deben tener acceso directo a Internet | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | |
Periódico |
| SageMaker.2 | Las instancias de cuaderno de Sagemaker deben lanzarse en una VPC personalizada | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| SageMaker.3 | Los usuarios no deberían tener acceso root a las instancias del cuaderno de SageMaker | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | ALTO | |
El cambio se ha activado |
| SageMaker.4 | Las variantes de producción del punto de conexión de SageMaker deben tener un recuento de instancias inicial superior a 1 | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | Periódico | |
| SageMaker.5 | Los modelos de Sagemaker deben tener habilitado el aislamiento de red | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| SageMaker.6 | Las configuraciones de imagen de aplicación de SageMaker deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| SageMaker.7 | Las imágenes de SageMaker deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Sage Maker 8 | Las instancias de bloc de notas de Sagemaker se deberían ejecutar en plataformas compatibles | AWSPrácticas recomendadas de seguridad básica de | MEDIO | Periódico | |
| SecretsManager.1 | Los secretos de Secrets Manager deberían tener habilitada la rotación automática | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| SecretsManager.2 | Los secretos de Secrets Manager configurados con rotación automática deberían rotar correctamente | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
El cambio se ha activado |
| SecretsManager.3 | Eliminación de secretos no utilizados de Secrets Manager | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
Periódico |
| SecretsManager.4 | Los secretos de Secrets Manager deben rotarse en un número específico de días | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | MEDIO | |
Periódico |
| SecretsManager.5 | Los secretos de Secrets Manager deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| ServiceCatalog.1 | Las carteras de Service Catalog solo deben compartirse dentro de una organización de AWS | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | ALTO | Periódico | |
| SES.1 | Las listas de contactos de SES deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| SES.2 | Los conjuntos de configuración de SES deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| SNS.1 | Los temas de SNS deben cifrarse en reposo mediante AWS KMS | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MEDIO | El cambio se ha activado | |
| SNS.3 | Los temas de SNS deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| SNS.4 | Las políticas de acceso a los temas de SNS no deberían permitir el acceso público | AWSPrácticas recomendadas de seguridad básica de | ALTO | El cambio se ha activado | |
| SQS.1 | Las colas de Amazon SQS deben cifrarse en reposo | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| SQS.2 | Las colas de SQS deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| SQS.3 | Las políticas de acceso de la cola de SQS no deben permitir el acceso público | AWSPrácticas recomendadas de seguridad básica de | ALTO | El cambio se ha activado | |
| SSM.1 | Las instancias EC2 tienen que ser administradas por AWS Systems Manager | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| SSM.2 | Las instancias EC2 administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | ALTO | |
El cambio se ha activado |
| SSM.3 | Las instancias EC2 administradas por el Administrador de sistemas deben tener un estado de conformidad de asociación de COMPLIANT | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; PCI DSS v3.2.1; PCI DSS v4.0.1; Estándar administrado por el servicio: AWS Control Tower | BAJA | |
El cambio se ha activado |
| SSM.4 | Los documentos del SSM no deben ser públicos | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | CRÍTICO | |
Periódico |
| SSM.5 | Los documentos de SSM deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| SSM.6 | La automatización de SSM debe tener el registro de CloudWatch habilitado | AWS Foundational Security Best Practices v1.0.0 | MEDIO | Periódico | |
| SSM.7 | Los documentos de SSM deben tener habilitada la configuración para bloquear el uso compartido público | AWS Foundational Security Best Practices v1.0.0 | CRÍTICO | Periódico | |
| StepFunctions.1 | Step Functions indica que las máquinas deberían tener el registro activado | Prácticas recomendadas de seguridad básica de AWS v1.0.0; PCI DSS v4.0.1 | MEDIO | |
El cambio se ha activado |
| StepFunctions.2 | Las actividades de Step Functions deben estar etiquetadas | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Transfer.1 | Los flujos de trabajo de Transfer Family deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Transfer.2 | Los servidores de Transfer Family no deben utilizar el protocolo FTP para la conexión del punto de conexión | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | Periódico | |
| Transfer.3 | Los conectores de Transfer Family deben tener el registro habilitado | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5 | MEDIO | El cambio se ha activado | |
| Transfer.4 | Los acuerdos de Transfer Family deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Transfer.5 | Los certificados de Transfer Family deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Transfer.6 | Los conectores de Transfer Family deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| Transfer.7 | Los perfiles de Transfer Family deben estar etiquetados | Pauta de etiquetado de recursos de AWS | BAJA | El cambio se ha activado | |
| WAF.1 | El registro de la ACL web global de AWS WAF Classic debe estar habilitado | Prácticas recomendadas de seguridad básica de AWS; NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | MEDIO | |
Periódico |
| WAF.2 | Las reglas regionales de AWS WAF Classic deben tener al menos una condición | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.3 | Los grupos de reglas regionales de AWS WAF Classic deben tener al menos una regla | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.4 | Las ACL web regionales de AWS WAF Classic deben tener al menos una regla o un grupo de reglas | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.6 | Las reglas globales de AWS WAF Classic deben tener al menos una condición | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.7 | Los grupos de reglas globales de AWS WAF Classic deben tener al menos una regla | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.8 | Las ACL web globales de AWS WAF Classic deben tener al menos una regla o grupo de reglas | AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.10 | Las ACL web de AWS WAF deben tener al menos una regla o grupo de reglas | AWS Foundational Security Best Practices v1.0.0, Estándar de gestión de servicios: AWS Control Tower, NIST SP 800-53 Rev. 5 | MEDIO | |
El cambio se ha activado |
| WAF.11 | El registro de las ACL web de AWS WAF debe estar habilitado | NIST SP 800-53 Rev. 5; PCI DSS v4.0.1 | BAJA | |
Periódico |
| WAF.12 | Las reglas de AWS WAF deben tener habilitadas las métricas de CloudWatch | Prácticas recomendadas de seguridad básica de AWS v1.0.0; NIST SP 800-53 Rev. 5; NIST SP 800-171 Rev. 2 | MEDIO | |
El cambio se ha activado |
| WorkSpaces.1 | Los volúmenes de usuarios de WorkSpaces deben estar cifrados en reposo | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado | |
| WorkSpaces.2 | Los volúmenes de raíz de WorkSpaces deben estar cifrados en reposo | AWSPrácticas recomendadas de seguridad básica de | MEDIO | El cambio se ha activado |
