As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Padrão básico de melhores práticas de segurança no Security Hub CSPM
Desenvolvido por profissionais do setor AWS e por profissionais do setor, o padrão AWS Foundational Security Best Practices (FSBP) é uma compilação das melhores práticas de segurança para organizações, independentemente do setor ou tamanho da organização. Ele fornece um conjunto de controles que detectam quando Contas da AWS e os recursos se desviam das melhores práticas de segurança. Ele também fornece orientações prescritivas sobre como aprimorar e manter a postura de segurança da sua organização.
No AWS Security Hub CSPM, o padrão AWS Foundational Security Best Practices inclui controles que avaliam continuamente suas cargas de trabalho Contas da AWS e ajudam você a identificar áreas que se desviam das melhores práticas de segurança. Os controles incluem as melhores práticas de segurança para recursos de vários Serviços da AWS. Cada controle recebe uma categoria que reflete a função de segurança à qual ele se aplica. Para obter uma lista de categorias e detalhes adicionais, consulte Categorias de controle.
Controles que se aplicam ao padrão
A lista a seguir especifica quais controles CSPM do AWS Security Hub se aplicam ao padrão AWS Foundational Security Best Practices (v1.0.0). Para revisar os detalhes de um controle, escolha o controle.
[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
[APIGateway.3] Os estágios da API Gateway REST da API devem ter o AWS X-Ray rastreamento ativado
[APIGateway.4] O API Gateway deve ser associado a uma WAF Web ACL
[APIGateway.5] Os dados do cache da API Gateway REST da API devem ser criptografados em repouso
[APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API
[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito
[Athena.4] Os grupos de trabalho do Athena devem ter o registro em log habilitado
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve cobrir várias zonas de disponibilidade
[Backup.1] os pontos de AWS Backup recuperação devem ser criptografados em repouso
[CloudFormation.3] as CloudFormation pilhas devem ter a proteção de terminação ativada
[CloudFormation.4] CloudFormation as pilhas devem ter funções de serviço associadas
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas ao Amazon CloudWatch Logs
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
[CodeBuild.7] as exportações CodeBuild do grupo de relatórios devem ser criptografadas em repouso
[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas
[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
[Connect.2] As instâncias do Amazon Connect devem ter CloudWatch o registro ativado
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
[DataSync.1] DataSync as tarefas devem ter o registro ativado
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
[DMS.9] Os endpoints do DMS devem usar SSL
[DMS.10] Os endpoints do DMS para bancos de dados Neptune devem ter a autorização do IAM habilitada
[DMS.11] Os endpoints do DMS para o MongoDB devem ter um mecanismo de autenticação habilitado
[DMS.12] Os endpoints do DMS para o Redis OSS devem ter o TLS habitado
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
[DocumentDB.3] Os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
[DocumentDB.6] Os clusters do Amazon DocumentDB devem ser criptografados em trânsito
[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
[DynamoDB.3] Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada
[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito
[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente
[EC2.2] Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída
[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs
[EC2.7] A criptografia padrão do EBS deve estar ativada
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4
[EC2.10] A Amazon EC2 deve ser configurada para usar endpoints VPC criados para o serviço Amazon EC2
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
[EC2.20] Ambos os túneis VPN para uma conexão AWS Site-to-Site VPN devem estar ativos
[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
[EC2.51] Os endpoints EC2 do Client VPN devem ter o registro de conexão do cliente ativado
[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR
[EC2.56] VPCs deve ser configurado com um endpoint de interface para Docker Registry
[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager
[EC2.170] os modelos de EC2 lançamento devem usar o Instance Metadata Service versão 2 () IMDSv2
[EC2.171] As conexões EC2 VPN devem ter o registro ativado
[EC2.180] as interfaces EC2 de rede devem ter a source/destination verificação ativada
[EC2.181] os modelos de EC2 lançamento devem habilitar a criptografia para volumes anexados do EBS
[EC2.182] Os snapshots do Amazon EBS não devem estar acessíveis ao público
[ECR.1] Os repositórios privados do ECR devem ter a digitalização de imagens configurada
[ECR.2] Os repositórios privados do ECR devem ter a imutabilidade da tag configurada
[ECR.3] Os repositórios ECR devem ter pelo menos uma política de ciclo de vida configurada
[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
[ECS.12] Os clusters do ECS devem usar Container Insights
[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos
[ECS.18] As definições de tarefas do ECS devem usar criptografia em trânsito para volumes EFS
[ECS.19] Os provedores de capacidade de ECS devem ter a proteção gerenciada de terminação ativada
[EFS.2] Os volumes do Amazon EFS devem estar em planos de backup
[EFS.3] Os pontos de acesso do EFS devem executar um diretório raiz
[EFS.4] Os pontos de acesso do EFS devem executar uma identidade de usuário
[EFS.7] Os sistemas de arquivos do EFS devem ter backups automáticos habilitados
[EFS.8] Os sistemas de arquivos do EFS devem ser criptografados em repouso
[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes
[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado
[ElastiCache.1] Os clusters ElastiCache (Redis OSS) devem ter backups automáticos habilitados
[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado
[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso
[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito
[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão
[ElasticBeanstalk.3] O Elastic Beanstalk deve transmitir registros para CloudWatch
Os receptores do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS
[ELB.4] O Application Load Balancer deve ser configurado para descartar cabeçalhos http inválidos
[ELB.5] O registro em log do Classic Load Balancer e Application Load Balancer deve estar ativado
[ELB.7] Os Classic Load Balancers devem ter a drenagem da conexão ativada
[ELB.9] Os Classic Load Balancers devem ter o balanceador de carga entre zonas habilitado
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado
[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
[FSx.3] FSx para sistemas de arquivos OpenZFS devem ser configurados para implantação Multi-AZ
[FSx.4] FSx para sistemas de arquivos NetApp ONTAP, deve ser configurado para implantação Multi-AZ
[Glue.3] As transformações AWS Glue de aprendizado de máquina devem ser criptografadas em repouso
[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões compatíveis do AWS Glue
[GuardDuty.1] GuardDuty deve ser ativado
[GuardDuty.5] O monitoramento do registro de auditoria do GuardDuty EKS deve estar ativado
[GuardDuty.6] A Proteção GuardDuty Lambda deve estar ativada
[GuardDuty.7] O monitoramento de tempo de execução do GuardDuty EKS deve estar ativado
[GuardDuty.8] O formulário de proteção contra GuardDuty malware EC2 deve estar ativado
[GuardDuty.9] A proteção GuardDuty RDS deve estar ativada
[GuardDuty.10] A proteção GuardDuty S3 deve estar ativada
[GuardDuty.11] O monitoramento GuardDuty de tempo de execução deve estar ativado
[GuardDuty.12] O monitoramento de tempo de execução GuardDuty do ECS deve estar ativado
[GuardDuty.13] O monitoramento GuardDuty EC2 de tempo de execução deve estar ativado
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
[Inspector.1] O escaneamento do Amazon Inspector deve estar ativado EC2
[Inspector.2] A varredura do ECR do Amazon Inspector deve estar habilitada
[Inspector.3] A varredura de código do Lambda do Amazon Inspector deve estar habilitada
[Inspector.4] A varredura padrão do Lambda do Amazon Inspector deve estar habilitada
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
[Kinesis.3] Os fluxos do Kinesis devem ter um período de retenção de dados adequado
[KMS.3] não AWS KMS keys deve ser excluído acidentalmente
[KMS.5] As chaves do KMS não devem estar acessíveis ao público
[Lambda.1] As funções do Lambda.1 devem proibir o acesso público
[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis
[Lambda.5] As funções do Lambda da VPC devem operar em várias zonas de disponibilidade
[Macie.1] O Amazon Macie deve estar habilitado
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada
[MSK.1] Os clusters MSK devem ser criptografados em trânsito entre os nós do agente
[MSK.3] Os conectores da MSK Connect devem ser criptografados em trânsito
[MSK.4] Os clusters do MSK devem ter acesso público desabilitado
[MSK.5] Os conectores do MSK devem ter o registro em log habilitado
[MSK.6] Os clusters do MSK devem desabilitar o acesso não autenticado
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
[Neptune.3] Os snapshots do cluster de banco de dados do Neptune não devem ser públicos
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
[Neptune.6] Os snapshots do cluster de banco de dados Neptune devem ser criptografados em repouso
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
[NetworkFirewall.9] Os firewalls do Firewall de Rede devem ter a proteção contra exclusão ativada
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
[PCA.1] a autoridade de certificação CA Privada da AWS raiz deve ser desativada
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
[RDS.1] Os snapshots do RDS devem ser privados
[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS
[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada
[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada
[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch
[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS
[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados
[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS
[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas
[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado
[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
[RDS.37] Os clusters de banco de dados Aurora PostgreSQL devem publicar registros no Logs CloudWatch
[RDS.41] As instâncias de banco de dados do RDS para SQL Server devem ser criptografadas em trânsito
[RDS.42] O RDS para instâncias de banco de dados MariaDB deve publicar registros em Logs CloudWatch
[RDS.43] Os proxies de banco de dados do RDS devem exigir criptografia de TLS para conexões
[RDS.44] As instâncias de banco de dados do RDS para MariaDB devem ser criptografadas em trânsito
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
[Redshift.3] Os clusters do Amazon Redshift devem ter snapshots automáticos habilitados
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
[Redshift.7] Os clusters do Redshift devem usar roteamento de VPC aprimorado
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
[Redshift.18] Os clusters do Redshift devem ter implantações multi-AZ habilitadas
[RedshiftServerless.3] Os grupos de trabalho sem servidor do Redshift devem proibir o acesso público
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação
[S3.5] Os buckets de uso geral do S3 devem exigir que as solicitações usem SSL
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado
[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas
[S3.25] Os buckets de diretório do S3 devem ter configurações de ciclo de vida
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas em uma VPC personalizada
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
[SageMaker.5] SageMaker os modelos devem ter o isolamento de rede ativado
[SageMaker.8] instâncias de SageMaker notebook devem ser executadas em plataformas compatíveis
[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
[SES.3] Os conjuntos de configuração do SES devem ter o TLS habilitado para envio de e-mails
[SNS.4] As políticas de acesso a tópicos do SNS não devem permitir o acesso público
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
[SQS.3] As políticas de acesso a filas do SQS não devem permitir o acesso público
[SSM.1] As EC2 instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
[SSM.4] Os documentos SSM não devem ser públicos
[SSM.6] A automação de SSM deve ter o registro ativado CloudWatch
[StepFunctions.1] As máquinas de estado do Step Functions devem ter o registro ativado
[Transfer.3] Os conectores do Transfer Family devem ter o registro em log habilitado
[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch
[WorkSpaces.1] os volumes WorkSpaces do usuário devem ser criptografados em repouso
[WorkSpaces.2] os volumes WorkSpaces raiz devem ser criptografados em repouso
