As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Referência do CIS AWS Foundations no Security Hub CSPM
O Center for Internet Security (CIS) AWS Foundations Benchmark serve como um conjunto de melhores práticas de configuração de segurança para. AWS Essas melhores práticas aceitas pelo setor fornecem procedimentos claros de step-by-step implementação e avaliação. Variando de sistemas operacionais a serviços em nuvem e dispositivos de rede, os controles neste benchmark protegem os sistemas específicos que sua organização usa.
AWS O Security Hub CSPM oferece suporte às versões 5.0.0, 3.0.0, 1.4.0 e 1.2.0 do CIS AWS Foundations Benchmark. Esta página lista os controles de segurança com suporte em cada versão. Ela também fornece uma comparação das versões.
## CIS AWS Foundations Benchmark versão 5.0.0
O Security Hub CSPM suporta a versão 5.0.0 (v5.0.0) do CIS Foundations Benchmark. AWS O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir:
+ Benchmark CIS para CIS AWS Foundations Benchmark, v5.0.0, Nível 1
+ Benchmark CIS para CIS AWS Foundations Benchmark, v5.0.0, Nível 2
### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 5.0.0
[[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)
[[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)
[[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)
[[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)
[[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)
[[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8)
[[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)
[[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53)
[[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54)
[[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1)
[[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8)
[[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)
[[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)
[[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)
[[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)
[[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)
[[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)
[1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)
[1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)
[[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)
[[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)
[[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26)
[[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27)
[[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28)
[A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)
[[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)
[[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3)
[[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5)
[[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)
[[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15)
[[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)
[[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)
[[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)
[[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)
[[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22)
[[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23)
## CIS AWS Foundations Benchmark versão 3.0.0
O Security Hub CSPM suporta a versão 3.0.0 (v3.0.0) do CIS Foundations Benchmark. AWS O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir:
+ Benchmark CIS para CIS AWS Foundations Benchmark, v3.0.0, Nível 1
+ Benchmark CIS para CIS AWS Foundations Benchmark, v3.0.0, Nível 2
### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 3.0.0
[[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1)
[[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)
[[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)
[[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)
[[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)
[[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)
[[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8)
[[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)
[[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53)
[[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54)
[[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1)
[[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)
[[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)
[[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)
[[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)
[[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)
[[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)
[1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)
[1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)
[[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)
[[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)
[[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26)
[[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27)
[[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28)
[A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)
[[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2)
[[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3)
[[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13)
[[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)
[[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)
[[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)
[[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)
[[S3.22] Os buckets de uso geral do S3 devem registrar em log os eventos de gravação ao nível do objeto](s3-controls.md#s3-22)
[[S3.23] Os buckets de uso geral do S3 devem registrar em log os eventos de leitura ao nível do objeto](s3-controls.md#s3-23)
## CIS AWS Foundations Benchmark versão 1.4.0
O Security Hub CSPM é compatível com a versão 1.4.0 (v1.4.0) do CIS Foundations Benchmark. AWS
### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 1.4.0
[[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14)
[[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)
[[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)
[[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)
[[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7)
[[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21)
[[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)
[[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)
[[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)
[[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)
[[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)
[[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)
[1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)
[1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)
[[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)
[[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22)
[A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)
[[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3)
[[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1)
[[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5)
[[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8)
[[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20)
## CIS AWS Foundations Benchmark versão 1.2.0
O Security Hub CSPM suporta a versão 1.2.0 (v1.2.0) do CIS Foundations Benchmark. AWS O CSPM do Security Hub satisfez os requisitos de segurança da CIS Software Certification e recebeu a CIS Security Software Certification para as referências do CIS a seguir:
+ Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 1
+ Benchmark CIS para CIS AWS Foundations Benchmark, v1.2.0, Nível 2
### Controles que se aplicam ao CIS AWS Foundations Benchmark versão 1.2.0
[[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1)
[[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2)
[[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4)
[[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5)
[[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6)
[[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7)
[[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1)
[[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2)
[[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA](cloudwatch-controls.md#cloudwatch-3)
[[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4)
[[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5)
[[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6)
[[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7)
[[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8)
[[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9)
[[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10)
[[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11)
[[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12)
[[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13)
[[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14)
[[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1)
[[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2)
[[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6)
[[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13)
[[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14)
[[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1)
[[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2)
[[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3)
[[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4)
[[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5)
[[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6)
[[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8)
[[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9)
[1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11)
[1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12)
[1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13)
[Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14)
[1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15)
[1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16)
[1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17)
[[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18)
[A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4)
## Comparação de versões para o CIS AWS Foundations Benchmark
Esta seção resume as diferenças entre as versões específicas do benchmark Center for Internet Security (CIS) AWS Foundations — v5.0.0, v3.0.0, v1.4.0 e v1.2.0. AWS O Security Hub CSPM suporta cada uma dessas versões do CIS AWS Foundations Benchmark. Contudo, recomendamos que você use a v5.0.0 para se manter atualizado sobre as práticas recomendadas de segurança. Você pode ter várias versões dos padrões do CIS AWS Foundations Benchmark habilitadas ao mesmo tempo. Para obter informações sobre a habilitação de padrões, consulte [Habilitar um padrão de segurança](enable-standards.md). Se você quiser atualizar para a v5.0.0, habilite-a antes de desabilitar a versão mais antiga. Isso evitará lacunas em suas verificações de segurança. [Se você usa a integração CSPM do Security Hub AWS Organizations e deseja habilitar em lote a v5.0.0 em várias contas, recomendamos usar a configuração central.](central-configuration-intro.md)
### Mapeamento de controles para os requisitos do CIS em cada versão
Entenda quais controles cada versão do CIS AWS Foundations Benchmark suporta.
| Título e ID do controle | Requisito CIS v5.0.0 | Necessidade do CIS v3.0.0 | Necessidade do CIS v1.4.0 | Necessidade do CIS v1.2.0 |
| --- | --- | --- | --- | --- |
| [[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS](account-controls.md#account-1) | 1.2 | 1.2 | 1.2 | 1,18 |
| [[CloudTrail.1] CloudTrail deve ser habilitado e configurado com pelo menos uma trilha multirregional que inclua eventos de gerenciamento de leitura e gravação](cloudtrail-controls.md#cloudtrail-1) | 3.1 | 3.1 | 3.1 | 2.1 |
| [[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada](cloudtrail-controls.md#cloudtrail-2) | 3.5 | 3.5 | 3.7 | 2.7 |
| [[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada](cloudtrail-controls.md#cloudtrail-4) | 3.2 | 3.2 | 3.2 | 2.2 |
| [[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs](cloudtrail-controls.md#cloudtrail-5) | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | 3.4 | 2.4 |
| [[CloudTrail.6] Certifique-se de que o bucket S3 usado para armazenar CloudTrail registros não esteja acessível publicamente](cloudtrail-controls.md#cloudtrail-6) | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | 3.3 | 2.3 |
| [[CloudTrail.7] Certifique-se de que o registro de acesso ao bucket do S3 esteja ativado no bucket do CloudTrail S3](cloudtrail-controls.md#cloudtrail-7) | 3.4 | 3.4 | 3.6 | 2.6 |
| [[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”](cloudwatch-controls.md#cloudwatch-1) | Não compatível: verificação manual | Não compatível: verificação manual | 4.3 | 3.3 |
| [[CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas de API não autorizadas](cloudwatch-controls.md#cloudwatch-2) | Não compatível: verificação manual | Não compatível: verificação manual | Não compatível: verificação manual | 3.1 |
| [[CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login do Management Console sem MFA](cloudwatch-controls.md#cloudwatch-3) | Não compatível: verificação manual | Não compatível: verificação manual | Não compatível: verificação manual | 3.2 |
| [[CloudWatch.4] Certifique-se de que exista um filtro de métrica de log e um alarme para alterações na política do IAM](cloudwatch-controls.md#cloudwatch-4) | Não compatível: verificação manual | Não compatível: verificação manual | 4.4 | 3.4 |
| [[CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações CloudTrail de configuração](cloudwatch-controls.md#cloudwatch-5) | Não compatível: verificação manual | Não compatível: verificação manual | 4.5 | 3.5 |
| [[CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para falhas de Console de gerenciamento da AWS autenticação](cloudwatch-controls.md#cloudwatch-6) | Não compatível: verificação manual | Não compatível: verificação manual | 4.6 | 3.6 |
| [[CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente](cloudwatch-controls.md#cloudwatch-7) | Não compatível: verificação manual | Não compatível: verificação manual | 4.7 | 3.7 |
| [[CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3](cloudwatch-controls.md#cloudwatch-8) | Não compatível: verificação manual | Não compatível: verificação manual | 4.8 | 3.8 |
| [[CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações AWS Config de configuração](cloudwatch-controls.md#cloudwatch-9) | Não compatível: verificação manual | Não compatível: verificação manual | 4,9 | 3.9 |
| [[CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança](cloudwatch-controls.md#cloudwatch-10) | Não compatível: verificação manual | Não compatível: verificação manual | 4.10 | 3.10 |
| [[CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede (NACL)](cloudwatch-controls.md#cloudwatch-11) | Não compatível: verificação manual | Não compatível: verificação manual | 4.11 | 3.11 |
| [[CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede](cloudwatch-controls.md#cloudwatch-12) | Não compatível: verificação manual | Não compatível: verificação manual | 4.12 | 3.12 |
| [[CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas](cloudwatch-controls.md#cloudwatch-13) | Não compatível: verificação manual | Não compatível: verificação manual | 4.13 | 3.13 |
| [[CloudWatch.14] Certifique-se de que exista um filtro métrico de log e um alarme para alterações de VPC](cloudwatch-controls.md#cloudwatch-14) | Não compatível: verificação manual | Não compatível: verificação manual | 4.14 | 3.14 |
| [[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos](config-controls.md#config-1) | 3.3 | 3.3 | 3.5 | 2,5 |
| [[EC2.2] Os grupos de segurança padrão da VPC não devem permitir o tráfego de entrada e saída](ec2-controls.md#ec2-2) | 5.5 | 5.4 | 5.3 | 4.3 |
| [[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs](ec2-controls.md#ec2-6) | 3.7 | 3.7 | 3.9 | 2.9 |
| [[EC2.7] A criptografia padrão do EBS deve estar ativada](ec2-controls.md#ec2-7) | 5.1.1 | 2.2.1 | 2.2.1 | Não compatível |
| [[EC2.8] As instâncias do EC2 devem usar o Instance Metadata Service Version 2 () IMDSv2](ec2-controls.md#ec2-8) | 5.7 | 5.6 | Sem compatibilidade | Sem compatibilidade |
| [[EC2.13] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 22](ec2-controls.md#ec2-13) | Sem suporte: substituído pelos requisitos 5.3 e 5.4 | Não compatível: substituído pelos requisitos 5.2 e 5.3 | Não compatível: substituído pelos requisitos 5.2 e 5.3 | 4.1 |
| [[EC2.14] Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou ::/0 na porta 3389](ec2-controls.md#ec2-14) | Sem suporte: substituído pelos requisitos 5.3 e 5.4 | Não compatível: substituído pelos requisitos 5.2 e 5.3 | Não compatível: substituído pelos requisitos 5.2 e 5.3 | 4.2 |
| [[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389](ec2-controls.md#ec2-21) | 5.2 | 5.1 | 5.1 | Não compatível |
| [[EC2.53] Os grupos de segurança do EC2 não devem permitir a entrada de 0,0.0.0/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-53) | 5.3 | 5.2 | Sem compatibilidade | Sem compatibilidade |
| [[EC2.54] Os grupos de segurança do EC2 não devem permitir a entrada de ::/0 nas portas de administração de servidor remoto](ec2-controls.md#ec2-54) | 5.4 | 5.3 | Sem compatibilidade | Sem compatibilidade |
| [[EFS.1] O Elastic File System deve ser configurado para criptografar dados de arquivos em repouso usando AWS KMS](efs-controls.md#efs-1) | 2.3.1 | 2.4.1 | Sem compatibilidade | Sem compatibilidade |
| [[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso](efs-controls.md#efs-8) | 2.3.1 | Sem compatibilidade | Sem compatibilidade | Sem compatibilidade |
| [[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "\$1"](iam-controls.md#iam-1) | Sem compatibilidade | Sem compatibilidade | 1.16 | 1,22 |
| [[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas](iam-controls.md#iam-2) | 1.14 | 1.15 | Não compatível | 1.16 |
| [[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos](iam-controls.md#iam-3) | 1.13 | 1.14 | 1.14 | 1.4 |
| [[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir](iam-controls.md#iam-4) | 1.3 | 1.4 | 1.4 | 1.12 |
| [[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console](iam-controls.md#iam-5) | 1.9 | 1.10 | 1.10 | 1.2 |
| [[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz](iam-controls.md#iam-6) | 1.5 | 1,6 | 1.6 | 1.14 |
| [[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas](iam-controls.md#iam-8) | Não compatível: veja [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) em vez disso | Não compatível: veja [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) em vez disso | Não compatível: veja [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) em vez disso | 1.3 |
| [[IAM.9] A MFA deve estar habilitada para o usuário raiz](iam-controls.md#iam-9) | 1.4 | 1.5 | 1.5 | 1.13 |
| [1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula](iam-controls.md#iam-11) | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | 1.5 |
| [1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula](iam-controls.md#iam-12) | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | 1.6 |
| [1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo](iam-controls.md#iam-13) | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | 1,7 |
| [Certifique-se de que política de senha do IAM exija pelo menos um número](iam-controls.md#iam-14) | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | 1.8 |
| [1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais](iam-controls.md#iam-15) | 1,7 | 1.8 | 1.8 | 1.9 |
| [1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas](iam-controls.md#iam-16) | 1.8 | 1.9 | 1.9 | 1.10 |
| [1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos](iam-controls.md#iam-17) | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | 1.11 |
| [[IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support](iam-controls.md#iam-18) | 1.16 | 1.17 | 1.17 | 1.2 |
| [[IAM.20] Evite o uso do usuário raiz](iam-controls.md#iam-20) | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | Não compatível: o CIS removeu esse requisito | 1.1 |
| [[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas](iam-controls.md#iam-22) | 1.11 | 1.12 | 1.12 | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos](iam-controls.md#iam-26) | 1,18 | 1,19 | Não compatível: o CIS adicionou esse requisito em versões posteriores | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess](iam-controls.md#iam-27) | 1,21 | 1,22 | Não compatível: o CIS adicionou esse requisito em versões posteriores | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [[IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado](iam-controls.md#iam-28) | 1,19 | 1,20 | Não compatível: o CIS adicionou esse requisito em versões posteriores | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [A rotação de AWS KMS teclas [KMS.4] deve estar ativada](kms-controls.md#kms-4) | 3.6 | 3.6 | 3.8 | 2.8 |
| [[Macie.1] O Amazon Macie deve estar habilitado](macie-controls.md#macie-1) | Não compatível: verificação manual | Não compatível: verificação manual | Não compatível: verificação manual | Não compatível: verificação manual |
| [[RDS.2] As instâncias de banco de dados do RDS devem proibir o acesso público, conforme determinado pela configuração PubliclyAccessible](rds-controls.md#rds-2) | 2.2.3 | 2.3.3 | Não compatível: o CIS adicionou esse requisito em versões posteriores | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.](rds-controls.md#rds-3) | 2.2.1 | 2.3.1 | 2.3.1 | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [[RDS.5] As instâncias de banco de dados do RDS devem ser configuradas com várias zonas de disponibilidade](rds-controls.md#rds-5) | 2.2.4 | Não compatível: o CIS adicionou esse requisito em versões posteriores | Não compatível: o CIS adicionou esse requisito em versões posteriores | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas](rds-controls.md#rds-13) | 2.2.2 | 2.3.2 | Não compatível: o CIS adicionou esse requisito em versões posteriores | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [[RDS.15] Os clusters de banco de dados do RDS devem ser configurados para várias zonas de disponibilidade](rds-controls.md#rds-15) | 2.2.4 | Não compatível: o CIS adicionou esse requisito em versões posteriores | Não compatível: o CIS adicionou esse requisito em versões posteriores | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [[S3.1] Os buckets de uso geral do S3 devem ter as configurações de bloqueio de acesso público habilitadas](s3-controls.md#s3-1) | 2.1.4 | 2.1.4 | 2.1.5 | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL](s3-controls.md#s3-5) | 2.1.1 | 2.1.1 | 2.1.2 | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público](s3-controls.md#s3-8) | 2.1.4 | 2.1.4 | 2.1.5 | Não compatível: o CIS adicionou esse requisito em versões posteriores |
| [[S3.20] Os buckets de uso geral do S3 devem ter a exclusão de MFA habilitada](s3-controls.md#s3-20) | 2.1.2 | 2.1.2 | 2.1.3 | Não compatível: o CIS adicionou esse requisito em versões posteriores |
### ARNs para benchmarks do CIS AWS Foundations
Ao habilitar uma ou mais versões do CIS AWS Foundations Benchmark, você começa a receber descobertas no AWS Security Finding Format (ASFF). No ASFF, cada versão usa o seguinte nome do recurso da Amazon (ARN):
**Referência do CIS AWS Foundations v5.0.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0`
**Referência do CIS AWS Foundations v3.0.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0`
**Referência do CIS AWS Foundations v1.4.0**
`arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0`
**Referência do CIS AWS Foundations v1.2.0**
`arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0`
É possível usar a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html) da API do CSPM do Security Hub para encontrar o ARN de um padrão habilitado.
Os valores anteriores são para o `StandardsArn`. Porém, o `StandardsSubscriptionArn` refere-se ao recurso de assinatura padrão que o CSPM do Security Hub cria quando você assina um padrão chamando [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html) em uma região.
**nota**
Quando você habilita uma versão do CIS AWS Foundations Benchmark, pode levar até 18 horas para que o Security Hub CSPM gere descobertas para controles que usam a mesma regra AWS Config vinculada ao serviço dos controles habilitados em outros padrões habilitados. Para obter mais informações sobre o cronograma de geração de descobertas de controles, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).
Os campos de descoberta serão diferentes se você ativar as descobertas de controles consolidadas. Para obter informações sobre essas diferenças, consulte [Impacto da consolidação nos campos e valores do ASFF](asff-changes-consolidation.md). Para obter exemplos de descobertas de controles, consulte [Exemplos de descobertas de controles](sample-control-findings.md).
### Requisitos do CIS sem suporte no CSPM do Security Hub
Conforme observado na tabela anterior, o CSPM do Security Hub não suporta todos os requisitos de CIS em todas as versões do CIS Foundations Benchmark. AWS Muitos dos requisitos sem suporte só podem ser avaliados com a análise manual do estado dos seus recursos da AWS .