Práticas recomendadas operacionais para o NZISM 3.8

Os pacotes de conformidade fornecem um framework de conformidade de uso geral desenvolvido para permitir que você crie verificações de governança operacional, de segurança ou de otimização de custos usando regras gerenciadas ou personalizadas do AWS Config e ações de correção do AWS Config. Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.

Veja a seguir um exemplo de mapeamento entre o Manual de Segurança da Informação (NZISM) 2022-09, versão 3.8 do Departamento de Segurança das Comunicações do Governo da Nova Zelândia (GCSB), e as regras gerenciadas do AWS Config. Cada regra do Config se aplica a um tipo específico de recurso da AWS e está relacionada a um ou mais controles do NZISM. Um controle do NZISM pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos. Somente controles que representam a prática recomendada ou básica para informações classificadas como RESTRITAS e abaixo são incluídos nos mapeamentos.

Este exemplo de modelo de pacote de conformidade contém mapeamentos para controles dentro da estrutura NZISM, que é parte integrante da estrutura de Requisitos de Segurança de Proteção (PSR) que define as expectativas do governo da Nova Zelândia em relação ao gerenciamento de pessoal, informações e segurança física.

O NZISM está licenciado sob a licença do Creative Commons Attribution 4.0 da Nova Zelândia, disponível em https://creativecommons.org/licenses/by/4.0/. Informações sobre direitos autorais podem ser encontradas no Manual de Segurança da Informação NZISM da Nova Zelândia | Legal, Privacidade e Direitos Autorais.

ID de controle	Descrição do controle	Regra do AWS Config	Orientação
1.149	Segurança de software, ambientes operacionais padrão, desenvolvimento de SOEs reforçados (14.1.8.C.01.)	ec2- -manager instance-managed-by-systems	É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente.
1.149	Segurança de software, ambientes operacionais padrão, desenvolvimento de SOEs reforçados (14.1.8.C.01.)	ec2- -check managedinstance-association-compliance-status	Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente.
1.149	Segurança de software, ambientes operacionais padrão, desenvolvimento de SOEs reforçados (14.1.8.C.01.)	ecs-containers-nonprivileged	Este controle verifica se o parâmetro privileged na definição do contêiner de definições de tarefa do Amazon ECS está definido como true. O controle falhará se esse parâmetro for igual a true. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS. Recomendamos que você remova privilégios elevados de suas definições de tarefas do ECS. Quando esse parâmetro de privilégio é true, o contêiner recebe privilégios elevados na instância de contêiner do host (de modo semelhante ao usuário raiz).
1.149	Segurança de software, ambientes operacionais padrão, desenvolvimento de SOEs reforçados (14.1.8.C.01.)	ecs-containers-readonly-access	Esse controle verifica se os contêineres do Amazon ECS estão limitados ao acesso somente de leitura aos sistemas de arquivos raiz montados. Este controle verifica se o parâmetro ReadonlyRootFilesystem na definição do contêiner de definições de tarefa do Amazon ECS está definido como false. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS. Ativar essa opção reduz os vetores de ataque à segurança, pois o sistema de arquivos da instância de contêiner não pode ser adulterado ou gravado, a menos que tenha permissões explícitas de leitura e gravação na pasta e nos diretórios do sistema de arquivos. Esse controle também segue o princípio do privilégio mínimo.
1661	Segurança de software, desenvolvimento de aplicações web, conteúdo do site da agência (14.5.6.C.01.)	cloudfront-default-root-object-configurado	Esse controle verifica se uma distribuição do Amazon CloudFront está configurada para retornar um objeto específico que é o objeto raiz padrão. O controle falhará se a distribuição do CloudFront não tiver um objeto raiz padrão configurado. Às vezes, um usuário pode solicitar a URL raiz da distribuição em vez de um objeto na distribuição. Quando isso acontece, a especificação de um objeto raiz padrão pode ajudá-lo a evitar a exposição do conteúdo de sua distribuição da web. Essa regra deve ser aplicada na região leste dos EUA-1. Implante com o parâmetro de modelo DeployEdgeRules = true.
167	Segurança de software, desenvolvimento de aplicações web, aplicações web (14.5.8.C.01.)	acm-certificate-expiration-check	Para proteger a integridade da rede, garanta que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e estar dentro do prazo de validade. Esta regra exige um valor para daysToExpiration. O valor é noventa dias.
1667	Software security, Web Application Development, Web applications (14,5.8.C.01.)	elb-tls-https-listeners-somente	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
1.841	Controle de acesso e senhas, identificação, autenticação e senhas, métodos para identificação e autenticação de usuários do sistema (16.1.35.C.02.)	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Esta regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para usuários do IAM.
1.841	Controle de acesso e senhas, identificação, autenticação e senhas, métodos para identificação e autenticação de usuários do sistema (16.1.35.C.02.)	mfa-enabled-for-iam-acesso ao console	Gerencie o acesso a recursos na Nuvem AWS garantindo que a MFA seja habilitada para todos os usuários do IAM (AWS Identity and Access Management) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir que os usuários do IAM utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
1.841	Controle de acesso e senhas, identificação, autenticação e senhas, métodos para identificação e autenticação de usuários do sistema (16.1.35.C.02.)	root-account-hardware-mfa-ativado	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de contas da AWS comprometidas.
1.841	Controle de acesso e senhas, identificação, autenticação e senhas, métodos para identificação e autenticação de usuários do sistema (16.1.35.C.02.)	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de contas da AWS comprometidas.
1.847	Controle de acesso e senhas, identificação, autenticação e senhas, proteção de autenticação de dados em trânsito (16.1.37.C.01.)	alb-http-to-https-verificação de redirecionamento	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
1.847	Controle de acesso e senhas, identificação, autenticação e senhas, proteção de autenticação de dados em trânsito (16.1.37.C.01.)	cloudfront-viewer-policy-https	Esse controle verifica se uma distribuição do Amazon CloudFront exige que os visualizadores usem HTTPS diretamente ou se usa redirecionamento. O controle falhará se ViewerProtocolPolicy estiver configurado para permitir tudo para defaultCacheBehavior ou para cacheBehaviors. HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques intermediários ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Essa regra deve ser aplicada na região leste dos EUA-1. Implante com o parâmetro de modelo DeployEdgeRules = true.
1.847	Controle de acesso e senhas, identificação, autenticação e senhas, proteção de autenticação de dados em trânsito (16.1.37.C.01.)	elasticsearch-node-to-node-verificação de criptografia	Esse controle verifica se os domínios do Elasticsearch têm a criptografia de nó a nó habilitada. Esse controle falhará se a criptografia de nó a nó for desabilitada no domínio. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a criptografia de nó a nó para domínios do Elasticsearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
1.847	Controle de acesso e senhas, identificação, autenticação e senhas, proteção de autenticação de dados em trânsito (16.1.37.C.01.)	elb-tls-https-listeners-somente	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
1.847	Controle de acesso e senhas, identificação, autenticação e senhas, proteção de autenticação de dados em trânsito (16.1.37.C.01.)	opensearch-node-to-node-verificação de criptografia	Esse controle verifica se os domínios do OpenSearch têm a criptografia de nó a nó habilitada. Esse controle falhará se a criptografia de nó a nó for desabilitada no domínio. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a criptografia de nó a nó para domínios do OpenSearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
1858	Controle de acesso e senhas, identificação, autenticação e senhas, política de seleção de senhas (16.1.40.C.02.)	iam-password-policy	O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas.
1893	Controle de acesso e senhas, identificação, autenticação e senhas, suspensão de acesso (16.1.46.C.02.)	iam-user-unused-credentials-verificar	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Esta regra define maxCredentialUsageAge como trinta dias.
1946	Controle de acesso e senhas, acesso privilegiado de usuários, uso de contas privilegiadas (16.3.5.C.02.)	iam-policy-no-statements-with-admin-access	O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "" por "Resource": "". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres.
1946	Controle de acesso e senhas, acesso privilegiado de usuários, uso de contas privilegiadas (16.3.5.C.02.)	iam-root-access-key-verificar	O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima.
1998	Controle de acesso e senhas, registro em log e auditoria de eventos, manutenção de logs de gerenciamento do sistema (16.6.6.C.02.)	cloud-trail-cloud-watch-logs-habilitado	Você deve configurar o CloudTrail com o CloudWatch Logs para monitorar seus logs de trilha e receber notificação quando ocorrerem atividades específicas. Esta regra verifica se as trilhas do AWS CloudTrail estão configuradas para enviar logs ao Amazon CloudWatch Logs.
1998	Controle de acesso e senhas, registro em log e auditoria de eventos, manutenção de logs de gerenciamento do sistema (16.6.6.C.02.)	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. É possível identificar os usuários e as contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
1998	Controle de acesso e senhas, registro em log e auditoria de eventos, manutenção de logs de gerenciamento do sistema (16.6.6.C.02.)	cw-loggroup-retention-period-verificar	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados. A retenção mínima é de 18 meses.
2013	Controle de acesso e senhas, registro em log e auditoria de eventos, eventos adicionais a serem registrados em log (16.6.10.C.02.)	api-gw-execution-logging-habilitado	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
2013	Controle de acesso e senhas, registro em log e auditoria de eventos, eventos adicionais a serem registrados em log (16.6.10.C.02.)	cloudfront-accesslogs-enabled	Esse controle verifica se o registro em log de acesso ao servidor está habilitado nas distribuições do CloudFront. O controle falhará se o registro em log de acesso não estiver habilitado para uma distribuição. Os logs de acesso ao CloudFront contêm informações detalhadas sobre cada solicitação do usuário recebida pelo CloudFront. Cada registro em log contém informações como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Essa regra deve ser aplicada na região leste dos EUA-1. Implante com o parâmetro de modelo DeployEdgeRules = true.
2013	Controle de acesso e senhas, registro em log e auditoria de eventos, eventos adicionais a serem registrados em log (16.6.10.C.02.)	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. É possível identificar os usuários e as contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
2013	Controle de acesso e senhas, registro em log e auditoria de eventos, eventos adicionais a serem registrados em log (16.6.10.C.02.)	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
2013	Controle de acesso e senhas, registro em log e auditoria de eventos, eventos adicionais a serem registrados em log (16.6.10.C.02.)	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
2013	Controle de acesso e senhas, registro em log e auditoria de eventos, eventos adicionais a serem registrados em log (16.6.10.C.02.)	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.
2022	Controle de acesso e senhas, registro em log e auditoria de eventos, proteção de logs de eventos (16.6.12.C.01.)	cloud-trail-log-file-habilitado para validação	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
2022	Controle de acesso e senhas, registro em log e auditoria de eventos, proteção de logs de eventos (16.6.12.C.01.)	cloudwatch-log-group-encrypted	Para ajudar a proteger dados confidenciais em repouso, habilite a criptografia para os grupos do Amazon CloudWatch Logs.
2028	Controle de acesso e senhas, registro em log e auditoria de eventos, arquivos de logs de eventos (16.6.13.C.01.)	cw-loggroup-retention-period-verificar	Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados. A retenção mínima é de 18 meses.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53.C.04.)	api-gw-cache-enablede criptografado	Para ajudar a proteger os dados em repouso, habilite a criptografia para o cache do estágio do API Gateway. Como dados sensíveis podem ser capturados para o método da API, habilite a criptografia em repouso para ajudar a protegê-los. Uma isenção está disponível para ambientes de pré-produção.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53.C.04.)	cloud-trail-encryption-enabled	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para as trilhas do AWS CloudTrail.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53.C.04.)	ec2- ebs-encryption-by-default	Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53.C.04.)	efs-encrypted-check	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS).
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53.C.04.)	elasticsearch-encrypted-at-rest	Este controle verifica se os domínios do Elasticsearch têm a configuração de criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados sensíveis, configure seu domínio no Elasticsearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o AWS armazena e gerencia suas chaves de criptografia. Para executar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53.C.04.)	encrypted-volumes	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para seus volumes do Amazon Elastic Block Store (Amazon EBS).
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53.C.04.)	opensearch-encrypted-at-rest	Esse controle verifica se os domínios do OpenSearch têm a configuração da criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados confidenciais, configure seu domínio no OpenSearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o AWS armazena e gerencia suas chaves de criptografia. Para executar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53.C.04.)	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53.C.04.)	rds-storage-encrypted	Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53.C.04.)	habilitado para s3 bucket-server-side-encryption	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los.
2082	Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53.C.04.)	s3- default-encryption-kms	Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do S3. Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los. Para ter mais informações sobre o processo de criptografia e a administração, use as chaves gerenciadas pelo cliente (CMKs) do AWS Key Management Service (AWS KMS). Uma isenção está disponível para buckets que contêm dados não sensíveis, desde que o SSE esteja habilitado.
2090	Criptografia, fundamentos criptográficos, proteção de informações e sistemas (17.1.55.C.02.)	alb-http-to-https-verificação de redirecionamento	Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
2090	Criptografia, fundamentos criptográficos, proteção de informações e sistemas (17.1.55.C.02.)	elb-tls-https-listeners-somente	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
2090	Criptografia, fundamentos criptográficos, proteção de informações e sistemas (17.1.55.C.02.)	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
2598	Criptografia, Transport Layer Security, uso de TLS (17.4.16.C.01.)	elb-custom-security-policy-verificação ssl	Para ajudar a proteger os dados em trânsito, garanta que seus receptores do SSL do Classic ElasticLoadBalancer estejam usando uma política de segurança personalizada. Essas políticas podem fornecer vários algoritmos criptográficos de alta resistência para ajudar a garantir comunicações de rede criptografadas entre sistemas. Essa regra exige que você defina uma política de segurança personalizada para seus receptores de SSL. A política de segurança padrão é: Protocol-TLSv1.2,ECDHE-ECDSA-AES128-GCM-SHA256.
2600	Criptografia, Transport Layer Security, uso de TLS (17.4.16.C.02.)	elb-custom-security-policy-verificação ssl	Para ajudar a proteger os dados em trânsito, garanta que seus receptores do SSL do Classic ElasticLoadBalancer estejam usando uma política de segurança personalizada. Essas políticas podem fornecer vários algoritmos criptográficos de alta resistência para ajudar a garantir comunicações de rede criptografadas entre sistemas. Essa regra exige que você defina uma política de segurança personalizada para seus receptores de SSL. A política de segurança padrão é: Protocol-TLSv1.2, ECDHE-ECDSA-AES128-GCM-SHA256.
2726	Criptografia, Secure Shell, acesso remoto automatizado (17.5.8.C.02.)	restricted-ssh	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Não permitir o tráfego de entrada (ou remoto) de 0.0.0.0/0 para a porta 22 nos recursos ajuda a restringir o acesso remoto.
3021	Criptografia, gerenciamento de chaves, conteúdo de KMPs (17.9.25.C.01.)	cmk-backing-key-rotation-habilitado	O AWS KMS permite que os clientes mudem a chave de reserva, que é o material de chaves armazenado no AWS KMS e está vinculado ao ID de chave da CMK. É a chave de backup usada para executar operações de criptografia, por exemplo, criptografia e descriptografia. No momento, a rotação de chaves automatizada retém todas as chaves de backup anteriores para que a descriptografia de dados criptografados seja transparente. A rotação de chaves de criptografia ajuda a reduzir o impacto em potencial de uma chave comprometida porque os dados criptografados com uma nova chave não podem ser acessados com uma chave anterior que pode ter sido exposta.
3205	Segurança de rede, gerenciamento de rede, limitação do acesso à rede (18.1.13.C.02.)	vpc-sg-open-only-to-authorized-ports	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos em um grupo de segurança da internet (0.0.0.0/0), o acesso remoto pode ser controlado para sistemas internos. A lista de portas de internet autorizadas é: somente 443.
3449	Segurança de produtos, aplicação de patches e atualizações de produtos, correção de vulnerabilidades em produtos (12.4.4.C.02.)	ec2- -check managedinstance-patch-compliance-status	Habilite a regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
3449	Segurança de produtos, aplicação de patches e atualizações de produtos, correção de vulnerabilidades em produtos (12.4.4.C.02.)	ecr-private-image-scanning-habilitado	Este controle verifica se um repositório privado do ECR tem a verificação de imagens configurada. Este controle verifica se um repositório privado do ECR não tem a verificação de imagens configurada. Observe que você também deve configurar a verificação por push para cada repositório para passar nesse controle. A verificação de imagens do ECR ajuda a identificar vulnerabilidades de software nas imagens de seu contêiner. O ECR usa o banco de dados de vulnerabilidades e exposições comuns (CVEs) do projeto Clair de código aberto e fornece uma lista das descobertas da verificação. Habilitar a verificação de imagens em repositórios do ECR adiciona uma camada de verificação da integridade e segurança das imagens que estão sendo armazenadas.
3449	Segurança de produtos, aplicação de patches e atualizações de produtos, correção de vulnerabilidades em produtos (12.4.4.C.02.)	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Esta regra define allowVersionUpgrade como TRUE.
3451	Segurança de produtos, aplicação de patches e atualizações de produtos, correção de vulnerabilidades em produtos (12.4.4.C.04.)	ec2- -check managedinstance-patch-compliance-status	Habilite a regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
3452	Segurança de produtos, aplicação de patches e atualizações de produtos, correção de vulnerabilidades em produtos (12.4.4.C.05.)	ec2- -check managedinstance-patch-compliance-status	Habilite a regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
3452	Segurança de produtos, aplicação de patches e atualizações de produtos, correção de vulnerabilidades em produtos (12.4.4.C.05.)	elastic-beanstalk-managed-updates-habilitado	Esse controle verifica se as atualizações de plataforma gerenciadas estão habilitadas no ambiente do Elastic Beanstalk. A ativação das atualizações gerenciadas da plataforma garante que as correções, atualizações e recursos mais recentes da plataforma disponíveis para o ambiente sejam instalados. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.
3452	Segurança de produtos, aplicação de patches e atualizações de produtos, correção de vulnerabilidades em produtos (12.4.4.C.05.)	rds-automatic-minor-version-habilitado para atualização	Esse controle verifica se as atualizações automáticas de versões secundárias estão habilitadas para a instância do banco de dados do RDS. A ativação de atualizações automáticas de versões secundárias garante que as últimas atualizações de versões secundárias do sistema de gerenciamento de banco de dados relacional (RDBMS) sejam instaladas. Essas atualizações podem incluir patches de segurança e correções de erros. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas.
3453	Segurança de produtos, aplicação de patches e atualizações de produtos, correção de vulnerabilidades em produtos (12.4.4.C.06.)	ec2- -check managedinstance-patch-compliance-status	Habilite a regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização.
3453	Segurança de produtos, aplicação de patches e atualizações de produtos, correção de vulnerabilidades em produtos (12.4.4.C.06.)	redshift-cluster-maintenancesettings-check	Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Esta regra define allowVersionUpgrade como TRUE.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. Uma isenção está disponível se o balanceador de carga for a origem de uma distribuição do CloudFront com o WAF habilitado.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	api-gw-associated-with-onda	Este controle verifica se um estágio do API Gateway usa uma lista de controle de acesso (ACL) da web do AWS WAF. Este controle falhará se uma ACL da web regional do AWS WAF não estiver conectada a um estágio do gateway de API REST. O AWS WAF é um firewall de aplicações web que ajuda a proteger aplicações web e APIs contra ataques. Isso permite configurar um ACL, que é conjunto de regras que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. O estágio do gateway de API deve estar associado a uma ACL da web da AWS para ajudar a protegê-lo contra ataques mal-intencionados. Uma isenção está disponível se o API Gateway for a origem de uma distribuição do CloudFront com o WAF habilitado.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	cloudfront-associated-with-waf	Esse controle verifica se as distribuições do CloudFront estão associadas às ACLs da web do AWS WAF ou do AWS WAFv2. O controle falhará se a distribuição não estiver associada a uma ACL da web da AWS. WAF é um firewall de aplicações web que ajuda a proteger aplicações web e APIs contra ataques. Isso permite configurar um conjunto de regras chamado de lista de controle de acesso à web (ACL da web) que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Garanta que sua distribuição do CloudFront esteja associada a uma ACL da web do AWS WAF para ajudar a protegê-la contra ataques maliciosos. Essa regra deve ser aplicada na região leste dos EUA-1. Implante com o parâmetro de modelo DeployEdgeRules = true.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	ec2- instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	ec2- instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	elasticsearch-in-vpc-only	Esse controle verifica se os domínios do Elasticsearch estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. Você deve garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com os recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do Elasticsearch, como ACL de rede e grupos de segurança.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	lambda-function-public-access-proibido	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	opensearch-in-vpc-only	Esse controle verifica se os domínios do OpenSearch estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. Você deve garantir que os domínios do OpenSearch não estejam anexados a sub-redes públicas. Os domínios do OpenSearch implantados em uma VPC podem se comunicar com os recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do OpenSearch, incluindo ACL de rede e grupos de segurança.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	rds-instance-public-access-verificar	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	redshift-cluster-public-access-verificar	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	s3- account-level-public-access -blocos-periódicos	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Esta regra ajuda a manter os dados sensíveis protegidos de usuários remotos não autorizados, impedindo o acesso público. Esta regra define ignorePublicAcls como TRUE, blockPublicPolicy como TRUE, blockPublicAcls como TRUE e restrictPublicBuckets como TRUE.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	sagemaker-notebook-no-direct-acesso à internet	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	vpc-default-security-group-fechado	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
3562	Segurança de gateway, gateways, configuração de gateways (19.1.12.C.01.)	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
3623	Segurança de gateway, gateways, zonas desmilitarizadas (19.1.14.C.02.)	elasticsearch-in-vpc-only	Esse controle verifica se os domínios do Elasticsearch estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. Você deve garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com os recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do Elasticsearch, como ACL de rede e grupos de segurança.
3623	Segurança de gateway, gateways, zonas desmilitarizadas (19.1.14.C.02.)	opensearch-in-vpc-only	Esse controle verifica se os domínios do OpenSearch estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. Você deve garantir que os domínios do OpenSearch não estejam anexados a sub-redes públicas. Os domínios do OpenSearch implantados em uma VPC podem se comunicar com os recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do OpenSearch, incluindo ACL de rede e grupos de segurança.
3623	Segurança de gateway, gateways, zonas desmilitarizadas (19.1.14.C.02.)	rds-instance-public-access-verificar	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
3623	Segurança de gateway, gateways, zonas desmilitarizadas (19.1.14.C.02.)	redshift-cluster-public-access-verificar	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
3815	Segurança de rede, detecção e prevenção de intrusões, manutenção de IDS/IPS (18.4.9.C.01.)	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
3857	Segurança de rede, detecção e prevenção de intrusões, configuração de IDS/IPS (18.4.11.C.01.)	guardduty-eks-protection-audit-habilitado	Esse controle verifica se o Monitoramento de Logs de Auditoria do EKS do GuardDuty está habilitado. O Monitoramento de Logs de Auditoria do EKS do GuardDuty ajuda a detectar atividades potencialmente suspeitas nos clusters do EKS Amazon Elastic Kubernetes Service (Amazon EKS). O Monitoramento de logs de auditoria do EKS usa registros de auditoria do Kubernetes para capturar atividades cronológicas de usuários e aplicações usando a API Kubernetes e o ambiente de gerenciamento.
3857	Segurança de rede, detecção e prevenção de intrusões, configuração de IDS/IPS (18.4.11.C.01.)	guardduty-eks-protection-runtime-habilitado	Esse controle verifica se o Monitoramento de Runtime do EKS do GuardDuty com gerenciamento automatizado de agentes está habilitado. O recurso Proteção do EKS no Amazon GuardDuty fornece cobertura de detecção de ameaças para ajudar você a proteger clusters do Amazon EKS no seu ambiente da AWS. O Monitoramento de Runtime do EKS usa eventos ao nível do sistema operacional para ajudar a detectar possíveis ameaças nos nós e contêineres do EKS em seus clusters do EKS.
3857	Segurança de rede, detecção e prevenção de intrusões, configuração de IDS/IPS (18.4.11.C.01.)	guardduty-lambda-protection-enabled	Esse controle verifica se a Proteção do Lambda do GuardDuty está habilitada. A Proteção do Lambda do GuardDuty ajuda você a identificar possíveis ameaças à segurança quando uma função do AWS Lambda é invocada. Depois que você habilita a Proteção do Lambda, o GuardDuty começa a monitorar os logs de atividades da rede do Lambda associados às funções do Lambda na sua conta da AWS. Quando uma função do Lambda é invocada e o GuardDuty identifica tráfego de rede suspeito que indica a presença de um código potencialmente mal-intencionado em sua função do Lambda, o GuardDuty gera uma descoberta.
3857	Segurança de rede, detecção e prevenção de intrusões, configuração de IDS/IPS (18.4.11.C.01.)	guardduty-s3-protection-enabled	Esse controle verifica se a Proteção do S3 do GuardDuty está habilitada. A proteção do S3 possibilita que o GuardDuty monitore operações de API em nível de objeto para identificar possíveis riscos de segurança para dados em buckets do Amazon S3. O GuardDuty monitora ameaças contra seus recursos do S3 analisando os eventos de gerenciamento do AWS CloudTrail e os eventos de dados do S3 no CloudTrail.
3875	Segurança de rede, detecção e prevenção de intrusões, gerenciamento de eventos e correlação (18.4.12.C.01.)	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
3875	Segurança de rede, detecção e prevenção de intrusões, gerenciamento de eventos e correlação (18.4.12.C.01.)	securityhub-enabled	O AWS Security Hub ajuda a monitorar equipes, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas de segurança ou as descobertas de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS.
4333	Gerenciamento de dados, filtragem de conteúdo, validação de conteúdo (20.3.7.C.02.)	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
4333	Gerenciamento de dados, filtragem de conteúdo, validação de conteúdo (20.3.7.C.02.)	api-gw-associated-with-onda	Este controle verifica se um estágio do API Gateway usa uma lista de controle de acesso (ACL) da web do AWS WAF. Este controle falhará se uma ACL da web regional do AWS WAF não estiver conectada a um estágio do gateway de API REST. O AWS WAF é um firewall de aplicações web que ajuda a proteger aplicações web e APIs contra ataques. Isso permite configurar um ACL, que é conjunto de regras que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. O estágio do gateway de API deve estar associado a uma ACL da web da AWS para ajudar a protegê-lo contra ataques mal-intencionados. Uma isenção está disponível se o API Gateway for a origem de uma distribuição do CloudFront com o WAF habilitado.
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4.C.02.)	elasticsearch-encrypted-at-rest	Este controle verifica se os domínios do Elasticsearch têm a configuração de criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados sensíveis, configure seu domínio no Elasticsearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o AWS armazena e gerencia suas chaves de criptografia. Para executar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4.C.02.)	opensearch-encrypted-at-rest	Esse controle verifica se os domínios do OpenSearch têm a configuração da criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados confidenciais, configure seu domínio no OpenSearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o AWS armazena e gerencia suas chaves de criptografia. Para executar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4.C.02.)	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4.C.02.)	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4.C.02.)	rds-snapshots-public-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4.C.02.)	rds-storage-encrypted	Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los.
4441	Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4.C.02.)	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Esta regra define clusterDbEncrypted como TRUE e loggingEnabled como TRUE.
4445	Gerenciamento de dados, bancos de dados, prestação de contas (20.4.5.C.02.)	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
4445	Gerenciamento de dados, bancos de dados, prestação de contas (20.4.5.C.02.)	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Esta regra define clusterDbEncrypted como TRUE e loggingEnabled como TRUE.
4829	Segurança de sistemas empresariais, computação em nuvem, disponibilidade do sistema (22.1.23.C.01.)	dynamodb-autoscaling-enabled	O ajuste de escala automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de throughput provisionado que responde automaticamente a padrões de tráfego reais. Isso permite que uma tabela ou um índice secundário global aumente a capacidade provisionada de leitura e gravação para processar aumentos repentinos no tráfego, sem controle de utilização.
4829	Segurança de sistemas empresariais, computação em nuvem, disponibilidade do sistema (22.1.23.C.01.)	elb-cross-zone-load-habilitado para balanceamento	Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias.
4829	Segurança de sistemas empresariais, computação em nuvem, disponibilidade do sistema (22.1.23.C.01.)	rds-cluster-multi-az-habilitado	O Amazon Aurora armazena cópias dos dados em um cluster de banco de dados em várias zonas de disponibilidade em uma única região da AWS. O Aurora armazena essas cópia independentemente de as instâncias no cluster de banco de dados abrangerem várias zonas de disponibilidade. Quando os dados são gravados na instância principal de banco de dados, o Aurora replica os dados de forma síncrona nas zonas de disponibilidade para seis nós de armazenamento associados ao volume do cluster. Isso fornece redundância de dados, elimina congelamentos de E/S e minimiza picos de latência durante backups do sistema. Executar uma instância de banco de dados com alta disponibilidade pode aumentar a disponibilidade durante a manutenção planejada do sistema e ajudar a proteger os bancos de dados contra falhas e interrupções da zona de disponibilidade. Esta regra verifica se a replicação multi-AZ está habilitada nos clusters do Amazon Aurora gerenciados pelo Amazon RDS. Uma isenção está disponível para ambientes de pré-produção.
4829	Segurança de sistemas empresariais, computação em nuvem, disponibilidade do sistema (22.1.23.C.01.)	rds-multi-az-support	O suporte multi-AZ no Amazon Relational Database Service (Amazon RDS) oferece maior disponibilidade e durabilidade para instâncias de banco de dados. Ao provisionar uma instância de banco de dados multi-AZ, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados em uma instância em modo de espera em outra zona de disponibilidade. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. Uma isenção está disponível para ambientes de pré-produção.
4838	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.03.)	cloudtrail-s3-dataevents-enabled	A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessou um bucket do Amazon S3, o endereço IP e o horário do evento.
4838	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.03.)	ebs-snapshot-public-restorable-verificar	Para gerenciar o acesso à Nuvem AWS, garanta que os instantâneos do EBS não sejam restauráveis publicamente. Os snapshots de volume do EBS podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
4838	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.03.)	s3- account-level-public-access -blocos-periódicos	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Esta regra ajuda a manter os dados sensíveis protegidos de usuários remotos não autorizados, impedindo o acesso público. Esta regra define ignorePublicAcls como TRUE, blockPublicPolicy como TRUE, blockPublicAcls como TRUE e restrictPublicBuckets como TRUE.
4838	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.03.)	s3- bucket-public-read-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
4838	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.03.)	s3- bucket-public-write-prohibited	Para gerenciar o acesso a recursos na Nuvem AWS, permita que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	dynamodb-table-encrypted-kms	Habilite a criptografia para as tabelas do Amazon DynamoDB. Como pode haver dados confidenciais em repouso nessas tabelas, habilite a criptografia em repouso para ajudar a protegê-los. Por padrão, as tabelas do DynamoDB são criptografadas com uma chave mestra de cliente (CMK) pertencente à AWS.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	efs-encrypted-check	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS).
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	elasticsearch-encrypted-at-rest	Este controle verifica se os domínios do Elasticsearch têm a configuração de criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados sensíveis, configure seu domínio no Elasticsearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o AWS armazena e gerencia suas chaves de criptografia. Para executar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	elasticsearch-node-to-node-verificação de criptografia	Esse controle verifica se os domínios do Elasticsearch têm a criptografia de nó a nó habilitada. Esse controle falhará se a criptografia de nó a nó for desabilitada no domínio. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a criptografia de nó a nó para domínios do Elasticsearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	elb-tls-https-listeners-somente	Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	encrypted-volumes	Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para seus volumes do Amazon Elastic Block Store (Amazon EBS).
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	opensearch-encrypted-at-rest	Esse controle verifica se os domínios do OpenSearch têm a configuração da criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados confidenciais, configure seu domínio no OpenSearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o AWS armazena e gerencia suas chaves de criptografia. Para executar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (AES-256).
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	opensearch-node-to-node-verificação de criptografia	Esse controle verifica se os domínios do OpenSearch têm a criptografia de nó a nó habilitada. Esse controle falhará se a criptografia de nó a nó for desabilitada no domínio. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a criptografia de nó a nó para domínios do OpenSearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	rds-snapshot-encrypted	Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	rds-storage-encrypted	Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	redshift-cluster-configuration-check	Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Esta regra define clusterDbEncrypted como TRUE e loggingEnabled como TRUE.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	redshift-require-tls-ssl	Os clusters do Amazon Redshift devem exigir criptografia TLS/SSL para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	s3- bucket-ssl-requests-only	Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	sagemaker-endpoint-configuration-kms-configurado por chave	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o endpoint do SageMaker. Como pode haver dados confidenciais em repouso no endpoint do SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	sagemaker-notebook-instance-kms-configurado por chave	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para o caderno do SageMaker. Como pode haver dados confidenciais em repouso no cadernodo SageMaker, habilite a criptografia em repouso para ajudar a protegê-los.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	secretsmanager-using-cmk	Para ajudar a proteger os dados em repouso, habilite a criptografia com o AWS Key Management Service (AWS KMS) para os segredos do AWS Secrets Manager. Como pode haver dados confidenciais em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a protegê-los.
4839	Segurança de sistemas empresariais, computação em nuvem, acesso não autorizado (22.1.24.C.04.)	sns-encrypted-kms	Para ajudar a proteger os dados em repouso, use o AWS Key Management Service (AWS KMS) para garantir que os tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia. Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los. Uma isenção está disponível quando as mensagens publicadas no tópico não contêm dados sensíveis.
4849	Segurança de sistemas empresariais, computação em nuvem, backup, recuperação, arquivamento e remanência de dados (22.1.26.C.01.)	db-instance-backup-enabled	O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência.
4849	Segurança de sistemas empresariais, computação em nuvem, backup, recuperação, arquivamento e remanência de dados (22.1.26.C.01.)	dynamodb-in-backup-plan	Para ajudar nos processos de backup de dados, as tabelas do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Uma isenção está disponível quando uma solução de recuperação compensatória é configurada.
4849	Segurança de sistemas empresariais, computação em nuvem, backup, recuperação, arquivamento e remanência de dados (22.1.26.C.01.)	dynamodb-pitr-enabled	Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias.
4849	Segurança de sistemas empresariais, computação em nuvem, backup, recuperação, arquivamento e remanência de dados (22.1.26.C.01.)	ebs-in-backup-plan	Para ajudar nos processos de backup de dados, os volumes do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Uma isenção está disponível quando uma solução de recuperação compensatória é configurada.
4849	Segurança de sistemas empresariais, computação em nuvem, backup, recuperação, arquivamento e remanência de dados (22.1.26.C.01.)	efs-in-backup-plan	Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Uma isenção está disponível quando uma solução de recuperação compensatória é configurada.
4849	Segurança de sistemas empresariais, computação em nuvem, backup, recuperação, arquivamento e remanência de dados (22.1.26.C.01.)	elasticache-redis-cluster-automatic-verificação de backup	Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente.
4849	Segurança de sistemas empresariais, computação em nuvem, backup, recuperação, arquivamento e remanência de dados (22.1.26.C.01.)	rds-cluster-deletion-protection-habilitado	Habilite a proteção contra exclusão das instâncias do Amazon RDS. Use a proteção contra exclusão para evitar que as instâncias do RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade para suas aplicações.
4849	Segurança de sistemas empresariais, computação em nuvem, backup, recuperação, arquivamento e remanência de dados (22.1.26.C.01.)	rds-in-backup-plan	Para ajudar nos processos de backup de dados, as instâncias do Amazon Relational Database Service (Amazon RDS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Uma isenção está disponível quando uma solução de recuperação compensatória é configurada.
4849	Segurança de sistemas empresariais, computação em nuvem, backup, recuperação, arquivamento e remanência de dados (22.1.26.C.01.)	rds-instance-deletion-protection-habilitado	Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações.
4849	Segurança de sistemas empresariais, computação em nuvem, backup, recuperação, arquivamento e remanência de dados (22.1.26.C.01.)	redshift-backup-enabled	Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando snapshots automatizados são habilitados para um cluster, o Redshift tira snapshots desse cluster periodicamente. Por padrão, o Redshift tira um snapshot a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro.
4849	Segurança de sistemas empresariais, computação em nuvem, backup, recuperação, arquivamento e remanência de dados (22.1.26.C.01.)	s3- bucket-versioning-enabled	O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação. Uma isenção está disponível quando somente uma única variante de um objeto for criada ou quando uma solução de recuperação compensatória tiver sido configurada.
6843	Controle de acesso e senhas, gerenciamento de acesso privilegiado, o princípio de privilégio mínimo (16.4.31.C.02.)	mfa-enabled-for-iam-acesso ao console	A MFA adiciona um nível extra de segurança ao exigir que os usuários forneçam autenticação exclusiva de um mecanismo de MFA compatível com a AWS, além de credenciais regulares de login, quando acessam sites ou serviços da AWS. Os mecanismos permitidos incluem chaves de segurança U2F, dispositivos de MFA virtuais ou físicos e códigos baseados em SMS. Esta regra verifica se a autenticação multifator (MFA) da AWS está habilitada para todos os usuários do AWS Identity and Access Management (IAM) que usam uma senha do console. A regra será COMPLIANT se a MFA estiver habilitada.
6843	Controle de acesso e senhas, gerenciamento de acesso privilegiado, o princípio de privilégio mínimo (16.4.31.C.02.)	root-account-hardware-mfa-ativado	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de contas da AWS comprometidas.
6852	Controle de acesso e senhas, gerenciamento de acesso privilegiado, suspensão e revogação de credenciais de acesso privilegiado (16.4.33.C.01.)	iam-user-unused-credentials-verificar	O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Esta regra define maxCredentialUsageAge como trinta dias.
6860	Controle de acesso e senhas, gerenciamento de acesso privilegiado, monitoramento e análise (16.4.35.C.02.)	cloud-trail-cloud-watch-logs-habilitado	Você deve configurar o CloudTrail com o CloudWatch Logs para monitorar seus logs de trilha e receber notificação quando ocorrerem atividades específicas. Esta regra verifica se as trilhas do AWS CloudTrail estão configuradas para enviar logs ao Amazon CloudWatch Logs.
6860	Controle de acesso e senhas, gerenciamento de acesso privilegiado, monitoramento e análise (16.4.35.C.02.)	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. É possível identificar os usuários e as contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
6861	Controle de acesso e senhas, gerenciamento de acesso privilegiado, monitoramento e análise (16.4.35.C.03.)	cloudtrail-security-trail-enabled	Essa regra ajuda a garantir o uso das práticas recomendadas de segurança da AWS para o AWS CloudTrail verificando a habilitação de várias configurações. Isso inclui o uso de criptografia de log, validação de log e habilitação do AWS CloudTrail em várias regiões.
6953	Controle de acesso e senhas, autenticação multifator, controles de arquitetura e segurança do sistema (16.7.34.C.02.)	mfa-enabled-for-iam-acesso ao console	A MFA adiciona um nível extra de segurança ao exigir que os usuários forneçam autenticação exclusiva de um mecanismo de MFA compatível com a AWS, além de credenciais regulares de login, quando acessam sites ou serviços da AWS. Os mecanismos permitidos incluem chaves de segurança U2F, dispositivos de MFA virtuais ou físicos e códigos baseados em SMS. Esta regra verifica se a autenticação multifator (MFA) da AWS está habilitada para todos os usuários do AWS Identity and Access Management (IAM) que usam uma senha do console. A regra será COMPLIANT se a MFA estiver habilitada.
6953	Controle de acesso e senhas, autenticação multifator, controles de arquitetura e segurança do sistema (16.7.34.C.02.)	root-account-hardware-mfa-ativado	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de contas da AWS comprometidas.
7436	Segurança em nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19.C.01.)	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Esta regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para usuários do IAM.
7436	Segurança em nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19.C.01.)	mfa-enabled-for-iam-acesso ao console	Gerencie o acesso a recursos na Nuvem AWS garantindo que a MFA seja habilitada para todos os usuários do IAM (AWS Identity and Access Management) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir que os usuários do IAM utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
7436	Segurança em nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19.C.01.)	root-account-hardware-mfa-ativado	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de contas da AWS comprometidas.
7436	Segurança em nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19.C.01.)	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de contas da AWS comprometidas.
7437	Segurança em nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19.C.01.)	iam-user-mfa-enabled	Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Esta regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo MFA para usuários do IAM.
7437	Segurança em nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19.C.01.)	mfa-enabled-for-iam-acesso ao console	Gerencie o acesso a recursos na Nuvem AWS garantindo que a MFA seja habilitada para todos os usuários do IAM (AWS Identity and Access Management) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir que os usuários do IAM utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados.
7437	Segurança em nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19.C.01.)	root-account-hardware-mfa-ativado	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de contas da AWS comprometidas.
7437	Segurança em nuvem pública, gerenciamento de identidade e controle de acesso, nome de usuário e senhas (23.3.19.C.01.)	root-account-mfa-enabled	Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de contas da AWS comprometidas.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	alb-waf-enabled	Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	api-gw-associated-with-onda	Este controle verifica se um estágio do API Gateway usa uma lista de controle de acesso (ACL) da web do AWS WAF. Este controle falhará se uma ACL da web regional do AWS WAF não estiver conectada a um estágio do gateway de API REST. O AWS WAF é um firewall de aplicações web que ajuda a proteger aplicações web e APIs contra ataques. Isso permite configurar um ACL, que é conjunto de regras que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. O estágio do gateway de API deve estar associado a uma ACL da web da AWS para ajudar a protegê-lo contra ataques mal-intencionados. Uma isenção está disponível se o API Gateway for a origem de uma distribuição do CloudFront com o WAF habilitado.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	dms-replication-not-public	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias de replicação do DMS não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	ec2-imdsv2-check	Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	ec2- instance-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	ec2- instances-in-vpc	Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	elasticsearch-in-vpc-only	Esse controle verifica se os domínios do Elasticsearch estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. Você deve garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com os recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do Elasticsearch, como ACL de rede e grupos de segurança.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	emr-master-no-public-ip	Para gerenciar o acesso à Nuvem AWS, garanta que os nós principais do cluster do Amazon EMR não possam ser acessados publicamente. Os nós principais do cluster do Amazon EMR podem conter informações confidenciais, e o controle de acesso é necessário para essas contas.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	guardduty-enabled-centralized	O Amazon GuardDuty pode ajudar a monitorar e detectar possíveis eventos de segurança cibernética usando feeds de inteligência contra ameaças. Isso inclui listas de IPs maliciosos e machine learning para identificar atividades inesperadas, não autorizadas e mal-intencionadas em seu ambiente na Nuvem AWS.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	lambda-function-public-access-proibido	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as funções do AWS Lambda não possam ser acessadas publicamente. O acesso público pode causar degradação da disponibilidade de recursos.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	opensearch-in-vpc-only	Esse controle verifica se os domínios do OpenSearch estão em uma VPC. Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. Você deve garantir que os domínios do OpenSearch não estejam anexados a sub-redes públicas. Os domínios do OpenSearch implantados em uma VPC podem se comunicar com os recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do OpenSearch, incluindo ACL de rede e grupos de segurança.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	rds-instance-public-access-verificar	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	redshift-cluster-public-access-verificar	Para gerenciar o acesso a recursos na Nuvem AWS, garanta que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	s3- account-level-public-access -blocos-periódicos	Para gerenciar o acesso a recursos na Nuvem AWS, os buckets do Amazon Simple Storage Service (Amazon S3) não podem ser acessados publicamente. Esta regra ajuda a manter os dados sensíveis protegidos de usuários remotos não autorizados, impedindo o acesso público. Esta regra define ignorePublicAcls como TRUE, blockPublicPolicy como TRUE, blockPublicAcls como TRUE e restrictPublicBuckets como TRUE.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	sagemaker-notebook-no-direct-acesso à internet	Para gerenciar o acesso a recursos na AWS nuvem, garanta que os cadernos do Amazon SageMaker não permitam acesso direto à internet. Ao impedir o acesso direto à internet, você impede que dados confidenciais sejam acessados por usuários não autorizados.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	ssm-document-not-public	Garanta que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso permite acesso não intencional aos seus documentos do SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	vpc-default-security-group-fechado	Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem stateful do tráfego de rede de entrada e saída aos recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a limitar o acesso remoto aos recursos da AWS.
7466	Segurança em nuvem pública, proteção de dados em nuvem pública, acessibilidade dos dados (23.4.10.C.01.)	vpc-flow-logs-enabled	Os logs de fluxo da VPC fornecem registros detalhados de informações sobre o tráfego de IP de entrada e saída das interfaces de rede no Amazon Virtual Private Cloud (Amazon VPC). Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo.
7496	Segurança em nuvem pública, registro em log e alertas em nuvem pública, requisitos de registro em log (23.5.11.C.01.)	api-gw-execution-logging-habilitado	O registro em log do API Gateway exibe visualizações detalhadas dos usuários que acessaram a API e a forma como eles a acessaram. Esse insight mostra as atividades do usuário.
7496	Segurança em nuvem pública, registro em log e alertas em nuvem pública, requisitos de registro em log (23.5.11.C.01.)	cloud-trail-log-file-habilitado para validação	Utilize a validação de arquivo de log do AWS CloudTrail para verificar a integridade dos logs do CloudTrail. Essa validação ajuda a determinar se um arquivo de log foi modificado, excluído ou permaneceu inalterado depois de ser fornecido pelo CloudTrail. Esse recurso é criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinaturas digitais. Desse modo, é computacionalmente impraticável modificar, excluir ou forjar arquivos de log do CloudTrail sem detectar tais ações.
7496	Segurança em nuvem pública, registro em log e alertas em nuvem pública, requisitos de registro em log (23.5.11.C.01.)	cloudfront-accesslogs-enabled	Esse controle verifica se o registro em log de acesso ao servidor está habilitado nas distribuições do CloudFront. O controle falhará se o registro em log de acesso não estiver habilitado para uma distribuição. Os logs de acesso ao CloudFront contêm informações detalhadas sobre cada solicitação do usuário recebida pelo CloudFront. Cada registro em log contém informações como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Essa regra deve ser aplicada na região leste dos EUA-1.
7496	Segurança em nuvem pública, registro em log e alertas em nuvem pública, requisitos de registro em log (23.5.11.C.01.)	cloudtrail-enabled	O AWS CloudTrail pode ajudar no não repúdio ao registrar ações e chamadas de API do Console de Gerenciamento da AWS. É possível identificar os usuários e as contas da AWS que chamaram um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são encontrados no conteúdo do registro do AWS CloudTrail.
7496	Segurança em nuvem pública, registro em log e alertas em nuvem pública, requisitos de registro em log (23.5.11.C.01.)	cloudwatch-log-group-encrypted	Para ajudar a proteger dados confidenciais em repouso, habilite a criptografia para os grupos do Amazon CloudWatch Logs.
7496	Segurança em nuvem pública, registro em log e alertas em nuvem pública, requisitos de registro em log (23.5.11.C.01.)	elb-logging-enabled	A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor.
7496	Segurança em nuvem pública, registro em log e alertas em nuvem pública, requisitos de registro em log (23.5.11.C.01.)	rds-logging-enabled	Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas.
7496	Segurança em nuvem pública, registro em log e alertas em nuvem pública, requisitos de registro em log (23.5.11.C.01.)	wafv2-logging-enabled	Para ajudar com o registro em log e o monitoramento em seu ambiente, habilite o registro em log do AWS WAF (V2) em ACLs da web regionais e globais. O registro em log do AWS WAF fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web. Os logs registram a hora em que o AWS WAF recebeu a solicitação do recurso da AWS, informações sobre a solicitação e uma ação para a regra à qual cada solicitação correspondeu.

Modelo

O modelo está disponível no GitHub: Operational Best Practices for NZISM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Práticas recomendadas operacionais para o NYDFS 23

Práticas recomendadas operacionais para o PCI DSS 3.2.1