As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conformidade de configuração no Accelerate
O AMS Accelerate ajuda você a configurar seus recursos de acordo com altos padrões de segurança e integridade operacional e a cumprir os seguintes padrões do setor:
Centro de Segurança na Internet (CIS)
Estrutura de segurança em nuvem (CSF) do Instituto Nacional de Padrões e Tecnologia (NIST)
Health Insurance Portability and Accountability Act (HIPAA)
Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI)
Fazemos isso implantando todo o nosso conjunto de AWS Config regras de conformidade em sua conta, consulteBiblioteca de regras de configuração do AMS. Uma AWS Config regra representa as configurações desejadas para um recurso e é avaliada em relação às alterações nas configurações de seus AWS recursos. Qualquer alteração na configuração aciona um grande número de regras para testar a conformidade. Por exemplo, suponha que você crie um bucket do Amazon S3 e o configure para ser legível publicamente, violando os padrões do NIST. A bucket-public-read-prohibited regra ams-nist-cis-s 3 detecta a violação e rotula seu bucket do S3 como não compatível em seu relatório de configuração. Como essa regra pertence à categoria de remediação automática de incidentes, ela cria imediatamente um relatório de incidente, alertando você sobre o problema. Outras violações de regras mais graves podem fazer com que o AMS corrija automaticamente o problema. Consulte Respostas às violações no Accelerate.
Importante
Se você quiser que façamos mais, por exemplo, se quiser que a AMS corrija uma violação para você, independentemente de sua categoria de remediação, envie uma Solicitação de Serviço solicitando que a AMS corrija os recursos não compatíveis para você. Na Solicitação de Serviço, inclua um comentário como “Como parte da correção da regra de configuração do AMS, corrija os recursos que não são de reclamaçãoRESOURCE_ARNS_OR_IDs, configure a regra CONFIG_RULE_NAME na conta” e adicione as entradas necessárias para remediar a violação.
Se você quiser que façamos menos, por exemplo, se não quiser que tomemos medidas em um determinado bucket do S3 que requer acesso público por design, você pode criar exceções, consulte. Criação de exceções de regras no Accelerate
Biblioteca de regras de configuração do AMS
O Accelerate implanta uma biblioteca de regras de configuração do AMS para proteger sua conta. Essas regras de configuração começam comams-. Você pode visualizar as regras em sua conta e seu estado de conformidade no AWS Config console, na AWS CLI ou na AWS Config API. Para obter informações gerais sobre o uso AWS Config, consulte ViewingConfiguration Conformidade.
nota
Para regiões opt-in Regiões da AWS e gov cloud, implantamos apenas um subconjunto das regras de configuração devido às restrições da região. Verifique a disponibilidade da regra nas regiões verificando o link associado ao identificador na tabela de regras de configuração do AMS Accelerate.
Você não pode remover nenhuma das regras de configuração do AMS implantadas.
Tabela de regras
Faça o download como ams_config_rules.zip.
| Nome da regra | Serviço | Trigger | Ação | Frameworks |
|---|---|---|---|---|
| ams-nist-cis-guardduty-habilitado-centralizado | GuardDuty | Periódico | Remediar | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 2.2,3.4,8.2.1; |
| ams-nist-cis-vpc-flow-logs-enabled | VPC | Periódico | Remediar | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164,308 (a) (3) (ii) (A), 164,312 (b); PCI: 2.2,10.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6; |
| ams-eks-secrets-encrypted | EKS | Periódico | O incidente | CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-eks-endpoint-no-acesso público | EKS | Periódico | O incidente | CIS: NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-nist-cis-vpc-default-security-group-closed | VPC | Alterações de configuração | O incidente | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.312 (e) (1); PCI: 1.2,1.3,2.1,2.2,1.2.1,1.3.2.2.2.2; |
| ams-nist-cis-iam-política de senha | IAM | Periódico | O incidente | CIS: NA; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (4) (i), 164,308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 7.1.2, 7.1.3, 7.2.1, 7.2.2; |
| ams-nist-cis-iam-root-access-key-check | IAM | Periódico | O incidente | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (3) (ii) (A) ,164,308 (a) (4) (3) (ii) (B)) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 2.2.7.1.2.7.1.3, 7.2.1, 7.2.2; |
| ams-nist-cis-iam-user-mfa-enabled | IAM | Periódico | O incidente | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (4) (i), 164,308 (a) a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 2.2,7.1.2,7.1.3,7.2.1,7.2.2; |
| ams-nist-cis-restricted-cinza | Grupos de segurança | Alterações de configuração | O incidente | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4; HIPAA: 164,308 (a) (3) (i), 164,308 (a) (4) (ii) (A) ,164,308 (a) (4) (ii) (B) ,164,308 (a) (4) (ii) (C) 312 (a) (1); PCI: 2.2, 7.2.1, 8.1.4; |
| ams-nist-cis-restricted-portas comuns | Grupos de segurança | Alterações de configuração | O incidente | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) 4.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3.2.2.2.2; |
| ams-nist-cis-s3 account-level-public-access - blocos | S3 | Alterações de configuração | O incidente | CIS: CIS.9, CIS.12, CIS.14; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.2.1,1.3,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2.2; |
| ams-nist-cis-s3- bucket-public-read-prohibited | S3 | Alterações de configuração | O incidente | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,2,2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-s3- bucket-public-write-prohibited | S3 | Alterações de configuração | O incidente | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,2,2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-s3 bucket-server-side-encryption - ativado | S3 | Alterações de configuração | O incidente | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164,312 (a) (2) (iv), 164,312 (c) (2), 164,312 (e) (2) (ii); PCI: 2.2,3.4,10.5,8.2.1; |
| ams-nist-cis-securityhub-habilitado | Security Hub | Periódico | O incidente | CIS: CIS.3, CIS.4, CIS.6, CIS.12, CIS.16, CIS.19; NIST-CSF: PR.DS-5, PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-cis-ec2 instance-managed-by-systems - gerente | EC2 | Alterações de configuração | Relatório | CIS: CIS.2, CIS.5; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: 164.308 (a) (5) (ii) (B); PCI: 2,4; |
| ams-nist-cis-cloudtrail-habilitado | CloudTrail | Periódico | Relatório | CIS: CIS.16, CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1; HIPAA: 164.308 (a) (3) (ii) (A), 164.308 (a) (5) (ii) (C), 164.312 (b); PCI: 10.1,10.2.1,10.2.2, 10.2.3, 10.2.4, 10.2.5, 10.2.6, 10.2.7, 10.3.1,10.3.2, 10.3.2, 10.3.3, 10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| ams-nist-cis-access-teclas giradas | IAM | Periódico | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: 2,2; |
| ams-nist-cis-acm-certificate-expiration-check | Certificate Manager | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.AC-5, PR.PT-4; HIPAA: NA; PCI: 4,1; |
| ams-nist-cis-alb- http-to-https-redirection -verificar | ALB | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 2.3,4.1, 8.2.1; |
| ams-nist-cis-api- gw-cache-enabled-and -criptografado | API Gateway | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164,312 (a) (2) (iv), 164,312 (e) (2) (ii); PCI: 3,4; |
| ams-nist-cis-api-gw-execution-logging-enabled | API Gateway | Alterações de configuração | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164,312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-autoscaling-group-elb-healthcheck-required | ELB | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: PR.PT-1, PR.PT-5; HIPAA: 164.312 (b); PCI: 2,2; |
| ams-nist-cis-cloud-trail-encryption-enabled | CloudTrail | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164,312 (a) (2) (iv), 164,312 (e) (2) (ii); PCI: 2,2,3,4,10,5; |
| ams-nist-cis-cloud- trail-log-file-validation ativado | CloudTrail | Periódico | Relatório | CIS: CIS.6; NIST-CSF: PR.DS-6; HIPAA: 164,312 (c) (1), 164,312 (c) (2); PCI: 2,2,10,5,11,5, 10.5.2,10.5.5; |
| ams-nist-cis-cloudtrail-s3-dataevents habilitado | CloudTrail | Periódico | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164,308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.5,10.3.2,10.3.2,10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| ams-nist-cis-cloudwatch-alarm-action-check | CloudWatch | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: NA; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3,4; |
| ams-nist-cis-cloudwatch-log-group-encrypted | CloudWatch | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: NA; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3,4; |
| ams-nist-cis-codebuild-project-envvar-awscred-check | CodeBuild | Alterações de configuração | Relatório | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 8.2.1; |
| ams-nist-cis-codebuild- project-source-repo-url -verificar | CodeBuild | Alterações de configuração | Relatório | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 8.2.1; |
| ams-nist-cis-db-instance-backup-enabled | RDS | Alterações de configuração | Relatório | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (7) (ii) (B); PCI: NA; |
| ams-nist-cis-dms-replication-not-public | DMS | Periódico | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-dynamodb-autoscaling-habilitado | DynamoDB | Periódico | Relatório | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (C); PCI: NA; |
| ams-nist-cis-dynamodb-habilitado para pitr | DynamoDB | Periódico | Relatório | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (7) (ii) (B); PCI: NA; |
| ams-nist-dynamodb-throughput-verificação de limite | DynamoDB | Periódico | Relatório | CIS: NA; NIST-CSF: NA; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-ebs-optimized-instância | EBS | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: NA; HIPAA: 164.308 (a) (7) (i); PCI: NA; |
| ams-nist-cis-ebs-snapshot-public-restorable-check | EBS | Periódico | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-ec2- instance-detailed-monitoring-enabled | EC2 | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: DE.AE-1, PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-cis-ec2- instance-no-public-ip | EC2 | Alterações de configuração | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4)) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-ec2- managedinstance-association-compliance-status -verificação | EC2 | Alterações de configuração | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-ec2- managedinstance-patch-compliance-status -verificação | EC2 | Alterações de configuração | Relatório | CIS: CIS.2, CIS.5; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: 164.308 (a) (5) (ii) (B); PCI: 6,2; |
| ams-nist-cis-ec2 instâncias interrompidas | EC2 | Periódico | Relatório | CIS: CIS.2; NIST-CSF: ID.AM-2, PR.IP-1; HIPAA: NA; PCI: NA; |
| ams-nist-cis-ec2- volume-inuse-check | EC2 | Alterações de configuração | Relatório | CIS: CIS.2; NIST-CSF: PR.IP-1; HIPAA: NA; PCI: NA; |
| ams-nist-cis-efs-cheque criptografado | EFS | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-eip-anexado | EC2 | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-elasticache- redis-cluster-automatic-backup -verificar | ElastiCache | Periódico | Relatório | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (7) (ii) (B); PCI: NA; |
| ams-nist-cis-opensearch-encrypted-at-rest | OpenSearch | Periódico | Relatório | CIS: CIS.14, CIS.13; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-opensearch-in-vpc-only | OpenSearch | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-elb-acm-certificate-required | Certificate Manager | Alterações de configuração | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.2.1,1.3.1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-elb-deletion-habilitado para proteção | ELB | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 4.1,8.2.1; |
| ams-nist-cis-elb-habilitado para registro | ELB | Alterações de configuração | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164,312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-cis-emr-habilitado para kerberos | EMR | Periódico | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.PT-1; HIPAA: 164,312 (b); PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6,10.5.4; |
| ams-nist-cis-emr-master-no-public-ip | EMR | Periódico | Relatório | CIS: CIS.14, CIS.16; NIST-CSF: PR.AC-1, PR.AC-4, PR.AC-6; HIPAA: 164,308 (a) (3) (i) ,164,308 (a) (3) (ii) (A) ,164,308 (a) (4) (3) (ii) (B)) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 7.2.1; |
| ams-nist-cis-encrypted-volumes | EBS | Alterações de configuração | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-guardduty-non-archived-findings | GuardDuty | Periódico | Relatório | CIS: CIS.12, CIS.13, CIS.16, CIS.19, CIS.3, CIS.4, CIS.6, CIS.8; NIST-CSF: DE.AE-2, DE.AE-3, DE.CM-4, DE.DP-5, ID.RA-1, ID.RA-3, PR.DS-5, PR.PT-1; HIPAA: 164,308 (a) (5) (ii) (C), 164.308 (a) (6) (ii), 164.312 (b); PCI: 6.1,11.4,5.1.2; |
| ams-nist-iam-group-has-users-check | IAM | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: PR.AC-4, PR.AC-1; HIPAA: 164,308 (a) (3) (i), 164,308 (a) (3) (ii) (A) ,164,308 (a) (3) (ii) (B) ,164,308 (a) (4) (i), 164,308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 7.1.2, 7.1.3, 7.2.1, 7.2.2; |
| ams-nist-cis-iam- policy-no-statements-with -acesso de administrador | IAM | Alterações de configuração | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-6, PR.AC-7; HIPAA: 164.308 (a) (4) (ii) (B), 164.308 (a) (5) (ii) (D), 164.312 (d); PCI: 8.2.3,8.2.4,8.2.5; |
| ams-nist-cis-iam-user-group-membership-check | IAM | Alterações de configuração | Relatório | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4)) (ii) (C), 164.312 (a) (1), 164.312 (a) (2) (i); PCI: 2.2.7.1.2, 7.2.1, 8.1.1; |
| ams-nist-cis-iam-user-no-policies-check | IAM | Alterações de configuração | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-7; HIPAA: 164,308 (a) (4) (ii) (B), 164,312 (d); PCI: 8,3; |
| ams-nist-cis-iam-user-unused-credentials-check | IAM | Periódico | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-1, PR.AC-4, PR.PT-3; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (A) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1); PCI: 2.2.7.1.2,7.1.3,7.2.1,7.2.2; |
| ams-nist-cis-ec2- instances-in-vpc | EC2 | Alterações de configuração | Relatório | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (3) (ii) (B) ,164.308 (a) (4) (i) 4.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (B), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.3.2.2.2.2; |
| ams-nist-cis-internet-gateway-authorized-vpc-only | Gateway da Internet | Periódico | Relatório | CIS: CIS.9, CIS.12; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| ams-nist-cis-kms- cmk-not-scheduled-for -exclusão | KMS | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: NA; PCI: 3,5,3,6; |
| ams-nist-lambda-concurrency-verificar | Lambda | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: NA; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-lambda-dlq-verificar | Lambda | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: NA; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-cis-lambda-function-public-access-prohibited | Lambda | Alterações de configuração | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.2.1,1.3.1,1.3.2,1.3.4,2.2.2; |
| ams-nist-cis-lambda-interior-vpc | Lambda | Alterações de configuração | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.2.1,1.3.1,1.3.2,1.3.4,2.2.2; |
| ams-nist-cis-mfa- enabled-for-iam-console -acesso | IAM | Periódico | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-7; HIPAA: 164,312 (d); PCI: 2,2,8,3; |
| ams-nist-cis-multi-region-cloudtrail-enabled | CloudTrail | Periódico | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.MA-2, PR.PT-1; HIPAA: 164,308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1,10.2.1,10.2.12,10.2.2,10.2.2,10.2.3,10.2.0.2,5, 10.2.6, 10.2.7, 10.3.1,10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| ams-nist-rds-enhanced-habilitado para monitoramento | RDS | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: PR.PT-1; HIPAA: 164.312 (b); PCI: NA; |
| ams-nist-cis-rds-instance-public-access-check | RDS | Alterações de configuração | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-rds-multi-az-support | RDS | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164,308 (a) (7) (i), 164,308 (a) (7) (ii) (C); PCI: NA; |
| ams-nist-cis-rds-snapshots-public-prohibited | RDS | Alterações de configuração | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-rds-armazenamento criptografado | RDS | Alterações de configuração | Relatório | CIS: CIS.13, CIS.5, CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (b), 164.312 (e) (2) (ii); PCI: 3.4,10.1,10.2.2.1,10.2.2, 10.2.3, 10.2.4, 10.2.5, 10.3.1,10.3.2, 10.3.3, 10.3.3, 10.3.4, 10.3.5, 10.3.6, 8.2.1; |
| ams-nist-cis-redshift-cluster-configuration-check | RedShift | Alterações de configuração | Relatório | CIS: CIS.6, CIS.13, CIS.5; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-1, PR.PT-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (b), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1,10.10.0.2.1,10.2.2, 10.2.3, 10.2.4, 10.2.5, 10.3.1,10.3.2, 10.3.3, 10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| ams-nist-cis-redshift-cluster-public-access-check | RedShift | Alterações de configuração | Relatório | CIS: CIS.12, CIS.14, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i) ,164.308 (a) (4) (ii) (A) ,164.308 (a) 8 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-redshift-require-tls-ssl | RedShift | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (i), 164.312 (e) (2) (ii); PCI: 2.3,4.1; |
| ams-nist-cis-root-account-hardware-mfa-enabled | IAM | Periódico | Relatório | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-7; HIPAA: 164,312 (d); PCI: 2,2,8,3; |
| ams-nist-cis-root-account-mfa-enabled | IAM | Periódico | Relatório | CIS: CIS.16, CIS.4; NIST-CSF: PR.AC-7; HIPAA: 164,312 (d); PCI: 2,2,8,3; |
| ams-nist-cis-s3- bucket-default-lock-enabled | S3 | Alterações de configuração | Relatório | CIS: CIS.14, CIS.13; NIST-CSF: ID.BE-5, PR.PT-5, RC.RP-1; HIPAA: NA; PCI: NA; |
| ams-nist-cis-s3- bucket-logging-enabled | S3 | Alterações de configuração | Relatório | CIS: CIS.6; NIST-CSF: DE.AE-1, DE.AE-3, PR.DS-5, PR.PT-1; HIPAA: 164,308 (a) (3) (ii) (A) ,164.312 (b); PCI: 2.2,10.1,10.2.2,10.2.2,10.2.3,10.2.4,10.2.7,10., 10.3.1,10.3.2, 10.3.3, 10.3.4, 10.3.5, 10.3.6; |
| ams-nist-cis-s3- bucket-replication-enabled | S3 | Alterações de configuração | Relatório | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i), 164.308 (a) (7) (7) (ii) (B); PCI: 2,2, 10,5,3; |
| ams-nist-cis-s3- bucket-ssl-requests-only | S3 | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312 (a) (2) (iv), 164.312 (c) (2), 164.312 (e) (1), 164.312 (e) (2) (i), 164.312 (e) (2) (ii); PCI: 2.2,4.1, 8.2.1; |
| ams-nist-cis-s3- bucket-versioning-enabled | S3 | Periódico | Relatório | CIS: CIS.10; NIST-CSF: ID.BE-5, PR.DS-4, PR.DS-6, PR.IP-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i) ,164.308 (a) (7) (ii) (A) ,164.308 (a) (7) (ii) (B), 164,312 (c) (1), 164,312 (c) (2); PCI: 10.5.3; |
| ams-nist-cis-sagemaker- endpoint-configuration-kms-key -configurado | SageMaker | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-sagemaker- notebook-instance-kms-key -configurado | SageMaker | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-nist-cis-sagemaker- notebook-no-direct-internet -acesso | SageMaker | Periódico | Relatório | CIS: CIS.12, CIS.9; NIST-CSF: PR.AC-3, PR.AC-4, PR.AC-5, PR.DS-5, PR.PT-3, PR.PT-4; HIPAA: 164.308 (a) (3) (i), 164.308 (a) (4) (ii) (A), 164.308 (a) (4) (ii) (C), 164.312 (a) (1), 164.312 (e) (1); PCI: 1.2,1.2.1,1.3.1.3.2,1.3.4,1.3.4,1.3.6,2.2.2; |
| ams-nist-cis-secretsmanager-rotation-enabled-check | Secrets Manager | Alterações de configuração | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: NA; |
| ams-nist-cis-secretsmanager-scheduled-rotation-success-check | Secrets Manager | Alterações de configuração | Relatório | CIS: CIS.16; NIST-CSF: PR.AC-1; HIPAA: 164.308 (a) (4) (ii) (B); PCI: NA; |
| ams-nist-cis-sns-kms criptografado | SNS | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 8.2.1; |
| ams-nist-cis-vpc- -portas sg-open-only-to autorizadas | VPC | Alterações de configuração | Relatório | CIS: CIS.11, CIS.12, CIS.9; NIST-CSF: DE.AE-1, PR.AC-3, PR.AC-5, PR.PT-4; HIPAA: 164.312 (e) (1); PCI: 1,2,1.3,1.2.1,1.3.1,1.3.2,2.2.2; |
| ams-nist-vpc-vpn-2 túneis acima | VPC | Alterações de configuração | Relatório | CIS: NA; NIST-CSF: ID.BE-5, PR.DS-4, PR.PT-5, RC.RP-1; HIPAA: 164.308 (a) (7) (i); PCI: NA; |
| ams-cis-ec2- ebs-encryption-by-default | EC2 | Periódico | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 2.2,3.4,8.2.1; |
| ams-cis-rds-snapshot-criptografado | RDS | Alterações de configuração | Relatório | CIS: CIS.13, CIS.14; NIST-CSF: PR.DS-1; HIPAA: 164.312 (a) (2) (iv), 164.312 (e) (2) (ii); PCI: 3.4,8.2.1; |
| ams-cis-redshift-cluster- configurações de manutenção - verificar | RedShift | Alterações de configuração | Relatório | CIS: CIS.5; NIST-CSF: PR.DS-4, PR.IP-1, PR.IP-4; HIPAA: 164,308 (a) (5) (ii) (A), 164,308 (a) (7) (ii) (A); PCI: 6,2; |
Respostas às violações no Accelerate
Todas as violações do Config Rule aparecem no seu relatório de configuração. Essa é uma resposta universal. Dependendo da categoria de remediação (severidade) da regra, o AMS pode tomar medidas adicionais, resumidas na tabela a seguir. Para obter detalhes sobre como personalizar o Código de Ação para determinadas regras, consulteDescobertas e respostas personalizadas.
Ações de remediação
| Código de ação | Ações do AMS |
|---|---|
| Relatório | |
| O incidente | |
| Remediar |
Solicitando ajuda adicional
nota
O AMS pode remediar qualquer violação para você, independentemente de sua categoria de remediação. Para solicitar ajuda, envie uma solicitação de serviço e indique quais recursos você deseja que o AMS corrija com um comentário como “Como parte da correção da regra de configuração do AMS, corrija o RESOURCE_ARNS_OR_IDs recurso de recursos não reclamados ARNs/IDs>, regra de configuração CONFIG_RULE_NAME na conta” e adicione as entradas necessárias para remediar a violação.
O AMS Accelerate tem uma biblioteca de documentos de AWS Systems Manager automação e runbooks para ajudar na correção de recursos não compatíveis.
Adicionar ao relatório de configuração
O AMS gera um Config Report que rastreia o status de conformidade de todas as regras e recursos em sua conta. Você pode solicitar o relatório do seu CSDM. Você também pode revisar o status de conformidade no console AWS Config, na AWS CLI ou na API Config. AWS Seu Config Report inclui:
Os principais recursos incompatíveis em seu ambiente para descobrir possíveis ameaças e configurações incorretas
Conformidade de recursos e regras de configuração ao longo do tempo
Configure as descrições das regras, a severidade das regras e as etapas de correção recomendadas para corrigir recursos não compatíveis
Quando qualquer recurso entra em um estado não compatível, o status do recurso (e o status da regra) se torna Não compatível em seu Config Report. Se a regra pertencer à categoria de remediação Config Report Only, por padrão, o AMS não tomará nenhuma ação adicional. Você sempre pode criar uma solicitação de serviço para solicitar ajuda adicional ou remediação do AMS.
Para obter mais detalhes, consulte AWS Config Reporting.
Relatório automático de incidentes no Accelerate
Para violações de regras moderadamente graves, o AMS cria automaticamente um Relatório de Incidente para notificá-lo de que um recurso entrou em um estado de não conformidade e pergunta quais ações você gostaria que fossem realizadas. Você tem as seguintes opções ao responder a um incidente:
Solicite que o AMS corrija os recursos não compatíveis listados no incidente. Em seguida, tentamos corrigir o recurso não compatível e notificá-lo assim que o incidente subjacente for resolvido.
Você pode resolver o item não compatível manualmente no console ou por meio de seu sistema de implantação automatizado (por exemplo, atualizações do modelo do CI/CD Pipeline); então, você pode resolver o incidente. O recurso não compatível é reavaliado de acordo com o cronograma da regra e, se o recurso for avaliado como não compatível, um novo relatório de incidentes será criado.
Você pode optar por não resolver o recurso não compatível e simplesmente resolver o incidente. Se você atualizar a configuração do recurso posteriormente, o AWS Config acionará uma reavaliação e você será novamente alertado para avaliar a não conformidade desse recurso.
Remediação automática no Accelerate
As regras mais críticas pertencem à categoria Auto Remediate. A não conformidade com essas regras pode afetar fortemente a segurança e a disponibilidade de suas contas. Quando um recurso viola uma dessas regras:
O AMS notifica você automaticamente com um relatório de incidente.
O AMS inicia uma remediação automatizada usando nossos documentos SSM automatizados.
O AMS atualiza o Relatório de Incidentes com sucesso ou falha da remediação automatizada.
Se a correção automatizada falhar, um engenheiro da AMS investiga o problema.
Criação de exceções de regras no Accelerate
O Regras do AWS Config recurso de exceção de recursos permite que você suprima a emissão de relatórios de recursos específicos e não compatíveis para regras específicas.
nota
Os recursos isentos ainda aparecem como Não compatíveis no console do Config AWS Service. Os recursos isentos aparecem com um sinalizador especial em Config Reports (resource_exception:true). Você CSDMs pode filtrar esses recursos de acordo com essa coluna ao gerar relatórios.
Se você tem recursos que sabe que não estão em conformidade, você pode eliminar um recurso específico para uma regra de configuração específica em seus Relatórios de Configuração. Para fazer isso:
Envie uma solicitação de serviço para o Accelerate em sua conta, com uma lista das regras e recursos de configuração que devem ser isentos do relatório. Você deve fornecer uma justificativa comercial explícita (por exemplo, não é necessário denunciar isso resource_name_1 e resource_name_2 não fazer backup porque não queremos que seja feito backup). Para obter ajuda para enviar uma solicitação de serviço do Accelerate, consulteCriando uma solicitação de serviço no Accelerate.
Cole na solicitação as seguintes entradas (para cada recurso, adicione um bloco separado com todos os campos obrigatórios, conforme mostrado) e envie:
[ { "resource_name": "resource_name_1", "config_rule_name": "config_rule_name_1", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" }, { "resource_name": "resource_name_2", "config_rule_name": "config_rule_name_2", "business_justification": "REASON_TO_EXEMPT_RESOURCE", "resource_type": "resource_type" } ]
Reduza AWS Config custos no Accelerate
Você pode reduzir os custos do AWS Config usando a opção de registrar periodicamente o tipo de AWS::EC2::Instance recurso. A gravação periódica captura as últimas alterações de configuração de seus recursos uma vez a cada 24 horas, reduzindo o número de alterações entregues. Quando ativado, registra AWS Config somente a configuração mais recente de um recurso no final de um período de 24 horas. Isso permite que você personalize os dados de configuração para casos de uso específicos de planejamento operacional, conformidade e auditoria que não exigem monitoramento contínuo. Essa alteração é recomendada somente se você tiver aplicativos que dependem de arquiteturas efêmeras, o que significa que você aumenta ou diminui constantemente o número de instâncias.
Para optar pela gravação periódica do tipo de AWS::EC2::Instance recurso, entre em contato com a equipe de entrega do AMS.
