Referência do CIS AWS Foundations no CSPM do Security Hub

O Center for Internet Security (CIS) AWS Foundations Benchmark serve como um conjunto de práticas recomendadas de configuração de segurança para a AWS. Essas melhores práticas aceitas pelo setor fornecem procedimentos claros de implementação e avaliação passo a passo. Variando de sistemas operacionais a serviços em nuvem e dispositivos de rede, os controles neste benchmark protegem os sistemas específicos que sua organização usa.

O CSPM do AWS Security Hub oferece suporte às versões 5.0.0, 3.0.0, 1.4.0 e 1.2.0 do CIS AWS Foundations Benchmark. Esta página lista os controles de segurança com suporte em cada versão. Ela também fornece uma comparação das versões.

CIS AWS Foundations Benchmark versão 5.0.0

O CSPM do Security Hub oferece suporte à versão 5.0.0 (v5.0.0) do CIS AWS Foundations Benchmark. O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir:

Controles que se aplicam ao CIS AWS Foundations Benchmark versã0 5.0.0

[Account.1] Informações de contato de segurança devem ser fornecidas para uma Conta da AWS

[CloudTrail.1] O CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e salvamento

[CloudTrail.2] O CloudTrail deve ter a criptografia em repouso habilitada

[CloudTrail.4] A validação do arquivo de log do CloudTrail deve estar habilitada

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do S3 do CloudTrail

[Config.1] O AWS Config deve estar habilitado e usar o perfil vinculado ao serviço para gravação de recursos

[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída

[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs

[EC2.7] A criptografia padrão do EBS deve estar ativada

[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)

[EC2.21] As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389

[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto

[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando o AWS KMS

[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.9] A MFA deve estar habilitada para o usuário raiz

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política AWSCloudShellFullAccess anexada

[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado

[KMS.4] A alternância de teclas do AWS KMS deve estar ativada

[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible

[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.

[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade

[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas

[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas

[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto

[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto

CIS AWS Foundations Benchmark versão 3.0.0

O CSPM do Security Hub oferece suporte à versão 3.0.0 (v3.0.0) do CIS AWS Foundations Benchmark. O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir:

Controles que se aplicam ao CIS AWS Foundations Benchmark versã0 3.0.0

[Account.1] Informações de contato de segurança devem ser fornecidas para uma Conta da AWS

[CloudTrail.1] O CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e salvamento

[CloudTrail.2] O CloudTrail deve ter a criptografia em repouso habilitada

[CloudTrail.4] A validação do arquivo de log do CloudTrail deve estar habilitada

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do S3 do CloudTrail

[Config.1] O AWS Config deve estar habilitado e usar o perfil vinculado ao serviço para gravação de recursos

[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída

[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs

[EC2.7] A criptografia padrão do EBS deve estar ativada

[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 (IMDSv2)

[EC2.21] As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389

[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto

[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto

[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando o AWS KMS

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.9] A MFA deve estar habilitada para o usuário raiz

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

[IAM.27] As identidades do IAM não devem ter a política AWSCloudShellFullAccess anexada

[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado

[KMS.4] A alternância de teclas do AWS KMS deve estar ativada

[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible

[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.

[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas

[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto

[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto

CIS AWS Foundations Benchmark versão 1.4.0

O CSPM do Security Hub oferece suporte à versão 1.4.0 (v1.4.0) do CIS AWS Foundations Benchmark.

Controles que se aplicam ao CIS AWS Foundations Benchmark versã0 1.4.0

[CloudTrail.1] O CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e salvamento

[CloudTrail.2] O CloudTrail deve ter a criptografia em repouso habilitada

[CloudTrail.4] A validação do arquivo de log do CloudTrail deve estar habilitada

[CloudTrail.5] As trilhas do CloudTrail devem ser integradas ao Amazon CloudWatch Logs

[CloudTrail.6] Certifique-se de que o bucket do S3 usado para armazenar registros do CloudTrail não esteja acessível ao público

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do S3 do CloudTrail

Um filtro de métrica de log e um alarme devem existir para o uso do usuário "raiz"

3.4 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política do IAM

[CloudWatch.5] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na configuração do CloudTrail

[CloudWatch.6] Certifique-se de que um filtro e um alarme de métrica de logs existam para falhas de autenticação do Console de gerenciamento da AWS

3.7 Certifique-se de que um filtro e um alarme de métrica de logs existam para a desativação ou exclusão programada de CMKs criadas pelo cliente

[CloudWatch.8] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política de bucket do S3

[CloudWatch.9] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de configuração do AWS Config

[CloudWatch.10] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de grupo de segurança

[CloudWatch.11] Garanta que um filtro e um alarme de métrica de logs existem para alterações em listas de controle de acesso à rede (NACL)

[CloudWatch.12] Garanta que um filtro e um alarme de métrica de logs existem para alterações em gateways de rede

[CloudWatch.13] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de tabela de rotas

[CloudWatch.14] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de VPC

[Config.1] O AWS Config deve estar habilitado e usar o perfil vinculado ao serviço para gravação de recursos

[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída

[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs

[EC2.7] A criptografia padrão do EBS deve estar ativada

[EC2.21] As ACLs de rede não devem permitir a entrada de 0.0.0.0/0 para a porta 22 ou porta 3389

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.9] A MFA deve estar habilitada para o usuário raiz

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

[KMS.4] A alternância de teclas do AWS KMS deve estar ativada

[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.

[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas

[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL

[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público

[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada

CIS AWS Foundations Benchmark versão 1.2.0

O CSPM do Security Hub oferece suporte à versão 1.2.0 (v1.2.0) do CIS AWS Foundations Benchmark. O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir:

Controles que se aplicam ao CIS AWS Foundations Benchmark versã0 1.2.0

[CloudTrail.1] O CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclui eventos de gerenciamento de leitura e salvamento

[CloudTrail.2] O CloudTrail deve ter a criptografia em repouso habilitada

[CloudTrail.4] A validação do arquivo de log do CloudTrail deve estar habilitada

[CloudTrail.5] As trilhas do CloudTrail devem ser integradas ao Amazon CloudWatch Logs

[CloudTrail.6] Certifique-se de que o bucket do S3 usado para armazenar registros do CloudTrail não esteja acessível ao público

[CloudTrail.7] Verifique se o registro de acesso ao bucket do S3 está habilitado no bucket do S3 do CloudTrail

Um filtro de métrica de log e um alarme devem existir para o uso do usuário "raiz"

[CloudWatch.2] Certifique-se de que um filtro e um alarme de métrica de logs existam para chamadas de API não autorizadas

[CloudWatch.3] Certifique-se de que um filtro e um alarme de métrica de logs existam para login do Management Console sem a MFA

3.4 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política do IAM

[CloudWatch.5] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na configuração do CloudTrail

[CloudWatch.6] Certifique-se de que um filtro e um alarme de métrica de logs existam para falhas de autenticação do Console de gerenciamento da AWS

3.7 Certifique-se de que um filtro e um alarme de métrica de logs existam para a desativação ou exclusão programada de CMKs criadas pelo cliente

[CloudWatch.8] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política de bucket do S3

[CloudWatch.9] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de configuração do AWS Config

[CloudWatch.10] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de grupo de segurança

[CloudWatch.11] Garanta que um filtro e um alarme de métrica de logs existem para alterações em listas de controle de acesso à rede (NACL)

[CloudWatch.12] Garanta que um filtro e um alarme de métrica de logs existem para alterações em gateways de rede

[CloudWatch.13] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de tabela de rotas

[CloudWatch.14] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de VPC

[Config.1] O AWS Config deve estar habilitado e usar o perfil vinculado ao serviço para gravação de recursos

[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída

[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs

[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22

[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389

[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

[IAM.9] A MFA deve estar habilitada para o usuário raiz

1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

Certifique-se de que política de senha do IAM exija pelo menos um número

1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

[IAM.18] Certifique-se de que um perfil de suporte tenha sido criado para gerenciar incidentes com AWS Support

[KMS.4] A alternância de teclas do AWS KMS deve estar ativada

Comparação entre as versões do CIS AWS Foundations Benchmark

Esta seção resume as diferenças entre versões específicas do Center for Internet Security (CIS) AWS Foundations Benchmark v5.0.0, v3.0.0, v1.4.0 e v1.2.0. AWS O CSPM do Security Hub oferece suporte a cada uma dessas versões do CIS AWS Foundations Benchmark. Contudo, recomendamos que você use a v5.0.0 para se manter atualizado sobre as práticas recomendadas de segurança. É possível ter várias versões do padrão CIS AWS Foundations Benchmark habilitadas ao mesmo tempo. Para obter informações sobre a habilitação de padrões, consulte Habilitar um padrão de segurança. Se você quiser atualizar para a v5.0.0, habilite-a antes de desabilitar a versão mais antiga. Isso evitará lacunas em suas verificações de segurança. Se você usar a integração do CSPM do Security Hub com o AWS Organizations e quiser habilitar a v5.0.0 em lote em várias contas, recomendamos usar a configuração central.

Mapeamento de controles para os requisitos do CIS em cada versão

Entenda com quais controles cada versão do CIS AWS Foundations Benchmark é compatível.

ARNs para CIS AWS Foundations Benchmarks

Quando você habilitar uma ou mais versões do CIS AWS Foundations Benchmark, começará a receber descobertas no Formato de descoberta de segurança da AWS (ASFF). No ASFF, cada versão usa o seguinte nome do recurso da Amazon (ARN):

É possível usar a operação GetEnabledStandards da API do CSPM do Security Hub para encontrar o ARN de um padrão habilitado.

Os valores anteriores são para o StandardsArn. Porém, o StandardsSubscriptionArn refere-se ao recurso de assinatura padrão que o CSPM do Security Hub cria quando você assina um padrão chamando BatchEnableStandards em uma região.

Os campos de descoberta serão diferentes se você ativar as descobertas de controles consolidadas. Para obter informações sobre essas diferenças, consulte Impacto da consolidação nos campos e valores do ASFF. Para obter exemplos de descobertas de controles, consulte Exemplos de descobertas de controles.

Requisitos do CIS sem suporte no CSPM do Security Hub

Conforme observado na tabela anterior, o CSPM do Security Hub não oferece suporte a todos os requisitos do CIS em todas as versões do CIS AWS Foundations Benchmark. Muitos dos requisitos sem suporte só podem ser avaliados com a análise manual do estado dos seus recursos da AWS.