Recomendações de segurança para recursos da Amazon Web Services (AWS)

Este artigo lista todas as recomendações que você pode ver no Microsoft Defender for Cloud se conectar uma conta da Amazon Web Services (AWS) usando a página Configurações do ambiente. As recomendações que aparecem em seu ambiente são baseadas nos recursos que você está protegendo e em sua configuração personalizada.

Para saber mais sobre as ações que você pode executar em resposta a essas recomendações, consulte Corrigir recomendações no Defender for Cloud.

Sua pontuação segura é baseada no número de recomendações de segurança que você concluiu. Para decidir quais recomendações resolver primeiro, observe a gravidade de cada recomendação e seu efeito potencial em sua pontuação segura.

Recomendações de computação da AWS

As instâncias do Amazon EC2 gerenciadas pelo Systems Manager devem ter um status de conformidade de patch de COMPLIANT após uma instalação de patch

Descrição: esse controle verifica se o status de conformidade da conformidade do patch do Amazon EC2 Systems Manager é COMPATÍVEL ou NON_COMPLIANT após a instalação do patch na instância. Ele verifica apenas instâncias gerenciadas pelo AWS Systems Manager Patch Manager. Ele não verifica se o patch foi aplicado dentro do limite de 30 dias prescrito pelo requisito '6.2' do PCI DSS. Ele também não valida se os patches aplicados foram classificados como patches de segurança. Você deve criar grupos de patches com as configurações de linha de base apropriadas e verificar se os sistemas dentro do escopo são gerenciados por esses grupos de patches no Systems Manager. Para obter mais informações sobre grupos de patches, consulte Guia do usuário do AWS Systems Manager.

Gravidade: Média

O Amazon EFS deve ser configurado para criptografar dados de arquivo em repouso usando o AWS KMS

Descrição: esse controle verifica se o Amazon Elastic File System está configurado para criptografar os dados do arquivo usando o AWS KMS. A verificação falha nos seguintes casos: *"Encrypted" é definido como "false" na resposta DescribeFileSystems. A chave "KmsKeyId" na resposta DescribeFileSystems não corresponde ao parâmetro KmsKeyId para efs-encrypted-check. Observe que esse controle não usa o parâmetro "KmsKeyId" para efs-encrypted-check. Verifica apenas o valor de "Encrypted". Para obter uma camada adicional de segurança para os dados confidenciais no Amazon EFS, você deve criar sistemas de arquivos criptografados. O Amazon EFS dá suporte à criptografia para sistemas de arquivos em repouso. Você pode habilitar a criptografia de dados inativos ao criar um sistema de arquivos do Amazon EFS. Para saber mais sobre a criptografia do Amazon EFS, confira Criptografia de dados no Amazon EFS no Guia do Usuário do Sistema de Arquivos Elástico do Amazon.

Gravidade: Média

Os volumes do Amazon EFS devem estar nos planos de backup

Descrição: esse controle verifica se os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) são adicionados aos planos de backup no AWS Backup. O controle falhará se os sistemas de arquivos do Amazon EFS não estiverem incluídos nos planos de backup. A inclusão de sistemas de arquivos do EFS nos planos de backup ajuda a proteger os dados contra a exclusão e perda de dados.

Gravidade: Média

A proteção contra exclusão do Balanceador de Carga do Aplicativo deve estar habilitada

Descrição: esse controle verifica se um Application Load Balancer tem a proteção contra exclusão habilitada. O controle falhará se a proteção contra exclusão não estiver configurada. Habilite a proteção contra exclusão para proteger o Balanceador de Carga do Aplicativo contra exclusão.

Gravidade: Média

Os grupos de Dimensionamento Automático associados a um balanceador de carga devem usar verificações de integridade

Descrição: os grupos de Auto Scaling associados a um balanceador de carga estão usando verificações de integridade do Elastic Load Balancing. O PCI DSS não requer balanceamento de carga ou configurações altamente disponíveis. Isso é recomendado pelas melhores práticas do AWS.

Gravidade: Baixa

As contas AWS devem ter o provisionamento automático do Azure Arc habilitado

Descrição: para visibilidade total do conteúdo de segurança do Microsoft Defender para servidores, as instâncias do EC2 devem ser conectadas ao Azure Arc. Para garantir que todas as instâncias qualificadas do EC2 recebam automaticamente o Azure Arc, habilite o provisionamento automático do Defender for Cloud no nível da conta da AWS. Saiba mais sobre o Azure Arc e o Microsoft Defender para Servidores.

Gravidade: Alta

As distribuições do CloudFront devem ter o failover de origem configurado

Descrição: esse controle verifica se uma distribuição do Amazon CloudFront está configurada com um grupo de origem que tenha duas ou mais origens. O failover de origem do CloudFront pode aumentar a disponibilidade. O failover de origem redirecionará o tráfego automaticamente para uma origem secundária, se a origem primária não estiver disponível ou se retornar códigos de status de resposta HTTP específicos.

Gravidade: Média

As URLs do repositório de origem do CodeBuild GitHub ou do Bitbucket devem usar o OAuth

Descrição: esse controle verifica se a URL do repositório de origem do GitHub ou do Bitbucket contém tokens de acesso pessoal ou um nome de usuário e senha. As credenciais de autenticação nunca devem ser armazenadas ou transmitidas em texto não criptografado, nem exibidas na URL do repositório. Em vez de tokens de acesso pessoal ou nome de usuário e senha, você deve usar o OAuth para conceder autorização para acessar repositórios do GitHub ou do Bitbucket. Usar tokens de acesso pessoal ou um nome de usuário e senha pode submeter as credenciais à exposição acidental de dados e ao acesso não autorizado.

Gravidade: Alta

As variáveis de ambiente do projeto CodeBuild não devem conter credenciais

Descrição: Este controle verifica se o projeto contém as variáveis AWS_ACCESS_KEY_ID de ambiente e AWS_SECRET_ACCESS_KEY. As credenciais de autenticação AWS_ACCESS_KEY_ID e AWS_SECRET_ACCESS_KEY nunca devem ser armazenadas em texto não criptografado, pois isso pode levar à exposição acidental de dados e ao acesso não autorizado.

Gravidade: Alta

Os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso

Descrição: Este controle verifica se um cluster DAX está criptografado em repouso. A criptografia de dados inativos reduz o risco de que os dados armazenados em disco sejam acessados por um usuário não autenticado no AWS. A criptografia adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. Por exemplo, as permissões de API são necessárias para descriptografar os dados, antes que possam ser lidos.

Gravidade: Média

As tabelas DynamoDB devem dimensionar automaticamente a capacidade com a demanda

Descrição: esse controle verifica se uma tabela do Amazon DynamoDB pode dimensionar sua capacidade de leitura e gravação conforme necessário. Esse controle será aprovado se a tabela usar o modo de capacidade sob demanda ou o modo provisionado com o dimensionamento automático configurado. O dimensionamento da capacidade com demanda evita exceções de limitação, o que ajuda a manter a disponibilidade dos aplicativos.

Gravidade: Média

As instâncias do EC2 devem estar conectadas ao Azure Arc

Descrição: conecte suas instâncias do EC2 ao Azure Arc para ter visibilidade total do conteúdo de segurança do Microsoft Defender for Servers. Saiba mais sobre o Azure Arc e o Microsoft Defender para Servidores no ambiente de nuvem híbrida.

Gravidade: Alta

As instâncias do EC2 devem ser gerenciadas pelo AWS Systems Manager

Descrição: o status da conformidade do patch do Amazon EC2 Systems Manager é 'COMPLIANT' ou 'NON_COMPLIANT' após a instalação do patch na instância. Somente instâncias gerenciadas pelo AWS Systems Manager Patch Manager são verificadas. Os patches que foram aplicados dentro do limite de 30 dias prescrito pelo requisito '6' do PCI DSS não são verificados.

Gravidade: Média

Os problemas de configuração da EDR devem ser resolvidos em EC2s

Descrição: para proteger as máquinas virtuais contra as ameaças e vulnerabilidades mais recentes, resolva todos os problemas de configuração identificados com a solução EDR (Endpoint Detection and Response) instalada.
Observação: atualmente, essa recomendação só se aplica a recursos com o Microsoft Defender para Ponto de Extremidade (MDE) habilitado.

Gravidade: Alta

A solução EDR deve ser instalada em EC2s

Descrição: para proteger o EC2s, instale uma solução EDR (Endpoint Detection and Response). As EDRs ajudam a prevenir, detectar, investigar e responder a ameaças avançadas. Use o Microsoft Defender para Servidores para implantar o Microsoft Defender para Ponto de Extremidade. Se o recurso for classificado como "Não íntegro", ele não terá uma solução EDR com suporte instalada. Se você tiver uma solução EDR instalada que não seja detectável por esta recomendação, poderá isentá-la.

Gravidade: Alta

As instâncias gerenciadas pelo Systems Manager devem ter um status de conformidade de associação de COMPLIANT

Descrição: esse controle verifica se o status da conformidade de associação do AWS Systems Manager é COMPATÍVEL ou NON_COMPLIANT depois que a associação é executada em uma instância. O controle será aprovado se o status de conformidade de associação for COMPLIANT. Uma associação do State Manager é uma configuração atribuída às instâncias gerenciadas. A configuração define o estado que você deseja manter nas instâncias. Por exemplo, uma associação pode especificar que o software antivírus deve ser instalado e executado nas instâncias ou que determinadas portas devem ser fechadas. Depois de criar uma ou mais associações do State Manager, as informações de status de conformidade ficam imediatamente disponíveis para você no console ou em resposta a comandos da CLI do AWS ou operações de API do System Manager correspondentes. Para associações, a Conformidade de "Configuração" mostra os status de Compatível ou Não Compatível e o nível de gravidade atribuído à associação, como Crítico ou Médio. Para saber mais sobre a conformidade de associação do State Manager, consulte Sobre a conformidade de associação do State Manager no Guia do usuário do AWS Systems Manager. Você deve configurar as instâncias do EC2 no escopo para associação do Systems Manager. Você também deve configurar a linha de base do patch para a classificação de segurança do fornecedor de patches e definir a data de aprovação automática para atender ao requisito 6.2 do PCI DSS 3.2.1. Para obter mais orientações sobre como criar uma associação, consulte Criar uma associação no Guia do usuário do AWS Systems Manager. Para obter mais informações sobre como trabalhar com patches no Systems Manager, consulte AWS Systems Manager Patch Manager no Guia do usuário do AWS Systems Manager.

Gravidade: Baixa

As funções Lambda devem ter uma fila de mensagens mortas configurada

Descrição: esse controle verifica se uma função do Lambda está configurada com uma fila de mensagens mortas. O controle falhará se a função Lambda não estiver configurada com uma fila de mensagens mortas. Como alternativa a um destino em caso de falha, você pode configurar a função com uma fila de mensagens mortas para salvar eventos descartados para processamento posterior. Uma fila de mensagens mortas atua da mesma forma que um destino em caso de falha. É usada quando um evento falha em todas as tentativas de processamento ou expira sem ser processado. Uma fila de mensagens mortas permite que você veja erros ou solicitações com falha para que a função Lambda depure ou identifique comportamentos incomuns. Do ponto de vista de segurança, é importante entender por que a função falhou e garantir que a função não remova dados nem comprometa a segurança dos dados consequentemente. Por exemplo, se a função não puder se comunicar com um recurso subjacente, isso pode ser um sintoma de um ataque de DoS (Negação de Serviço) em outro lugar na rede.

Gravidade: Média

As funções Lambda devem usar runtimes com suporte

Descrição: esse controle verifica se as configurações de função do Lambda para tempos de execução correspondem aos valores esperados definidos para os tempos de execução com suporte para cada idioma. Esse controle verifica os seguintes tempos de execução: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Lambda runtimes são construídos em torno de uma combinação de sistema operacional, linguagem de programação e bibliotecas de software que estão sujeitas a manutenção e atualizações de segurança. Quando um componente de runtime não tem mais suporte para atualizações de segurança, o Lambda substitui o runtime. Mesmo que você não possa criar funções que usam o tempo de execução preterido, a função ainda está disponível para processar eventos de invocação. Certifique-se de que suas funções do Lambda estejam atualizadas e não usem ambientes de tempo de execução desatualizados. Para saber mais sobre os runtimes com suporte que esse controle verifica para os idiomas com suporte, confira Runtimes lambda do AWS no Guia do Desenvolvedor Lambda do AWS.

Gravidade: Média

As portas de gerenciamento das instâncias do EC2 devem ser protegidas com o controle de acesso à rede JIT

Descrição: o Microsoft Defender for Cloud identificou algumas regras de entrada excessivamente permissivas para portas de gerenciamento em sua rede. Habilite o controle de acesso JIT para proteger as Instâncias contra ataques de força bruta baseados na Internet. Saiba mais.

Gravidade: Alta

Os grupos de segurança do EC2 não utilizados devem ser removidos

Descrição: os security groups devem ser anexados a instâncias do Amazon EC2 ou a uma ENI. A descoberta saudável pode indicar que há grupos de segurança do Amazon EC2 não utilizados.

Gravidade: Baixa

Recomendações de contêineres da AWS

[Versão Prévia] As imagens de contêineres no Registro da AWS devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece resultados detalhados para cada imagem digitalizada. A verificação e correção das vulnerabilidades das imagens de contêiner no Registro ajudam a manter uma cadeia de fornecimento de software segura e confiável, reduzem o risco de incidentes de segurança e garantem a conformidade com os padrões do setor.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

[Versão Prévia] Os contêineres em execução na AWS devem ter as descobertas de vulnerabilidade resolvidas

Descrição: o Defender for Cloud cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução nos clusters do Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho, combinando as imagens que estão sendo usadas e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e a correção das vulnerabilidades de cargas de trabalho de contêiner são críticas para garantir uma cadeia de fornecimento de software consistente e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor.

Gravidade: Alta

Tipo: Avaliação de vulnerabilidade

Os clusters do EKS devem conceder as permissões necessárias do AWS para o Microsoft Defender para Nuvem

Descrição: o Microsoft Defender for Containers fornece proteções para seus clusters EKS. Para monitorar o cluster quanto a ameaças e vulnerabilidades de segurança, o Defender para Contêineres precisa de permissões para a conta AWS. Essas permissões são usadas para habilitar o log do plano de controle do Kubernetes no cluster e estabelecer um pipeline confiável entre o cluster e o back-end do Defender for Cloud na nuvem. Saiba mais sobre os recursos de segurança para ambientes conteinerizados do Microsoft Defender para Nuvem.

Gravidade: Alta

Os clusters do EKS devem ter a extensão do Microsoft Defender para Azure Arc instalada

Descrição: a extensão de cluster do Microsoft Defender fornece recursos de segurança para seus clusters EKS. A extensão coleta dados de um cluster e seus nós para identificar ameaças e vulnerabilidades de segurança. A extensão funciona com o Kubernetes habilitado para Azure Arc. Saiba mais sobre os recursos de segurança para ambientes conteinerizados do Microsoft Defender para Nuvem.

Gravidade: Alta

O Microsoft Defender para Contêineres deve estar habilitado nos conectores do AWS

Descrição: o Microsoft Defender for Containers fornece proteção contra ameaças em tempo real para ambientes conteinerizados e gera alertas sobre atividades suspeitas. Use essas informações para proteger a segurança de clusters do Kubernetes e corrigir problemas de segurança.

Importante: quando você habilitou o Microsoft Defender para Contêineres e implantou o Azure Arc em seus clusters EKS, as proteções - e cobranças - começarão. Se você não implantar o Azure Arc em um cluster, o Defender for Containers não o protegerá e nenhum custo será incorrido para esse plano do Microsoft Defender para esse cluster.

Gravidade: Alta

Recomendações sobre o plano de dados

Todas as recomendações de segurança do plano de dados do Kubernetes são suportadas para a AWS depois que você habilitar a Política do Azure para Kubernetes.

Recomendações de dados da AWS

Os clusters do Amazon Aurora devem ter o rastreamento inverso habilitado

Descrição: esse controle verifica se os clusters do Amazon Aurora têm o backtracking habilitado. Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Também reforçam a resiliência dos sistemas. O rastreamento inverso do Aurora reduz o tempo de recuperação de um banco de dados para um período. Não é necessária uma restauração de banco de dados para fazer isso. Para obter mais informações sobre o rastreamento inverso no Aurora, confira Rastreamento inverso de um cluster do banco de dados do Aurora no Guia do Usuário do Amazon Aurora.

Gravidade: Média

Os instantâneos do Amazon EBS não devem ser restaurados publicamente

Descrição: os snapshots do Amazon EBS não devem ser publicamente restauráveis por todos, a menos que explicitamente permitido, para evitar a exposição acidental de dados. Além disso, a permissão para alterar as configurações do Amazon EBS deve ser restrita somente a contas AWS autorizadas.

Gravidade: Alta

As definições de tarefa do Amazon ECS devem ter modos de rede e definições de usuário seguros

Descrição: esse controle verifica se uma definição de tarefa ativa do Amazon ECS que tem modo de rede de host também tem definições de contêiner privilegiado ou de usuário. O controle falha para definições de tarefa que têm definições de contêiner e modo de rede de host, onde privileged=false ou está vazio e user=root ou está vazio. Se uma definição de tarefa tiver privilégios elevados, é porque o cliente optou especificamente por essa configuração. Esse controle verifica o escalonamento de privilégios inesperado quando uma definição de tarefa tem a rede de host habilitada, mas o cliente não optou por privilégios elevados.

Gravidade: Alta

Os domínios do Amazon Elasticsearch Service devem criptografar dados enviados entre nós

Descrição: esse controle verifica se os domínios do Amazon ES têm a criptografia de nó a nó habilitada. O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores espionem ou manipulem o tráfego de rede usando ataques person-in-the-middle ou ataques semelhantes. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a criptografia de nó para nó para domínios do Amazon ES garante que as comunicações entre clusters sejam criptografadas em trânsito. Pode haver uma penalidade no desempenho associada a essa configuração. Você deve estar ciente e testar a compensação de desempenho, antes de habilitar essa opção.

Gravidade: Média

Os domínios do Amazon Elasticsearch Service devem ter a criptografia em repouso habilitada

Descrição: é importante habilitar as criptografias restantes dos domínios do Amazon ES para proteger dados confidenciais

Gravidade: Média

O banco de dados do Amazon RDS deve ser criptografado usando a chave gerenciada pelo cliente

Descrição: essa verificação identifica bancos de dados RDS criptografados com chaves KMS padrão e não com chaves gerenciadas pelo cliente. Como prática principal, use chaves gerenciadas pelo cliente para criptografar os dados em seus bancos de dados do RDS e manter o controle de chaves e dados em cargas de trabalho confidenciais.

Gravidade: Média

A instância do Amazon RDS deve ser definida com configurações de backup automático

Descrição: essa verificação identifica instâncias do RDS, que não estão definidas com a configuração de backup automático. Se o Backup Automático estiver definido, o RDS criará um instantâneo de volume de armazenamento da instância de BD, fazendo backup de toda a instância de BD e não apenas de bancos de dados individuais, que fornecem recuperação pontual. O backup automático acontece durante o tempo da janela de backup especificado e mantém os backups por um período limitado de tempo, conforme definido no período de retenção. É recomendável definir backups automáticos para seus servidores RDS críticos que ajudam no processo de restauração de dados.

Gravidade: Média

Os clusters do Amazon Redshift devem ter o log de auditoria habilitado

Descrição: esse controle verifica se um cluster do Amazon Redshift tem o log de auditoria habilitado. O log de auditoria do Amazon Redshift fornece informações adicionais sobre as conexões e atividades do usuário no cluster. Esses dados podem ser armazenados e protegidos no Amazon S3 e podem ser úteis em investigações e auditorias de segurança. Para obter mais informações, confira o log de auditoria de banco de dados no Guia de Gerenciamento de Clusters do Amazon Redshift.

Gravidade: Média

Os clusters do Amazon Redshift devem ter os instantâneos automáticos habilitados

Descrição: esse controle verifica se os clusters do Amazon Redshift têm snapshots automatizados habilitados. Também verifica se o período de retenção de instantâneo é maior ou igual a sete. Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Eles reforçam a resiliência dos sistemas. O Amazon Redshift tira instantâneos periódicos por padrão. Esse controle verifica se os instantâneos automáticos estão habilitados e são mantidos por pelo menos sete dias. Para obter mais informações sobre snapshots automatizados do Amazon Redshift, consulte Snapshots automatizados no Guia de gerenciamento de cluster do Amazon Redshift.

Gravidade: Média

Os clusters do Amazon Redshift devem proibir o acesso público

Descrição: recomendamos que os clusters do Amazon Redshift evitem a acessibilidade pública avaliando o campo 'publiclyAccessible' no item de configuração do cluster.

Gravidade: Alta

O Amazon Redshift deve ter as atualizações automáticas para as versões principais habilitadas

Descrição: esse controle verifica se as atualizações automáticas de versão principal estão habilitadas para o cluster do Amazon Redshift. Habilitar as atualizações automáticas da versão principal garante que as atualizações da versão principal mais recentes para os clusters do Amazon Redshift sejam instaladas durante a janela de manutenção. Essas atualizações podem incluir patches de segurança e correções de bugs. Manter-se atualizado com a instalação de patch é uma etapa importante na segurança de sistemas.

Gravidade: Média

As filas do Amazon SQS devem ser criptografadas em repouso

Descrição: esse controle verifica se as filas do Amazon SQS estão criptografadas em repouso. A SSE (criptografia do lado do servidor) permite que você transmita os dados confidenciais em filas criptografadas. Para proteger o conteúdo das mensagens em filas, a SSE usa chaves gerenciadas no AWS KMS. Para obter mais informações, confira Criptografia em repouso no Guia do Desenvolvedor do Amazon Simple Queue Service.

Gravidade: Média

Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos do cluster

Descrição: esse controle verifica se existe uma assinatura de evento do Amazon RDS que tenha notificações habilitadas para o seguinte tipo de origem, pares chave-valor de categoria de evento. DBCluster: ["maintenance" e "failure"]. As notificações de eventos do RDS usam o Amazon SNS para informar você sobre as alterações na disponibilidade ou configuração dos recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, confira Como usar a notificação de eventos do Amazon RDS no Guia do Usuário do Amazon RDS.

Gravidade: Baixa

Uma assinatura de notificações de eventos do RDS deve ser configurada para eventos críticos da instância do banco de dados

Descrição: esse controle verifica se existe uma assinatura de evento do Amazon RDS com notificações habilitadas para o seguinte tipo de origem. pares chave-valor da categoria de eventos. DBInstance: ["maintenance", "configuration change" e "failure"]. As notificações de eventos do RDS usam o Amazon SNS para informar você sobre as alterações na disponibilidade ou configuração dos recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, confira Como usar a notificação de eventos do Amazon RDS no Guia do Usuário do Amazon RDS.

Gravidade: Baixa

Uma assinatura de notificações de evento do RDS deve ser configurada para eventos críticos do grupo de parâmetros de banco de dados

Descrição: esse controle verifica se existe uma assinatura de evento do Amazon RDS com notificações habilitadas para o seguinte tipo de origem. pares chave-valor da categoria de eventos. DBParameterGroup: ["configuration","change"]. As notificações de eventos do RDS usam o Amazon SNS para informar você sobre as alterações na disponibilidade ou configuração dos recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, confira Como usar a notificação de eventos do Amazon RDS no Guia do Usuário do Amazon RDS.

Gravidade: Baixa

Uma assinatura de notificações de evento do RDS deve ser configurada para eventos críticos do grupo de segurança de banco de dados

Descrição: esse controle verifica se existe uma assinatura de evento do Amazon RDS com notificações habilitadas para o seguinte tipo de origem, pares chave-valor de categoria de evento. DBSecurityGroup: ["configuração","alteração","falha"]. As notificações de eventos do RDS usam o Amazon SNS para informar você sobre as alterações na disponibilidade ou configuração dos recursos do RDS. Essas notificações permitem uma resposta rápida. Para obter mais informações sobre notificações de eventos do RDS, confira Como usar a notificação de eventos do Amazon RDS no Guia do Usuário do Amazon RDS.

Gravidade: Baixa

O registro em log de API REST e WebSocket do Gateway de API deve estar habilitado

Descrição: esse controle verifica se todos os estágios de uma API REST ou WebSocket do Amazon API Gateway têm o registro em log habilitado. O controle falhará se o registro em log não estiver habilitado para todos os métodos de um estágio ou se o nível de registros em log não for ERROR nem INFO. Os estágios de API REST ou WebSocket do Gateway de API devem ter os logs relevantes habilitados. O registro em log de execução da API REST e WebSocket do Gateway de API fornece os registros detalhados das solicitações feitas para os estágios de API REST e WebSocket do Gateway de API. Os estágios incluem respostas de back-end de integração de API, respostas de autorizador Lambda e requestId para pontos de extremidade de integração do AWS.

Gravidade: Média

Os dados de cache da API REST do Gateway de API devem ser criptografados em repouso

Descrição: esse controle verifica se todos os métodos nos estágios da API REST do API Gateway que têm o cache habilitado estão criptografados. O controle falhará se qualquer método em um estágio de API REST do Gateway de API estiver configurado para armazenar em cache e se o cache não estiver criptografado. A criptografia de dados inativos reduz o risco de que os dados armazenados em disco sejam acessados por um usuário não autenticado no AWS. Adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados de acessar os dados. Por exemplo, as permissões de API são necessárias para descriptografar os dados, antes que possam ser lidos. Os caches da API REST do Gateway de API devem ser criptografados em repouso para obter uma camada adicional de segurança.

Gravidade: Média

Os estágios da API REST do Gateway de API devem ser configurados para usar certificados SSL para autenticação de back-end

Descrição: esse controle verifica se os estágios da API REST do Amazon API Gateway têm certificados SSL configurados. Os sistemas de back-end usam esses certificados para autenticar que as solicitações de entrada são do Gateway de API. Os estágios de API REST do Gateway de API devem ser configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações foram originadas no Gateway de API.

Gravidade: Média

Os estágios da API REST do Gateway de API devem ter o rastreamento do AWS X-Ray habilitado

Descrição: esse controle verifica se o rastreamento ativo do AWS X-Ray está habilitado para os estágios da API REST do Amazon API Gateway. O rastreamento ativo do X-Ray permite uma resposta mais rápida às alterações no desempenho na infraestrutura subjacente. As alterações no desempenho podem resultar na falta de disponibilidade da API. O rastreamento ativo do X-Ray fornece as métricas em tempo real das solicitações de usuário que fluem por meio dos serviços conectados e das operações de API REST do Gateway de API.

Gravidade: Baixa

O Gateway de API deve ser associado a uma ACL Web do AWS WAF

Descrição: esse controle verifica se um estágio do API Gateway usa uma lista de controle de acesso à web (ACL) do AWS WAF. Esse controle falhará se uma ACL Web do AWS WAF não estiver anexada a um estágio do Gateway de API REST. O AWS WAF é um firewall do aplicativo Web que ajuda a proteger aplicativos Web e APIs contra ataques. Permite que você configure uma ACL, que é um conjunto de regras que permitem, bloqueiam ou contam solicitações Web de acordo com as regras de segurança Web personalizáveis e condições definidas por você. Verifique se o estágio do Gateway de API está associado a uma ACL Web do AWS WAF para ajudar a protegê-lo contra ataques mal-intencionados.

Gravidade: Média

O registro em log dos Balanceadores de Carga Clássicos e de Aplicativo deve estar habilitado

Descrição: esse controle verifica se o Application Load Balancer e o Classic Load Balancer têm o log habilitado. O controle falhará se access_logs.s3.enabled for false. O Balanceamento de Carga Elástico fornece logs de acesso que capturam informações detalhadas sobre as solicitações enviadas ao balanceador de carga. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, as latências, os caminhos de solicitação e as respostas do servidor. Você pode usar esses logs de acesso para analisar padrões de tráfego e solucionar problemas. Para saber mais, confira Logs de acesso para o Balanceador de Carga Clássico no Guia do Usuário para Balanceadores de Carga Clássicos.

Gravidade: Média

Os volumes anexados do EBS devem ser criptografados em repouso

Descrição: esse controle verifica se os volumes do EBS que estão em um estado anexado estão criptografados. Para serem aprovados nessa verificação, os volumes do EBS devem estar em uso e ser criptografados. Se o volume do EBS não estiver anexado, não estará sujeito a essa verificação. Para obter uma camada adicional de segurança dos dados confidenciais nos volumes do EBS, você deve habilitar a criptografia do EBS em repouso. A criptografia Amazon EBS oferece uma solução de criptografia simples para os recursos do EBS que não exigem que você crie, mantenha e proteja sua própria infraestrutura de gerenciamento de chaves. Ela usa a CMK (chave mestra do cliente) do AWS KMS ao criar volumes e instantâneos criptografados. Para saber mais sobre a criptografia do Amazon EBS, confira Criptografia do Amazon EBS no Guia do Usuário do Amazon EC2 para instâncias do Linux.

Gravidade: Média

As instâncias de replicação do Serviço de Migração de Banco de Dados do AWS não devem ser públicas

Descrição: para proteger suas instâncias replicadas contra ameaças. Uma instância de replicação privada deve ter um endereço IP privado que você não possa acessar fora da rede de replicação. Uma instância de replicação deve ter um endereço IP privado, quando os bancos de dados de origem e de destino estão na mesma rede e a rede está conectada à VPC da instância de replicação usando uma VPN, uma Conexão Direta com o AWS ou um emparelhamento com a VPC. Você também deve garantir que o acesso à configuração da instância do AWS DMS seja limitado somente a usuários autorizados. Para fazer isso, restrinja as permissões de IAM dos usuários para modificar as configurações e os recursos do AWS DMS.

Gravidade: Alta

Os ouvintes do Balanceador de Carga Clássico devem ser configurados com terminação HTTPS ou TLS

Descrição: esse controle verifica se os ouvintes do Classic Load Balancer estão configurados com o protocolo HTTPS ou TLS para conexões front-end (cliente para balanceador de carga). O controle será aplicável se um Balanceador de Carga Clássico tiver ouvintes. Se o Balanceador de Carga Clássico não tiver um ouvinte configurado, o controle não relatará conclusões. O controle será aprovado se os ouvintes Balanceador de Carga Clássico forem configurados com TLS ou HTTPS para conexões de front-end. O controle falhará se o ouvinte não estiver configurado com TLS ou HTTPS para conexões de front-end. Antes de começar a usar um balanceador de carga, você deve adicionar um ou mais ouvintes. Um ouvinte é um processo que usa o protocolo configurado e a porta para verificar se há solicitações de conexão. Os ouvintes podem ser compatíveis com protocolos HTTP e HTTPS/TLS. Você sempre deve usar um ouvinte HTTPS ou TLS para que o balanceador de carga faça o trabalho de criptografia e descriptografia em trânsito.

Gravidade: Média

Os Balanceadores de Carga Clássicos devem ter o esvaziamento de conexões habilitado

Descrição: Este controle verifica se os Classic Load Balancers têm o dreno de conexão habilitado. Habilitar o dreno de conexão nos Classic Load Balancers garante que o load balancer pare de enviar solicitações para instâncias que estão cancelando o registro ou não estão íntegras. Isso mantém as conexões existentes abertas. É útil para instâncias em grupos de Dimensionamento Automático, para garantir que as conexões não sejam interrompidas de forma muito repentina.

Gravidade: Média

As distribuições do CloudFront devem ter o AWS WAF habilitado

Descrição: esse controle verifica se as distribuições do CloudFront estão associadas às ACLs da web do AWS WAF ou do AWS WAFv2. O controle falhará se a distribuição não estiver associada a uma ACL Web. O AWS WAF é um firewall do aplicativo Web que ajuda a proteger aplicativos Web e APIs contra ataques. Ele permite que você configure um conjunto de regras, chamado de ACL Web (lista de controle de acesso Web), que permitem, bloqueiam ou contam as solicitações Web de acordo com as regras de segurança Web personalizáveis e as condições definidas por você. Verifique se a distribuição do CloudFront está associada a uma ACL Web do AWS WAF para ajudar a protegê-la contra ataques mal-intencionados.

Gravidade: Média

As distribuições do CloudFront devem ter o registra em log habilitado

Descrição: esse controle verifica se o log de acesso ao servidor está habilitado nas distribuições do CloudFront. O controle falhará se o log de acesso não estiver habilitado para uma distribuição. Os logs de acesso do CloudFront fornecem informações detalhadas sobre cada solicitação de usuário recebida pelo CloudFront. Cada log contém informações, como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador. Esses logs são úteis para aplicativos como auditorias de segurança e acesso e investigação forense. Para obter mais informações sobre como analisar logs de acesso, consulte Consultar logs do Amazon CloudFront no Guia do usuário do Amazon Athena.

Gravidade: Média

As distribuições do CloudFront devem exigir criptografia em trânsito

Descrição: esse controle verifica se uma distribuição do Amazon CloudFront exige que os visualizadores usem HTTPS diretamente ou se usa redirecionamento. O controle falhará se ViewerProtocolPolicy for definido como allow-all para defaultCacheBehavior ou para cacheBehaviors. O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques person-in-the-middle ou ataques semelhantes para espionar ou manipular o tráfego de rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Criptografar dados em trânsito pode afetar o desempenho. Você deve testar o aplicativo com esse recurso para entender o perfil de desempenho e o impacto do TLS.

Gravidade: Média

Os logs do CloudTrail devem ser criptografados em repouso usando os CMKs do KMS

Descrição: Recomendamos configurar o CloudTrail para usar o SSE-KMS. A configuração do CloudTrail para usar o SSE-KMS fornece mais controles de confidencialidade nos dados de log, pois determinado usuário deve ter permissão de leitura S3 no bucket de log correspondente e deve receber permissão de descriptografia da política do CMK.

Gravidade: Média

As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito

Descrição: esse controle verifica se as conexões com clusters do Amazon Redshift são necessárias para usar criptografia em trânsito. A verificação falhará se o require_SSL de parâmetros de cluster do Amazon Redshift não estiver definido como 1. O TLS pode ser usado para ajudar a impedir que possíveis invasores usem ataques person-in-the-middle ou ataques semelhantes para espionar ou manipular o tráfego de rede. Somente conexões criptografadas por TLS devem ser permitidas. Criptografar dados em trânsito pode afetar o desempenho. Você deve testar o aplicativo com esse recurso para entender o perfil de desempenho e o impacto do TLS.

Gravidade: Média

As conexões com os domínios do Elasticsearch devem ser criptografadas usando o TLS 1.2

Descrição: esse controle verifica se as conexões com domínios do Elasticsearch são necessárias para usar o TLS 1.2. A verificação falhará se o domínio do Elasticsearch TLSSecurityPolicy não for Policy-Min-TLS-1-2-2019-07. O HTTPS (TLS) pode ser usado para ajudar a impedir que possíveis invasores usem ataques person-in-the-middle ou ataques semelhantes para espionar ou manipular o tráfego de rede. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Criptografar dados em trânsito pode afetar o desempenho. Você deve testar o aplicativo com esse recurso para entender o perfil de desempenho e o impacto do TLS. O TLS 1.2 fornece vários aprimoramentos de segurança em relação a versões anteriores do TLS.

Gravidade: Média

As tabelas do DynamoDB devem ter a recuperação pontual habilitada

Descrição: esse controle verifica se a recuperação point-in-time (PITR) está habilitada para uma tabela do Amazon DynamoDB. Os backups ajudam você a se recuperar mais rapidamente de um incidente de segurança. Também reforçam a resiliência dos sistemas. A recuperação pontual do DynamoDB automatiza os backups das tabelas do DynamoDB. Ela reduz o tempo de recuperação das operações acidentais de exclusão ou gravação. As tabelas do DynamoDB que têm a PITR habilitada podem ser restauradas em qualquer período nos últimos 35 dias.

Gravidade: Média

A criptografia padrão do EBS deve estar habilitada

Descrição: esse controle verifica se a criptografia em nível de conta está habilitada por padrão para o Amazon Elastic Block Store (Amazon EBS). O controle falhará se a criptografia no nível da conta não estiver habilitada. Quando a criptografia está habilitada para a conta, os volumes e as cópias de instantâneo do Amazon EBS são criptografados em repouso. Isso adiciona outra camada de proteção para seus dados. Para obter mais informações, confira Criptografia por padrão no Guia do Usuário do Amazon EC2 para instâncias do Linux. Observe que os tipos de instância a seguir não são compatíveis com a criptografia: R1, C1 e M1.

Gravidade: Média

Os ambientes do Elastic Beanstalk devem ter os relatórios de saúde avançados habilitados

Descrição: esse controle verifica se os relatórios de integridade aprimorados estão habilitados para seus ambientes do AWS Elastic Beanstalk. O relatório avançado de integridade do Elastic Beanstalk permite uma resposta mais rápida a alterações na integridade da infraestrutura subjacente. Essas alterações podem resultar na falta de disponibilidade do aplicativo. O relatório avançado de integridade do Elastic Beanstalk fornece um descritor de status para medir a gravidade dos problemas identificados e identificar possíveis causas a serem investigadas. O agente de integridade do Elastic Beanstalk, incluído nas AMIs (Imagens de Computador da Amazon) com suporte, avalia os logs e as métricas das instâncias do EC2 do ambiente.

Gravidade: Baixa

As atualizações da plataforma gerenciada do Elastic Beanstalk devem estar habilitadas

Descrição: esse controle verifica se as atualizações de plataforma gerenciada estão habilitadas para o ambiente do Elastic Beanstalk. Habilitar as atualizações da plataforma gerenciada garante que as correções, as atualizações e os recursos mais recentes disponíveis da plataforma para o ambiente sejam instalados. Manter-se atualizado com a instalação de patch é uma etapa importante na segurança de sistemas.

Gravidade: Alta

O Balanceador de Carga Elástico não deve ter o certificado ACM expirado ou expirando em 90 dias.

Descrição: essa verificação identifica os ELB (Elastic Load Balancers) que estão usando certificados do ACM expirados ou expirando em 90 dias. O ACM (Gerenciador de Certificados do AWS) é a ferramenta preferencial para provisionar, gerenciar e implantar seus certificados de servidor. Com o ACM, você pode solicitar um certificado ou implantar um ACM existente ou um certificado externo nos recursos da AWS. Como melhor prática, é recomendável reimportar certificados que estão expirando/expirados, preservando as associações ELB do certificado original.

Gravidade: Alta

O log de erros de domínio do Elasticsearch para os Logs do CloudWatch devem estar habilitados

Descrição: esse controle verifica se os domínios do Elasticsearch estão configurados para enviar logs de erros ao CloudWatch Logs. Você deve habilitar os logs de erro para domínios do Elasticsearch e enviar esses logs para os Logs do CloudWatch para retenção e resposta. Os logs de erro de domínio podem auxiliar nas auditorias de segurança e acesso, bem como ajudar a diagnosticar problemas de disponibilidade.

Gravidade: Média

Os domínios do Elasticsearch devem ser configurados com pelo menos três nós mestres dedicados

Descrição: esse controle verifica se os domínios do Elasticsearch estão configurados com pelo menos três nós mestres dedicados. Esse controle falhará se o domínio não usar nós mestres dedicados. Esse controle será aprovado se os domínios do Elasticsearch tiverem cinco nós mestres dedicados. No entanto, o uso de mais de três nós mestres pode ser desnecessário para reduzir o risco de disponibilidade e resultará em mais custos. Um domínio do Elasticsearch exige pelo menos três nós mestres dedicados para alta disponibilidade e tolerância a falhas. Os recursos do nó mestre dedicado podem ser sobrecarregados durante implantações azuis/verdes do nó de dados, pois há mais nós a serem gerenciados. Implantar um domínio do Elasticsearch com pelo menos três nós mestres dedicados garante a capacidade do recurso do nó mestre suficiente e as operações do cluster, caso um nó falhe.

Gravidade: Média

Os domínios do Elasticsearch devem ter pelo menos três nós de dados

Descrição: esse controle verifica se os domínios do Elasticsearch estão configurados com pelo menos três nós de dados e zoneAwarenessEnabled é true. Um domínio do Elasticsearch exige pelo menos três de dados para alta disponibilidade e tolerância a falhas. Implantar um domínio do Elasticsearch com pelo menos três nós de dados garante as operações do cluster, caso um nó falhe.

Gravidade: Média

Os domínios do Elasticsearch devem ter o log de auditoria habilitado

Descrição: esse controle verifica se os domínios do Elasticsearch têm o log de auditoria habilitado. Esse controle falhará se um domínio do Elasticsearch não tiver o log de auditoria habilitado. Os logs de auditoria são altamente personalizáveis. Eles permitem que você acompanhe a atividade do usuário nos clusters do Elasticsearch, incluindo êxitos e falhas de autenticação, solicitações para OpenSearch, alterações de índice e consultas de pesquisa de entrada.

Gravidade: Média

O monitoramento avançado deve ser configurado para clusters e instâncias do banco de dados do RDS

Descrição: esse controle verifica se o monitoramento avançado está habilitado para suas instâncias de banco de dados do RDS. No Amazon RDS, o Monitoramento Avançado permite uma resposta mais rápida às alterações no desempenho na infraestrutura subjacente. Esses alterações no desempenho podem resultar na falta de disponibilidade dos dados. O Monitoramento Avançado fornece métricas em tempo real do sistema operacional em que a instância do banco de dados do RDS é executada. Um agente é instalado na instância. O agente pode obter métricas de forma mais precisa do que é possível na camada do hipervisor. As métricas de Monitoramento Avançado são úteis quando você deseja ver como os diferentes processos ou threads em uma instância do banco de dados usam a CPU. Para obter mais informações, confira Monitoramento Avançado no Guia do Usuário do Amazon RDS.

Gravidade: Baixa

Verificar se a rotação para CMKs criadas pelo cliente está habilitada

Descrição: o AWS Key Management Service (KMS) permite que os clientes girem a chave de backup, que é o material da chave armazenado no KMS vinculado ao ID da chave da chave mestra do cliente criada pelo cliente (CMK). É a chave de backup usada para executar operações criptográficas, como criptografia e descriptografia. No momento, a rotação de chaves automática retém todas as chaves de backup anteriores para que a descriptografia de dados criptografados possa ocorrer de forma transparente. É recomendável que a rotação de chaves CMK esteja habilitada. A rotação de chaves de criptografia ajuda a reduzir o impacto potencial de uma chave comprometida, pois os dados criptografados com uma nova chave não podem ser acessados com uma chave anterior que possa ter sido exposta.

Gravidade: Média

Verificar se o registro em log do acesso de bucket S3 está habilitado no bucket S3 CloudTrail

Descrição: o log de acesso ao bucket do S3 gera um log que contém registros de acesso Verifique se o log de acesso ao bucket do S3 está habilitado no bucket do CloudTrail S3 para cada solicitação feita ao bucket do S3. Um registro de log de acesso contém os detalhes sobre a solicitação, como o tipo de solicitação, os recursos especificados na solicitação, bem como a hora e a data em que a solicitação foi processada. É recomendável que o log de acesso do bucket esteja habilitado no bucket S3 do CloudTrail. Ao habilitar o log de bucket do S3 em buckets do S3 de destino, é possível capturar todos os eventos que podem afetar objetos dentro dos buckets de destino. A configuração de logs a serem colocados em um bucket separado permite o acesso a informações de log que podem ser úteis nos fluxos de trabalho de segurança e de resposta a incidentes.

Gravidade: Baixa

Verificar se o bucket S3 usado para armazenar os logs do CloudTrail não está acessível publicamente

Descrição: o CloudTrail registra em log um registro de cada chamada de API feita em sua conta da AWS. Esses arquivos de log são armazenados em um bucket S3. É recomendável que a política de bucket, ou lista de controle de acesso (ACL), seja aplicada ao bucket do S3 que o CloudTrail registra para impedir o acesso público aos logs do CloudTrail. Permitir o acesso público ao conteúdo de log do CloudTrail pode ajudar um adversário a identificar pontos fracos no uso ou na configuração da conta afetada.

Gravidade: Alta

O IAM não deve ter certificados SSL/TLS expirados

Descrição: esta verificação identifica certificados SSL/TLS expirados. Para habilitar conexões HTTPS com seu site ou aplicativo no AWS, você precisa de um certificado de servidor SSL/TLS. Você pode usar o ACM ou o IAM para armazenar e implantar certificados de servidor. A remoção de certificados SSL/TLS expirados elimina o risco de que um certificado inválido seja implantado acidentalmente em um recurso, como o ELB (Elastic Load Balancer) do AWS, que pode prejudicar a credibilidade do aplicativo/site por trás do ELB. Essa verificação vai gerar alertas se houver certificados SSL/TLS expirados armazenados no IAM do AWS. Como melhor prática, é recomendável excluir certificados expirados.

Gravidade: Alta

Os certificados ACM importados devem ser renovados após um período especificado

Descrição: esse controle verifica se os certificados do ACM em sua conta estão marcados para expiração dentro de 30 dias. Ele verifica tanto os certificados importados quanto os certificados fornecidos pelo AWS Certificate Manager. O ACM pode renovar automaticamente os certificados que usam a validação DNS. Para certificados que usam a validação de email, você deve responder a um email de validação de domínio. O ACM também não renova automaticamente os certificados importados. Você deve renovar manualmente os certificados importados. Para obter mais informações sobre a renovação gerenciada para certificados do ACM, confira Renovação gerenciada para certificados do ACM no Guia do Usuário do AWS Certificate Manager.

Gravidade: Média

As identidades provisionadas em excesso em contas devem ser investigadas para reduzir o PCI (Índice de Excesso de Permissões)

Descrição: identidades provisionadas em excesso em contas devem ser investigadas para reduzir o PCI (Índice de Fluência de Permissão) e proteger sua infraestrutura. Reduza o PCI removendo as atribuições de permissão de alto risco não utilizadas. O PCI alto reflete o risco associado às identidades com permissões que excedem seu uso normal ou necessário.

Gravidade: Média

As atualizações automáticas de versão secundária do RDS devem estar habilitadas

Descrição: esse controle verifica se as atualizações automáticas de versão secundária estão habilitadas para a instância do banco de dados RDS. Habilitar as atualizações automáticas da versão secundária garante que as atualizações da versão secundária mais recentes do RDBMS estejam instaladas. Essas atualizações podem incluir patches de segurança e correções de bugs. Manter-se atualizado com a instalação de patch é uma etapa importante na segurança de sistemas.

Gravidade: Alta

Os instantâneos de cluster do RDS e instantâneos do banco de dados devem ser criptografados em repouso

Descrição: esse controle verifica se os instantâneos de banco de dados do RDS estão criptografados. Este controle destina-se a instâncias do banco de dados do RDS. No entanto, também pode gerar conclusões para instantâneos das instâncias do banco de dados do Aurora, instâncias do banco de dados do Neptune e clusters do Amazon DocumentDB. Se essas conclusões não forem úteis, você poderá suprimi-las. A criptografia de dados inativos reduz o risco de um usuário não autenticado obter acesso aos dados armazenados em disco. Os dados nos instantâneos do RDS devem ser criptografados em repouso para obter uma camada adicional de segurança.

Gravidade: Média

Os clusters do RDS devem ter a proteção contra exclusão habilitada

Descrição: esse controle verifica se os clusters RDS têm a proteção contra exclusão habilitada. Este controle destina-se a instâncias do banco de dados do RDS. No entanto, também pode gerar conclusões para instâncias do banco de dados do Aurora, instâncias do banco de dados do Neptune e clusters do Amazon DocumentDB. Se essas conclusões não forem úteis, você poderá suprimi-las. Habilitar a proteção contra exclusão de cluster é outra camada de proteção contra exclusão acidental de banco de dados ou exclusão por uma entidade não autorizada. Quando a proteção contra exclusão está habilitada, não é possível excluir um cluster do RDS. Antes que uma solicitação de exclusão possa ser realizada com sucesso, a proteção contra exclusão deve ser desabilitada.

Gravidade: Baixa

Os clusters do banco de dados do RDS devem ser configurados para várias Zonas de Disponibilidade

Descrição: os clusters de banco de dados do RDS devem ser configurados para vários dados armazenados. A implantação em várias Zonas de Disponibilidade permite automatizar as Zonas de Disponibilidade para garantir a disponibilidade do ed failover, em caso de problema de disponibilidade da Zona de Disponibilidade e durante eventos regulares de manutenção do RDS.

Gravidade: Média

Os clusters do banco de dados do RDS devem ser configurados para copiar marcas em instantâneos

Descrição: A identificação e o inventário de seus ativos de TI é um aspecto crucial da governança e da segurança. Você precisa ter visibilidade de todos os clusters do banco de dados do RDS para avaliar a postura de segurança e tomar providências nas possíveis áreas de melhoria. Os instantâneos devem ser marcados da mesma maneira que os clusters do banco de dados pai do RDS. Habilitar dessa configuração garante que os instantâneos herdem as marcas dos clusters do banco de dados pai.

Gravidade: Baixa

As instâncias do banco de dados do RDS devem ser configuradas para copiar marcas em instantâneos

Descrição: esse controle verifica se as instâncias de banco de dados do RDS estão configuradas para copiar todas as marcas para snapshots quando os snapshots são criados. A identificação e o inventário dos ativos de TI são um aspecto vital de governança e segurança. Você precisa ter visibilidade de todas as instâncias do banco de dados do RDS para avaliar a postura de segurança e tomar providências nas possíveis áreas de melhoria. Os instantâneos devem ser marcados da mesma maneira que as instâncias do banco de dados pai do RDS. Habilitar dessa configuração garante que os instantâneos herdem as marcas das instâncias do banco de dados pai.

Gravidade: Baixa

As instâncias do banco de dados do RDS devem ser configuradas com várias Zonas de Disponibilidade

Descrição: esse controle verifica se a alta disponibilidade está habilitada para suas instâncias de banco de dados RDS. As instâncias do banco de dados do RDS devem ser configuradas para várias AZs (Zonas de Disponibilidade). Isso garante a disponibilidade dos dados armazenados. As implantações de várias zonas de disponibilidade permitem o failover automático, caso haja um problema com a disponibilidade da Zona de Disponibilidade e durante a manutenção regular do RDS.

Gravidade: Média

As instâncias do banco de dados do RDS devem ter a proteção contra exclusão habilitada

Descrição: esse controle verifica se as instâncias de banco de dados RDS que usam um dos mecanismos de banco de dados listados têm a proteção contra exclusão habilitada. Habilitar a proteção contra exclusão de instância é outra camada de proteção contra exclusão acidental de banco de dados ou exclusão por uma entidade não autorizada. Embora a proteção contra exclusão esteja habilitada, não é possível excluir uma instância do banco de dados do RDS. Antes que uma solicitação de exclusão possa ser realizada com sucesso, a proteção contra exclusão deve ser desabilitada.

Gravidade: Baixa

As instâncias do banco de dados do RDS devem ter a criptografia em repouso habilitada

Descrição: esse controle verifica se a criptografia de armazenamento está habilitada para suas instâncias de banco de dados do Amazon RDS. Este controle destina-se a instâncias do banco de dados do RDS. No entanto, também pode gerar conclusões para instâncias do banco de dados do Aurora, instâncias do banco de dados do Neptune e clusters do Amazon DocumentDB. Se essas conclusões não forem úteis, você poderá suprimi-las. Para obter uma camada adicional de segurança para os dados confidenciais nas instâncias do banco de dados do RDS, você deve configurar as instâncias do banco de dados do RDS para serem criptografadas em repouso. Para criptografar os instantâneos e as instâncias do banco de dados do RDS em repouso, habilite a opção de criptografia para as instâncias do banco de dados do RDS. Os dados criptografados em repouso incluem o armazenamento subjacente para instâncias do banco de dados, seus backups automáticos, réplicas de leitura e instantâneos. As instâncias do banco de dados criptografadas do RDS usam o algoritmo de criptografia AES-256 padrão aberto para criptografar os dados no servidor que hospeda as instâncias do banco de dados do RDS. Depois que os dados são criptografados, o Amazon RDS lida com a autenticação de acesso e descriptografia dos dados de forma transparente, com impacto mínimo no desempenho. Você não precisa modificar os aplicativos cliente do banco de dados para usar a criptografia. No momento, a criptografia do Amazon RDS está disponível para todos os mecanismos de banco de dados e tipos de armazenamento. A criptografia do Amazon RDS está disponível para a maioria das classes de instância do banco de dados. Para saber mais sobre as classes de instância de BD que não são compatíveis com a criptografia do Amazon RDS, confira Criptografia dos recursos do Amazon RDS no Guia do Usuário do Amazon RDS.

Gravidade: Média

As Instâncias do banco de dados do RDS devem proibir o acesso público

Descrição: recomendamos que você também garanta que o acesso à configuração da instância do RDS seja limitado apenas a usuários autorizados, restringindo as permissões do IAM dos usuários para modificar as configurações e os recursos das instâncias do RDS.

Gravidade: Alta

Os instantâneos do RDS devem proibir o acesso público

Descrição: recomendamos permitir que apenas entidades autorizadas acessem o snapshot e alterem a configuração do Amazon RDS.

Gravidade: Alta

Remover os segredos não utilizados do Secrets Manager

Descrição: esse controle verifica se seus segredos foram acessados dentro de um número especificado de dias. O valor padrão é de 90 dias. Se um segredo não tiver sido acessado no número definido de dias, esse controle falhará. Excluir segredos não utilizados é tão importante quanto a rotação de segredos. Os antigos usuários que não precisam mais acessar os segredos não utilizados podem abusar deles. Além disso, à medida que mais usuários têm acesso a um segredo, alguém pode ter feito o uso indevido e revelado o segredo para uma entidade não autorizada, o que aumenta o risco de abuso. A exclusão de segredos não utilizados ajuda a revogar o acesso ao segredo dos usuários que não precisam mais dele. Também ajuda a reduzir o custo do uso do Secrets Manager. Portanto, é essencial excluir regularmente os segredos não utilizados.

Gravidade: Média

Os buckets S3 devem ter a replicação entre regiões habilitada

Descrição: a habilitação da replicação entre regiões do S3 garante que várias versões dos dados estejam disponíveis em diferentes regiões distintas. Isso permite que você proteja o bucket S3 contra ataques de DDoS e eventos de corrupção de dados.

Gravidade: Baixa

Os buckets S3 devem ter a criptografia do lado do servidor habilitada

Descrição: habilite a criptografia do lado do servidor para proteger os dados nos buckets do S3. Criptografar os dados pode impedir o acesso a dados confidenciais, no caso de uma violação de dados.

Gravidade: Média

Os segredos do Secrets Manager configurados com a rotação automática devem girar com êxito

Descrição: esse controle verifica se um segredo do AWS Secrets Manager foi rodado com êxito com base no cronograma de rotação. O controle falhará se RotationOccurringAsScheduled for false. O controle não avalia segredos que não têm a rotação configurada. O Secrets Manager ajuda você a melhorar a postura de segurança da organização. Os segredos incluem credenciais de banco de dados, senhas e chaves de API de terceiros. Você pode usar o Secrets Manager para armazenar segredos de forma centralizada, criptografar segredos automaticamente, controlar o acesso a segredos e girar segredos de forma segura e automática. O Secrets Manager pode girar os segredos. Você pode usar a rotação para substituir segredos de longo prazo por segredos de curto prazo. Girar os segredos limita o tempo em que um usuário não autorizado pode usar um segredo comprometido. Por esse motivo, você deve girar os segredos com frequência. Além de configurar segredos para girar automaticamente, você deve garantir que esses segredos girem com êxito de acordo com o agendamento de rotação. Para saber mais sobre a rotação, confira Rotação dos segredos do AWS Secrets Manager no Guia do Usuário do AWS Secrets Manager.

Gravidade: Média

Os segredos do Secrets Manager devem ser girados no prazo de dias especificado

Descrição: Este controle verifica se seus segredos foram girados pelo menos uma vez dentro de 90 dias. A rotação de segredos pode ajudar a reduzir o risco de uso não autorizado dos segredos na conta AWS. Os exemplos incluem credenciais de banco de dados, senhas, chaves de API de terceiros e até mesmo texto arbitrário. Se você não altera os segredos por um longo período, os segredos ficam mais propensos a serem comprometidos. À medida que mais usuários têm acesso a um segredo, aumenta a probabilidade de alguém ter feito o uso indevido e revelado os segredos para uma entidade não autorizada. Os segredos podem ser revelados por meio de logs e dados armazenados em cache. Eles podem ser compartilhados para fins de depuração e podem não alterados ou revogados após a conclusão da depuração. Por todos esses motivos, os segredos devem ser girados com frequência. Você pode configurar os segredos para rotação automática no AWS Secrets Manager. Com a rotação automática, você pode substituir segredos de longo prazo por segredos de curto prazo, reduzindo consideravelmente o risco de comprometimento. O Hub de Segurança recomenda que você habilite a rotação para os segredos do Secrets Manager. Para saber mais sobre a rotação, confira Rotação dos segredos do AWS Secrets Manager no Guia do Usuário do AWS Secrets Manager.

Gravidade: Média

Os tópicos do SNS devem ser criptografados em repouso usando o AWS KMS

Descrição: esse controle verifica se um tópico do SNS é criptografado em repouso usando o AWS KMS. A criptografia de dados inativos reduz o risco de que os dados armazenados em disco sejam acessados por um usuário não autenticado no AWS. Ela também adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. Por exemplo, as permissões de API são necessárias para descriptografar os dados, antes que possam ser lidos. Os tópicos do SNS devem ser criptografados em repouso para uma camada adicional de segurança. Para obter mais informações, confira Criptografia em repouso no Guia do Desenvolvedor do Amazon Simple Notification Service.

Gravidade: Média

O log de fluxo da VPC deve estar habilitado em todas as VPCs

Descrição: os logs de fluxo da VPC fornecem visibilidade do tráfego de rede que passa pela VPC e podem ser usados para detectar tráfego anômalo ou insight durante eventos de segurança.

Gravidade: Média

Recomendações do AWS IdentityAndAccess

Os domínios do Amazon Elasticsearch Service devem estar em uma VPC

Descrição: a VPC não pode conter domínios com um ponto de extremidade público. Observação: isso não avalia a configuração de roteamento de sub-rede da VPC para determinar a acessibilidade pública.

Gravidade: Alta

As permissões do Amazon S3 concedidas a outras contas AWS nas políticas de bucket devem ser restritas

Descrição: a implementação de acesso com privilégios mínimos é fundamental para reduzir o risco de segurança e o impacto de erros ou intenções maliciosas. Se uma política de bucket S3 permitir acesso em contas externas, isso poderá resultar na exfiltração dos dados por meio de uma ameaça interna ou um invasor. O parâmetro 'blacklistedactionpatterns' permite uma avaliação bem-sucedida da regra para buckets S3. O parâmetro concede acesso a contas externas para padrões de ação que não estão incluídos na lista 'blacklistedactionpatterns'.

Gravidade: Alta

Evite o uso da conta "raiz"

Descrição: a conta "root" tem acesso irrestrito a todos os recursos da conta da AWS. É altamente recomendável que o uso desta conta seja evitado. A conta "raiz" é a conta AWS com mais privilégios. Minimizar o uso dessa conta e adotar o princípio de privilégios mínimos para o gerenciamento de acesso reduzirá o risco de alterações acidentais e divulgação não intencional de credenciais altamente privilegiadas.

Gravidade: Alta

As chaves do AWS KMS não devem ser excluídas acidentalmente

Descrição: Este controle verifica se as chaves KMS estão agendadas para exclusão. O controle falhará se uma chave do KMS estiver agendada para exclusão. As chaves KMS não podem ser recuperadas depois de excluídas. Os dados criptografados em uma chave do KMS também serão permanentemente irrecuperáveis, se a chave do KMS for excluída. Se dados significativos tiverem sido criptografados sob uma chave KMS agendada para exclusão, considere descriptografar os dados ou criptografá-los novamente sob uma nova chave KMS, a menos que você esteja intencionalmente executando uma exclusão criptográfica. Quando uma chave do KMS está agendada para exclusão, um período de espera obrigatório é aplicado para dar tempo de inverter a exclusão, caso tenha sido agendada por engano. O período de espera padrão é de 30 dias, mas pode ser reduzido para apenas sete dias quando a chave KMS está agendada para exclusão. Durante o período de espera, a exclusão agendada pode ser cancelada e a chave KMS não será excluída. Para obter mais informações sobre como excluir chaves KMS, consulte Excluir chaves KMS no Guia do desenvolvedor do AWS Key Management Service.

Gravidade: Alta

O log de ACL Web global Clássica do WAF do ACL deve estar habilitado

Descrição: esse controle verifica se o registro em log está habilitado para uma ACL da Web global do AWS WAF. Esse controle falhará se o registro em log não estiver habilitado para a ACL da Web. O registro em log é uma parte importante da manutenção da confiabilidade, da disponibilidade e do desempenho do AWS WAF globalmente. É um requisito de negócios e conformidade em muitas organizações e permite que você solucione problemas de comportamento de aplicativos. Ele também fornece informações detalhadas sobre o tráfego analisado pela ACL da Web anexada ao AWS WAF.

Gravidade: Média

As distribuições do CloudFront devem ter um objeto raiz padrão configurado

Descrição: esse controle verifica se uma distribuição do Amazon CloudFront está configurada para retornar um objeto específico que é o objeto raiz padrão. O controle falhará se a distribuição do CloudFront não tiver um objeto raiz padrão configurado. Às vezes, um usuário pode solicitar a URL raiz das distribuições, em vez de um objeto na distribuição. Quando isso acontece, especificar um objeto raiz padrão pode ajudar a evitar a exposição do conteúdo da distribuição na Web.

Gravidade: Alta

As distribuições do CloudFront devem ter a identidade de acesso de origem habilitada

Descrição: esse controle verifica se uma distribuição do Amazon CloudFront com o tipo Amazon S3 Origin tem o Origin Access Identity (OAI) configurado. O controle falhará se o OAI não estiver configurado. A OAI do CloudFront impede que os usuários acessem o conteúdo do bucket S3 diretamente. Quando os usuários acessam um bucket S3 diretamente, ignoram efetivamente a distribuição do CloudFront e todas as permissões aplicadas ao conteúdo do bucket S3 subjacente.

Gravidade: Média

A validação do arquivo de log do CloudTrail deve estar habilitada

Descrição: para garantir uma verificação de integridade adicional dos logs do CloudTrail, recomendamos ativar a validação de arquivos em todos os CloudTrails.

Gravidade: Baixa

O CloudTrail deve estar habilitado

Descrição: o AWS CloudTrail é um serviço da Web que registra chamadas de API da AWS para sua conta e entrega arquivos de log para você. Nem todos os serviços habilitam o registro em log por padrão para todas as APIs e eventos. Você deve implementar as trilhas de auditoria adicionais que não são do CloudTrail e examinar a documentação de cada serviço nos Serviços e Integrações com Suporte do CloudTrail.

Gravidade: Alta

As trilhas do CloudTrail devem ser integradas aos logs do CloudWatch

Descrição: além de capturar logs do CloudTrail em um bucket do S3 especificado para análise de longo prazo, a análise em tempo real pode ser executada configurando o CloudTrail para enviar logs ao CloudWatch Logs. Para uma trilha habilitada em todas as regiões em uma conta, o CloudTrail envia arquivos de log de todas essas regiões para um grupo de logs dos Logs do CloudWatch. Recomendamos que os logs do CloudTrail sejam enviados aos logs do CloudWatch para garantir que a atividade da conta AWS esteja sendo capturada, monitorada e devidamente acionada. O envio dos logs do CloudTrail para os logs do CloudWatch facilita o registro em log de atividades históricas e em tempo real de acordo com o usuário, a API, o recurso e o endereço IP, além de proporcionar a oportunidade de estabelecer alarmes e notificações para atividades anormais ou confidenciais da conta.

Gravidade: Baixa

O log de banco de dados deve estar habilitado

Descrição: esse controle verifica se os seguintes logs do Amazon RDS estão habilitados e enviados ao CloudWatch Logs:

• Oracle: (Alerta, Auditoria, Rastreamento, Ouvinte)
• PostgreSQL: (Postgresql, Upgrade)
• MySQL: (Auditoria, Erro, Geral, SlowQuery)
• MariaDB: (Auditoria, Erro, Geral, SlowQuery)
• SQL Server: (Erro, Agente)
• Aurora: (Auditoria, Erro, Geral, SlowQuery)
• Aurora-MySQL: (Auditoria, Erro, Geral, SlowQuery)
• Aurora-PostgreSQL: (Postgresql, Upgrade). Os bancos de dados do RDS devem ter os logs relevantes habilitados. O registro em log do banco de dados fornece registros detalhados das solicitações feitas ao RDS. Os logs do banco de dados podem auxiliar nas auditorias de segurança e acesso, bem como ajudar a diagnosticar problemas de disponibilidade.

Gravidade: Média

Desabilitar o acesso direto à Internet para instâncias do bloco de anotações do Amazon SageMaker

Descrição: o acesso direto à Internet deve ser desativado para uma instância de bloco de anotações do SageMaker. Isso verifica se o campo 'DirectInternetAccess' está desabilitado para a instância de notebook. A instância deve ser configurada com uma VPC e a configuração padrão deve estar desabilitada – Acesse a Internet por meio de uma VPC. Para habilitar o acesso à Internet para treinar ou hospedar modelos de um notebook, verifique se a VPC tem um gateway NAT e se o grupo de segurança permite conexões de saída. Verifique se o acesso à configuração do SageMaker está limitado apenas a usuários autorizados e restrinja as permissões do IAM dos usuários para modificar as configurações e os recursos do SageMaker.

Gravidade: Alta

Não configurar as chaves de acesso durante a configuração inicial do usuário para todos os usuários do IAM que têm uma senha de console

Descrição: o console da AWS padroniza a caixa de seleção para criar chaves de acesso habilitadas. Isso gera muitas chaves de acesso desnecessariamente. Além das credenciais desnecessárias, também gera um trabalho de gerenciamento desnecessário ao auditar e girar essas chaves. Exigir que etapas adicionais sejam tomadas pelo usuário após a criação de seu perfil dará uma indicação mais forte de intenção de que as chaves de acesso são [a] necessárias para seu trabalho e [b] uma vez que a chave de acesso é estabelecida em uma conta que as chaves podem estar em uso em algum lugar da organização.

Gravidade: Média

Verificar se uma função de suporte foi criada para gerenciar incidentes com o Suporte do AWS

Descrição: a AWS fornece um centro de suporte que pode ser usado para notificação e resposta a incidentes, bem como suporte técnico e atendimento ao cliente. Crie uma Função do IAM para permitir que usuários autorizados gerenciem os incidentes com o Suporte do AWS. Ao implementar privilégios mínimos para controle de acesso, uma função do IAM requer uma política apropriada do IAM para permitir o acesso ao centro de suporte para gerenciar incidentes com o AWS Support.

Gravidade: Baixa

Verificar se as chaves de acesso são giradas a cada 90 dias ou menos

Descrição: as chaves de acesso consistem em um ID de chave de acesso e uma chave de acesso secreta, que são usadas para assinar solicitações programáticas feitas à AWS. Os usuários do AWS precisam de suas próprias chaves de acesso para fazer chamadas programáticas para o AWS CLI (Interface de Linha de Comando do AWS), Ferramentas para Windows PowerShell, SDKs do AWS ou chamadas HTTP diretas usando as APIs para serviços individuais do AWS. Recomenda-se que todas as teclas de acesso sejam giradas regularmente. A rotação das teclas de acesso reduz a janela de oportunidade para que uma chave de acesso associada a uma conta comprometida ou encerrada seja usada. As chaves de acesso devem ser giradas para garantir que os dados não possam ser acessados com uma chave antiga, que pode ter sido perdida, quebrada ou roubada.

Gravidade: Média

Verificar se o AWS Config está habilitado em todas as regiões

Descrição: o AWS Config é um serviço Web que executa o gerenciamento de configuração de recursos da AWS compatíveis em sua conta e fornece arquivos de log para você. As informações registradas incluem o item de configuração (recurso do AWS), as relações entre os itens de configuração (recursos do AWS), as alterações de configuração entre os recursos. É recomendável habilitar o AWS Config em todas as regiões.

O histórico de itens de configuração do AWS capturado pelo AWS Config permite a análise de segurança, o controle de alterações dos recursos e a auditoria de conformidade.

Gravidade: Média

Verificar se o CloudTrail está habilitado em todas as regiões

Descrição: o AWS CloudTrail é um serviço da Web que registra chamadas de API da AWS para sua conta e entrega arquivos de log para você. As informações gravadas incluem a identidade do autor da chamada à API, a hora da chamada à API, o endereço IP de origem do autor da chamada à API, os parâmetros de solicitação e os elementos de resposta retornados pelo serviço do AWS. O CloudTrail fornece um histórico de chamadas à API do AWS para uma conta, incluindo chamadas à API feitas por meio do console de gerenciamento, SDKs, ferramentas de linha de comando e serviços do AWS de nível superior (como CloudFormation). O histórico de chamadas à API do AWS gerado pelo CloudTrail permite a análise de segurança, o controle de alterações dos recursos e a auditoria de conformidade. Além disso:

• Garantir a existência de uma trilha de várias regiões garantirá que atividades inesperadas que ocorram em regiões não utilizadas sejam detectadas
• garantir a existência de uma trilha de várias regiões garantirá que o "Global Service Logging" esteja habilitado para uma trilha por padrão para capturar o registro de eventos gerados nos serviços globais da AWS
• para uma trilha de várias regiões, garantindo que os eventos de gerenciamento configurados para todos os tipos de leitura/gravação garantam o registro das operações de gerenciamento executadas em todos os recursos em uma conta da AWS

Gravidade: Alta

Verificar se as credenciais não utilizadas por 90 dias ou mais estão desabilitadas

Descrição: os usuários do AWS IAM podem acessar recursos da AWS usando diferentes tipos de credenciais, como senhas ou chaves de acesso. É recomendável que todas as credenciais que não foram usadas em 90 dias ou mais sejam removidas ou desativadas. Desabilitar ou remover credenciais desnecessárias reduz a janela de oportunidade para que credenciais associadas a uma conta comprometida ou abandonada sejam usadas.

Gravidade: Média

Verificar se a política de senha do IAM torna sem efeito as senhas no prazo de 90 dias ou menos

Descrição: as políticas de senha do IAM podem exigir que as senhas sejam giradas ou expiradas após um determinado número de dias. É recomendável que a política de senha expire as senhas após 90 dias ou menos. Reduzir o tempo de vida da senha aumenta a resiliência da conta em relação às tentativas de logon de força bruta. Além disso, exigir alterações de senha regulares ajuda nos seguintes cenários:

• As senhas podem ser roubadas ou comprometidas às vezes sem o seu conhecimento. Isso pode ocorrer por meio de um comprometimento do sistema, uma vulnerabilidade de software ou uma ameaça interna.
• Certos filtros da Web corporativos e governamentais ou servidores proxy têm a capacidade de interceptar e registrar o tráfego, mesmo que ele seja criptografado.
• Muitas pessoas usam a mesma senha para muitos sistemas, como trabalho, e-mail e pessoal.
• Estações de trabalho de usuário final comprometidas podem ter um registrador de pressionamento de teclas.

Gravidade: Baixa

Verificar se a política de senha do IAM impede a reutilização de senhas

Descrição: as políticas de senha do IAM podem impedir a reutilização de uma determinada senha pelo mesmo usuário. Recomenda-se que a política de senhas impeça a reutilização de senhas. Evitar a reutilização de senhas aumenta a resiliência da conta em relação às tentativas de logon de força bruta.

Gravidade: Baixa

Verificar se a política de senha do IAM exige pelo menos uma letra minúscula

Descrição: as diretivas de senha são, em parte, usadas para impor requisitos de complexidade de senha. As políticas de senha do IAM podem ser usadas para garantir que a senha seja composta por diferentes conjuntos de caracteres. É recomendável que a política de senha exija pelo menos uma letra minúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta em relação às tentativas de logon de força bruta.

Gravidade: Média

Verificar se a política de senha do IAM exige pelo menos um número

Descrição: as diretivas de senha são, em parte, usadas para impor requisitos de complexidade de senha. As políticas de senha do IAM podem ser usadas para garantir que a senha seja composta por diferentes conjuntos de caracteres. É recomendável que a política de senha exija pelo menos um número. Definir uma política de complexidade de senha aumenta a resiliência da conta em relação às tentativas de logon de força bruta.

Gravidade: Média

Verificar se a política de senha do IAM exige pelo menos um símbolo

Descrição: as diretivas de senha são, em parte, usadas para impor requisitos de complexidade de senha. As políticas de senha do IAM podem ser usadas para garantir que a senha seja composta por diferentes conjuntos de caracteres. É recomendável que a política de senha exija pelo menos um símbolo. Definir uma política de complexidade de senha aumenta a resiliência da conta em relação às tentativas de logon de força bruta.

Gravidade: Média

Verificar se a política de senha do IAM exige pelo menos uma letra maiúscula

Descrição: as diretivas de senha são, em parte, usadas para impor requisitos de complexidade de senha. As políticas de senha do IAM podem ser usadas para garantir que a senha seja composta por diferentes conjuntos de caracteres. É recomendável que a política de senha exija pelo menos uma letra maiúscula. Definir uma política de complexidade de senha aumenta a resiliência da conta em relação às tentativas de logon de força bruta.

Gravidade: Média

Verificar se a política de senha do IAM exige pelo menos 14 caracteres ou mais

Descrição: as diretivas de senha são, em parte, usadas para impor requisitos de complexidade de senha. As políticas de senha do IAM podem ser usadas para garantir que a senha tenha pelo menos um tamanho determinado. É recomendável que a política de senha exija um comprimento mínimo de senha '14'. Definir uma política de complexidade de senha aumenta a resiliência da conta em relação às tentativas de logon de força bruta.

Gravidade: Média

Verifique se a autenticação multifator (MFA) está habilitada para todos os usuários do IAM que têm uma senha de console

Descrição: a autenticação multifator (MFA) adiciona uma camada extra de proteção sobre um nome de usuário e senha. Com a MFA habilitada, quando um usuário fizer login em um site da AWS, ele será solicitado a fornecer seu nome de usuário e senha, bem como um código de autenticação de seu dispositivo AWS MFA. É recomendável que o MFA seja habilitado para todas as contas que têm uma senha de console. Habilitar a MFA fornece maior segurança para o acesso do console, pois exige que a entidade de segurança de autenticação possua um dispositivo que emite uma chave sensível ao tempo e tenha conhecimento de uma credencial.

Gravidade: Média

O GuardDuty deve estar habilitado

Descrição: para fornecer proteção adicional contra invasões, o GuardDuty deve estar habilitado em sua conta e região da AWS. Nota: O GuardDuty pode não ser uma solução completa para todos os ambientes.

Gravidade: Média

A MFA de hardware deve estar habilitada para a conta "raiz"

Descrição: A conta root é o usuário mais privilegiado em uma conta. A MFA proporciona uma camada adicional de proteção além de um nome de usuário e senha. Com a MFA habilitada, quando um usuário entrar em um site do AWS, ele será solicitado a fornecer o nome de usuário e a senha, bem como um código de autenticação do dispositivo do AWS MFA. Para o Nível 2, é recomendável que você proteja a conta raiz com uma MFA de hardware. Uma MFA de hardware tem uma superfície de ataque menor do que uma MFA virtual. Por exemplo, uma MFA de hardware não sofre o ataque que a superfície introduziu pelo smartphone móvel em que reside uma MFA virtual. Usar a MFA de hardware para contas em excesso pode criar um problema logístico de gerenciamento de dispositivos. Se isso ocorrer, implemente essa recomendação de Nível 2 seletivamente para as contas de maior segurança. Em seguida, você pode aplicar a recomendação de Nível 1 às contas restantes.

Gravidade: Baixa

A autenticação do IAM deve ser configurada para clusters do RDS

Descrição: esse controle verifica se um cluster de banco de dados RDS tem a autenticação de banco de dados do IAM habilitada. A autenticação do banco de dados do IAM permite a autenticação sem senha para instâncias do banco de dados. A autenticação usa um token de autenticação. O tráfego de rede do banco de dados é criptografado usando SSL. Para obter mais informações, confira a autenticação do banco de dados do IAM no Guia do Usuário do Amazon Aurora.

Gravidade: Média

A autenticação do IAM deve ser configurada para instâncias do RDS

Descrição: esse controle verifica se uma instância de banco de dados do RDS tem a autenticação de banco de dados do IAM habilitada. A autenticação do banco de dados do IAM permite a autenticação em instâncias do banco de dados com um token de autenticação, em vez de uma senha. O tráfego de rede do banco de dados é criptografado usando SSL. Para obter mais informações, confira a autenticação do banco de dados do IAM no Guia do Usuário do Amazon Aurora.

Gravidade: Média

As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

Descrição: verifica se a versão padrão das políticas gerenciadas pelo cliente do IAM permite que as entidades usem as ações de descriptografia do AWS KMS em todos os recursos. Esse controle usa o Zelkova, um mecanismo de raciocínio automatizado, para validar e avisar sobre políticas que podem conceder amplo acesso aos seus segredos em contas da AWS. Esse controle falhará se as ações "kms:Decrypt" ou "kms:ReEncryptFrom" forem permitidas em todas as chaves KMS. O controle avalia as políticas gerenciadas pelo cliente anexadas e não anexadas. Ele não verifica políticas embutidas ou políticas gerenciadas pela AWS. Com o AWS KMS, você controla quem pode usar as chaves do KMS e obter acesso aos dados criptografados. As políticas do IAM definem quais ações uma identidade (usuário, grupo ou função) pode executar em quais recursos. Seguindo as melhores práticas de segurança, o AWS recomenda que você permita privilégios mínimos. Em outras palavras, você deve conceder às identidades apenas as permissões "kms:Decrypt" ou "kms:ReEncryptFrom" e apenas para as chaves necessárias para executar uma tarefa. Caso contrário, o usuário poderá usar chaves que não são apropriadas para seus dados. Em vez de conceder permissões para todas as chaves, determine o conjunto mínimo de chaves que os usuários precisam para acessar os dados criptografados. Em seguida, crie políticas que permitam aos usuários usar apenas essas chaves. Por exemplo, não permita a permissão "kms:Decrypt" em todas as chaves KMS. Em vez disso, permita "kms:Decrypt" somente nas chaves em uma região específica da conta. Ao adotar o princípio de privilégios mínimos, você pode reduzir o risco de divulgação não intencional dos dados.

Gravidade: Média

As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações de curinga para serviços

Descrição: esse controle verifica se as políticas baseadas em identidade do IAM criadas têm instruções Allow que usam o curinga * para conceder permissões para todas as ações em qualquer serviço. O controle falhará se qualquer instrução de política incluir 'Effect': 'Allow' com 'Action': 'Service:*'. Por exemplo, a instrução a seguir em uma política resulta em conclusões com falha.

'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:*',
  'Resource': '*'
}

O controle também falhará se você usar 'Effect': 'Allow' com 'NotAction': 'service:'. Nesse caso, o elemento NotAction fornece acesso a todas as ações em um serviço da AWS, exceto as ações especificadas em NotAction. Esse controle só se aplica às políticas do IAM gerenciadas pelo cliente. Ele não se aplica às políticas do IAM gerenciadas pela AWS. Quando você atribui permissões aos serviços da AWS, é importante definir o escopo das ações permitidas do IAM em suas políticas do IAM. Você deve restringir as ações do IAM apenas às ações necessárias. Isso ajuda você a provisionar permissões de privilégios mínimos. Políticas excessivamente permissivas podem levar ao escalonamento de privilégios se as políticas estiverem anexadas a uma entidade do IAM que talvez não exija a permissão. Em alguns casos, convém permitir ações do IAM que tenham um prefixo semelhante, como DescribeFlowLogs e DescribeAvailabilityZones. Nesses casos autorizados, você pode adicionar um curinga sufixo ao prefixo comum. Por exemplo, ec2:Describe.

Esse controle será aprovado se você usar uma ação com prefixo do IAM com um curinga com sufixo. Por exemplo, a instrução a seguir em uma política resulta em conclusões aprovadas.

 'Statement': [
{
  'Sid': 'EC2-Wildcard',
  'Effect': 'Allow',
  'Action': 'ec2:Describe*',
  'Resource': '*'
}

Ao agrupar as ações do IAM relacionadas dessa forma, você também pode evitar exceder os limites de tamanho da política do IAM.

Gravidade: Baixa

As políticas do IAM devem ser anexadas somente a grupos ou funções

Descrição: por padrão, usuários, grupos e funções do IAM não têm acesso aos recursos da AWS. As políticas do IAM são os meios pelos quais os privilégios são concedidos a usuários, grupos ou funções. É recomendável que as políticas do IAM sejam aplicadas diretamente a grupos e funções, mas não a usuários. Atribuir privilégios no nível do grupo ou da função reduz a complexidade do gerenciamento de acesso, à medida que o número de usuários aumenta. A redução da complexidade do gerenciamento de acesso pode, por sua vez, reduzir a oportunidade de uma entidade de segurança receber ou reter privilégios excessivos inadvertidamente.

Gravidade: Baixa

As políticas do IAM que permitem privilégios administrativos completos ":" não devem ser criadas

Descrição: as políticas do IAM são os meios pelos quais os privilégios são concedidos a usuários, grupos ou funções. É recomendado e considerado um conselho de segurança padrão conceder privilégios mínimos, ou seja, conceder apenas as permissões necessárias para executar uma tarefa. Determine o que os usuários precisam fazer e, em seguida, crie políticas que permitam que eles executem apenas essas tarefas, em vez de permitir privilégios administrativos completos. É mais seguro começar com um conjunto mínimo de permissões e conceder permissões adicionais, conforme necessário, em vez de começar com permissões muito flexíveis e depois tentar restringi-las. Fornecer privilégios administrativos completos, em vez de restringir ao conjunto mínimo de permissões necessárias para o usuário, expõe os recursos a ações possivelmente indesejadas. As políticas do IAM que têm uma instrução com "Effect": "Allow" com "Action": "" sobre "Resource": "" devem ser removidas.

Gravidade: Alta

As entidades de segurança do IAM não devem ter políticas embutidas do IAM que permitam ações de descriptografia em todas as chaves do KMS

Descrição: verifica se as políticas embutidas em suas identidades do IAM (função, usuário ou grupo) permitem as ações de descriptografia do AWS KMS em todas as chaves KMS. Esse controle usa o Zelkova, um mecanismo de raciocínio automatizado, para validar e avisar sobre políticas que podem conceder amplo acesso aos seus segredos em contas da AWS. Esse controle falhará se as ações "kms:Decrypt" ou "kms:ReEncryptFrom" forem permitidas em todas as chaves do KMS em uma política embutida. Com o AWS KMS, você controla quem pode usar as chaves do KMS e obter acesso aos dados criptografados. As políticas do IAM definem quais ações uma identidade (usuário, grupo ou função) pode executar em quais recursos. Seguindo as melhores práticas de segurança, o AWS recomenda que você permita privilégios mínimos. Em outras palavras, você deve conceder às identidades apenas as permissões necessárias e apenas para as chaves necessárias para executar uma tarefa. Caso contrário, o usuário poderá usar chaves que não são apropriadas para seus dados. Em vez de conceder permissão para todas as chaves, determine o conjunto mínimo de chaves que os usuários precisam para acessar os dados criptografados. Em seguida, crie políticas que permitam aos usuários usar apenas essas chaves. Por exemplo, não permita a permissão "kms:Decrypt" em todas as chaves KMS. Em vez disso, conceda a permissão somente nas chaves em uma região específica da conta. Ao adotar o princípio de privilégios mínimos, você pode reduzir o risco de divulgação não intencional dos dados.

Gravidade: Média

As funções Lambda devem restringir o acesso público

Descrição: a política baseada em recursos da função do Lambda deve restringir o acesso público. Essa recomendação não verifica o acesso de entidades internas. Garanta que o acesso à função seja restrito somente a entidades de segurança autorizadas usando políticas baseadas em recursos com privilégios mínimos.

Gravidade: Alta

A MFA deve estar habilitada para todos os usuários do IAM

Descrição: todos os usuários do IAM devem ter a autenticação multifator (MFA) habilitada.

Gravidade: Média

A MFA deve estar habilitada para a conta "raiz"

Descrição: A conta root é o usuário mais privilegiado em uma conta. A MFA proporciona uma camada adicional de proteção além de um nome de usuário e senha. Com a MFA habilitada, quando um usuário entrar em um site do AWS, ele será solicitado a fornecer o nome de usuário e a senha, bem como um código de autenticação do dispositivo do AWS MFA. Quando você usa MFA virtual para contas raiz, é recomendável que o dispositivo usado não seja um dispositivo pessoal. Em vez disso, use um dispositivo móvel dedicado (tablet ou telefone) que você consiga manter carregado e protegido, independentemente dos dispositivos pessoais individuais. Isso reduz os riscos de perder o acesso à MFA devido à perda de dispositivo, à troca de dispositivo ou se o indivíduo proprietário do dispositivo deixar de trabalhar para a empresa.

Gravidade: Baixa

As políticas de senha para usuários do IAM devem ter configurações fortes

Descrição: verifica se a política de senha da conta para usuários do IAM usa as seguintes configurações mínimas.

• RequireUppercaseCharacters- Requer pelo menos um caractere maiúsculo na senha. (Padrão = true)
• RequireLowercaseCharacters- Requer pelo menos um caractere minúsculo na senha. (Padrão = true)
• RequireNumbers- Requer pelo menos um número na senha. (Padrão = true)
• MinimumPasswordLength- Comprimento mínimo da senha. (Padrão = 7 ou mais)
• PasswordReusePrevention- Número de senhas antes de permitir a reutilização. (Padrão =4)
• MaxPasswordAge- Número de dias antes da expiração da senha. (Padrão = 90)

Gravidade: Média

A chave de acesso da conta raiz não deve existir

Descrição: a conta raiz é o usuário mais privilegiado em uma conta da AWS. As Chaves de Acesso do AWS fornecem acesso programático a determinada conta AWS. É recomendável que todas as chaves de acesso associadas à conta raiz sejam removidas. Remover as chaves de acesso associadas à conta raiz limita os vetores pelos quais a conta pode ser comprometida. Além disso, a remoção das chaves de acesso raiz incentiva a criação e o uso de contas baseadas em funções com privilégios mínimos.

Gravidade: Alta

A configuração Bloquear Acesso Público do S3 deve estar habilitada

Descrição: ativar a configuração Bloquear acesso público para o bucket do S3 pode ajudar a evitar vazamentos de dados confidenciais e proteger o bucket contra ações maliciosas.

Gravidade: Média

A configuração Bloquear Acesso Público do S3 deve estar habilitada no nível do bucket

Descrição: esse controle verifica se os buckets do S3 têm blocos de acesso público no nível do bucket aplicados. Esse controle falhará se qualquer uma das seguintes configurações estiver definida como false:

• ignorePublicAcls
• blockPolítica Pública
• blockPublicAcls
• restrictPublicBuckets Block Public Access no nível do bucket do S3 fornece controles para garantir que os objetos nunca tenham acesso público. O acesso público é concedido a buckets e objetos por meio de ACLs (listas de controle de acesso), políticas de bucket ou ambos. A menos que você pretenda deixar os buckets S3 acessíveis publicamente, deve configurar o recurso Bloquear Acesso Público do Amazon S3 no nível do bucket.

Gravidade: Alta

O acesso público de leitura dos buckets S3 deve ser removido

Descrição: remover o acesso de leitura público ao bucket do S3 pode ajudar a proteger seus dados e evitar uma violação de dados.

Gravidade: Alta

O acesso público de gravação dos buckets S3 deve ser removido

Descrição: permitir acesso público de gravação ao bucket do S3 pode deixá-lo vulnerável a ações maliciosas, como armazenar dados às suas custas, criptografar seus arquivos para resgate ou usar seu bucket para operar malware.

Gravidade: Alta

Os segredos do Secrets Manager devem ter a rotação automática habilitada

Descrição: esse controle verifica se um segredo armazenado no AWS Secrets Manager está configurado com rotação automática. O Secrets Manager ajuda você a melhorar a postura de segurança da organização. Os segredos incluem credenciais de banco de dados, senhas e chaves de API de terceiros. Você pode usar o Secrets Manager para armazenar segredos de forma centralizada, criptografar segredos automaticamente, controlar o acesso a segredos e girar segredos de forma segura e automática. O Secrets Manager pode girar os segredos. Você pode usar a rotação para substituir segredos de longo prazo por segredos de curto prazo. Girar os segredos limita o tempo em que um usuário não autorizado pode usar um segredo comprometido. Por esse motivo, você deve girar os segredos com frequência. Para saber mais sobre a rotação, confira Rotação dos segredos do AWS Secrets Manager no Guia do Usuário do AWS Secrets Manager.

Gravidade: Média

As instâncias interrompidas do EC2 devem ser removidas após um período especificado

Descrição: esse controle verifica se alguma instância do EC2 foi interrompida por mais do que o número permitido de dias. Uma instância do EC2 falhará nessa verificação se for interrompida por mais tempo do que o período máximo permitido, que por padrão é de 30 dias. As conclusões com falha indicam que uma instância do EC2 não foi executada por um período significativo. Isso cria um risco de segurança porque a instância do EC2 não está sendo mantida ativamente (analisada, corrigida, atualizada). Se for iniciado posteriormente, a falta de manutenção adequada pode resultar em problemas inesperados em seu ambiente da AWS. Para manter uma instância do EC2 com segurança ao longo do tempo em um estado nonrunning, inicie-a periodicamente para manutenção e depois interrompa-a após a manutenção. O ideal é que esse seja um processo automático.

Gravidade: Média

As identidades superprovisionadas da AWS devem ter apenas as permissões necessárias

Descrição: uma identidade ativa provisionada em excesso é uma identidade que tem acesso a privilégios que eles não usaram. Identidades ativas superprovisionadas, especialmente para contas não humanas que têm ações e responsabilidades definidas, podem aumentar o raio de explosão no caso de comprometimento de um usuário, chave ou recurso. Remova permissões desnecessárias e estabeleça processos de revisão para obter as permissões menos privilegiadas.

Gravidade: Média

As identidades não utilizadas em seu ambiente da AWS devem ser removidas

Descrição: identidades inativas são entidades humanas e não humanas que não realizaram nenhuma ação em nenhum recurso nos últimos 90 dias. Identidades inativas do IAM com permissões de alto risco em sua conta da AWS podem ser propensas a ataques se deixadas como estão e deixar as organizações abertas ao uso indevido ou à exploração de credenciais. Detectar e responder proativamente a identidades não utilizadas ajuda a impedir que entidades não autorizadas obtenham acesso aos seus recursos da AWS.

Gravidade: Média

Recomendações de rede da AWS

O Amazon EC2 deve ser configurado para usar os pontos de extremidade da VPC

Descrição: esse controle verifica se um endpoint de serviço para o Amazon EC2 é criado para cada VPC. O controle falhará se uma VPC não tiver um VPC endpoint criado para o serviço Amazon EC2. Para melhorar a postura de segurança da VPC, você pode configurar o Amazon EC2 para usar um ponto de extremidade da VPC de interface. Os pontos de extremidade de interface são alimentados pelo AWS PrivateLink, uma tecnologia que permite que você acesse as operações da API do Amazon EC2 de forma privada. Isso restringe todo o tráfego de rede entre a VPC e o Amazon EC2 para a rede da Amazon. Como os pontos de extremidade são suportados somente na mesma Região, não é possível criar um ponto de extremidade entre uma VPC e um serviço em uma Região diferente. Isso impede chamadas à API não intencionais do Amazon EC2 para outras regiões. Para saber mais sobre como criar pontos de extremidade de VPC para Amazon EC2, confira Amazon EC2 e pontos de extremidade da VPC de interface no Guia do Usuário do Amazon EC2 para Instâncias do Linux.

Gravidade: Média

Os serviços do Amazon ECS não devem ter endereços IP públicos atribuídos automaticamente

Descrição: um endereço IP público é um endereço IP acessível a partir da Internet. Se você iniciar as instâncias do Amazon ECS com um endereço IP público, elas ficarão acessíveis pela Internet. Os serviços do Amazon ECS não devem ser acessíveis publicamente, pois isso pode permitir acesso não intencional aos servidores de aplicativos de contêiner.

Gravidade: Alta

Os nós mestres do cluster do Amazon EMR não devem ter endereços IP públicos

Descrição: esse controle verifica se os nós mestres nos clusters do Amazon EMR têm endereços IP públicos. O controle falhará se o nó mestre tiver endereços IP públicos associados a qualquer uma das instâncias. Os endereços IP públicos são designados no campo PublicIp da configuração NetworkInterfaces para a instância. Esse controle verifica apenas os clusters do Amazon EMR que estão em um estado RUNNING ou WAITING.

Gravidade: Alta

Os clusters do Amazon Redshift devem usar o roteamento avançado da VPC

Descrição: esse controle verifica se um cluster do Amazon Redshift tem o EnhancedVpcRouting habilitado. O roteamento avançado de VPC força todo o tráfego COPY e UNLOAD entre o cluster e os repositórios de dados a passar pela VPC. Você pode usar os recursos da VPC, como grupos de segurança e listas de controle de acesso à rede, para proteger o tráfego de rede. Você também pode usar os Logs de Fluxo da VPC para monitorar o tráfego de rede.

Gravidade: Alta

O Balanceador de Carga do Aplicativo deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS

Descrição: Para impor a criptografia em trânsito, você deve usar ações de redirecionamento com Application Load Balancers para redirecionar solicitações HTTP do cliente para uma solicitação HTTPS na porta 443.

Gravidade: Média

Os balanceadores de carga do aplicativo devem ser configurados para remover os cabeçalhos HTTP

Descrição: esse controle avalia os AWS Application Load Balancers (ALB) para garantir que eles estejam configurados para descartar cabeçalhos HTTP inválidos. O controle falhará se o valor de routing.http.drop_invalid_header_fields.enabled estiver definido como false. Por padrão, os ALBs não são configurados para descartar valores de cabeçalho HTTP inválidos. Remover esses valores de cabeçalho impede ataques de dessincronização HTTP.

Gravidade: Média

Configurar funções Lambda para uma VPC

Descrição: esse controle verifica se uma função do Lambda está em uma VPC. Ele não avalia a configuração de roteamento de sub-rede da VPC para determinar a acessibilidade pública. Observe que, se Lambda@Edge for encontrado na conta, esse controle gerará conclusões com falha. Para evitar essas conclusões, você pode desabilitar esse controle.

Gravidade: Baixa

As instâncias do EC2 não devem ter um endereço IP público

Descrição: esse controle verifica se as instâncias do EC2 têm um endereço IP público. O controle falhará se o campo "publicIp" estiver presente no item de configuração da instância do EC2. Esse controle se aplica somente a endereços IPv4. Um endereço IPv4 público é um endereço IP acessível pela Internet. Se você iniciar a instância com um endereço IP público, a instância do EC2 será acessível pela Internet. Um endereço IPv4 privado é um endereço IP que não pode ser acessado pela Internet. Você pode usar endereços IPv4 privados para comunicação entre instâncias do EC2 na mesma VPC ou na rede privada conectada. Os endereços IPv6 são globalmente exclusivos e, portanto, podem ser acessíveis pela Internet. No entanto, por padrão, todas as sub-redes têm o atributo de endereçamento IPv6 definido como false. Para obter mais informações sobre o IPv6, confira Endereçamento IP na VPC no Guia do Usuário da Amazon VPC. Se você tiver um caso de uso legítimo para manter as instâncias do EC2 com endereços IP públicos, poderá suprimir as conclusões desse controle. Para obter mais informações sobre as opções de arquitetura de front-end, confira o Blog de Arquitetura do AWS ou a série This Is My Architecture.

Gravidade: Alta

As instâncias do EC2 não devem usar vários ENIs

Descrição: esse controle verifica se uma instância do EC2 usa várias interfaces de rede elástica (ENIs) ou adaptadores de malha elástica (EFAs). Esse controle passa se um único adaptador de rede for usado. O controle inclui uma lista de parâmetros opcionais para identificar os ENIs permitidos. Vários ENIs podem causar instâncias dual-homed, ou seja, instâncias que têm várias sub-redes. Isso pode adicionar complexidade de segurança de rede e introduzir caminhos de rede e acesso não intencionais.

Gravidade: Baixa

As instâncias do EC2 devem usar o IMDSv2

Descrição: esse controle verifica se a versão de metadados da instância do EC2 está configurada com o IMDSv2 (Serviço de Metadados da Instância) Versão 2. O controle passará se "HttpTokens" estiver definido como "obrigatório" para IMDSv2. O controle falhará se "HttpTokens" estiver definido como "opcional". Você usa metadados de instância para configurar ou gerenciar a instância em execução. O IMDS fornece acesso a credenciais temporárias e giradas com frequência. Essas credenciais eliminam a necessidade de codificar ou distribuir credenciais confidenciais para instâncias manual ou programaticamente. O IMDS é anexado localmente a cada instância do EC2. Ele é executado em um endereço IP 'link local' especial de 169.254.169.254. Esse endereço IP só é acessível pelo software executado na instância. A versão 2 do IMDS adiciona novas proteções para os seguintes tipos de vulnerabilidades. Essas vulnerabilidades podem ser usadas para tentar acessar o IMDS.

• Abrir firewalls de aplicativos de site
• Abrir proxies reversos
• Vulnerabilidades de falsificação de solicitação do lado do servidor (SSRF)
• Firewalls de camada 3 abertos e conversão de endereços de rede (NAT) O Security Hub recomenda que você configure suas instâncias do EC2 com o IMDSv2.

Gravidade: Alta

As sub-redes do EC2 não devem atribuir endereços IP públicos automaticamente

Descrição: esse controle verifica se a atribuição de IPs públicos em sub-redes da Amazon Virtual Private Cloud (Amazon VPC) tem "MapPublicIpOnLaunch" definido como "FALSE". O controle será aprovado se o sinalizador estiver definido como "FALSE". Todas as sub-redes têm um atributo que determina se uma interface de rede criada na sub-rede recebe um endereço IPv4 público automaticamente. As instâncias lançadas nas sub-redes que têm esse atributo habilitado têm um endereço IP público atribuído à interface de rede primária.

Gravidade: Média

Verificar se existe um alarme e filtro de métrica de log para alterações de configuração do AWS Config

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. É recomendável que um filtro métrico e um alarme sejam estabelecidos para detectar alterações nas configurações do CloudTrail. O monitoramento de alterações na configuração do AWS Config ajuda a garantir a visibilidade sustentada dos itens de configuração na conta da AWS.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para falhas de autenticação do Console de Gerenciamento do AWS

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para tentativas de autenticação de console com falha. O monitoramento de logons de console com falha pode diminuir o tempo de espera para detectar uma tentativa de força bruta de uma credencial, o que pode fornecer um indicador, como IP de origem, que pode ser usado em outra correlação de eventos.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para alterações em NACL (Listas de Controle de Acesso de Rede)

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. As NACLs são usadas como um filtro de pacotes sem estado para controlar o tráfego de entrada e saída das sub-redes em uma VPC. É recomendável que alarmes e filtros de métrica sejam estabelecidos para alterações feitas nas NACLs. O monitoramento de alterações em NACLs ajuda a garantir que os recursos e serviços da AWS não sejam expostos involuntariamente.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para alterações nos gateways de rede

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. Os gateways de rede são necessários para enviar/receber tráfego para um destino fora de uma VPC. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para alterações em gateways de rede. O monitoramento de alterações nos gateways de rede ajuda a garantir que todo o tráfego de entrada/saída atravesse a borda da VPC por meio de um caminho controlado.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para alterações de configuração do CloudTrail

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. É recomendável que um filtro métrico e um alarme sejam estabelecidos para detectar alterações nas configurações do CloudTrail.

O monitoramento de alterações na configuração do CloudTrail ajuda a garantir visibilidade sustentada das atividades realizadas na conta da AWS.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para desabilitação ou exclusão agendada de CMKs criados pelo cliente

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. É recomendável que um filtro de métrica e um alarme sejam estabelecidos para CMKs criadas pelo cliente, que mudaram de estado para exclusão desabilitada ou agendada. Os dados criptografados com chaves desabilitadas ou excluídas não estarão mais acessíveis.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para alterações na política de IAM

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. É recomendável que um filtro de métrica e um alarme sejam estabelecidos nas políticas do Identity and Access Management (IAM). O monitoramento das alterações nas políticas do IAM ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para entrada no Console de Gerenciamento sem MFA

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. É recomendável que um filtro de métrica e alarme sejam estabelecidos para logins de console que não são protegidos por autenticação multifator (MFA). O monitoramento de logins de console de fator único aumenta a visibilidade de contas que não são protegidas por MFA.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para alterações na tabela de rotas

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. As tabelas de roteamento são usadas para rotear o tráfego de rede entre sub-redes e gateways de rede. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para alterações nas tabelas de rotas. O monitoramento de alterações nas tabelas de rotas ajuda a garantir que todo o tráfego da VPC flua por um caminho esperado.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para alterações na política de bucket S3

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. É recomendável que alarmes e filtros de métrica sejam estabelecidos para alterações nas políticas de bucket S3. O monitoramento de alterações nas políticas de bucket do S3 pode reduzir o tempo para detectar e corrigir políticas permissivas em buckets confidenciais do S3.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para alterações no grupo de segurança

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. Os Grupos de Segurança são um filtro de pacotes com estado que controla o tráfego de entrada e saída em uma VPC. Recomenda-se que um filtro de métrica e um alarme sejam estabelecidos em Grupos de segurança. O monitoramento de alterações no grupo de segurança ajuda a garantir que recursos e serviços não sejam expostos involuntariamente.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para chamadas à API não autorizadas

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para chamadas de API não autorizadas. O monitoramento de chamadas de API não autorizadas ajuda a revelar erros de aplicativos e pode reduzir o tempo de detecção de atividades maliciosas.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para uso da conta 'raiz'

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para tentativas de login root.

O monitoramento de logins de contas root fornece visibilidade sobre o uso de uma conta totalmente privilegiada e uma oportunidade de reduzir o uso dela.

Gravidade: Baixa

Verificar se existe um alarme e filtro de métrica de log para alterações na VPC

Descrição: o monitoramento em tempo real das chamadas de API pode ser obtido direcionando os logs do CloudTrail para o CloudWatch Logs e estabelecendo filtros e alarmes de métrica correspondentes. É possível ter mais de uma VPC dentro de uma conta, além disso, também é possível criar uma conexão peer entre 2 VPCs, permitindo que o tráfego de rede roteie entre VPCs. Recomenda-se que um filtro métrico e um alarme sejam estabelecidos para alterações feitas nas VPCs. O monitoramento das alterações nas políticas do IAM ajuda a garantir que os controles de autenticação e autorização permaneçam intactos.

Gravidade: Baixa

Verificar se os grupos de segurança não permitem a entrada de 0.0.0.0/0 para a porta 3389

Descrição: os grupos de segurança fornecem filtragem com monitoração de estado do tráfego de rede de entrada/saída para recursos da AWS. É recomendável que nenhum grupo de segurança permita acesso irrestrito à porta 3389. Remover a conectividade sem restrições aos serviços de console remotos, como o RDP, reduz a exposição de um servidor ao risco.

Gravidade: Alta

Os bancos de dados e os clusters do RDS não devem usar uma porta padrão do mecanismo de banco de dados

Descrição: esse controle verifica se o cluster ou instância do RDS usa uma porta diferente da porta padrão do mecanismo de banco de dados. Se você usar uma porta conhecida para implantar um cluster ou uma instância do RDS, um invasor poderá adivinhar as informações sobre o cluster ou a instância. O invasor poderá usar essas informações em conjunto com outras informações para se conectar a um cluster ou uma instância do RDS ou obter informações adicionais sobre o aplicativo. Ao alterar a porta, você também deve atualizar as cadeias de conexão existentes usadas para se conectar à porta antiga. Você também deve verificar o grupo de segurança da instância do banco de dados, para ver se inclui uma regra de entrada que permita a conectividade na nova porta.

Gravidade: Baixa

As instâncias do RDS devem ser implantadas em uma VPC

Descrição: as VPCs fornecem vários controles de rede para proteger o acesso aos recursos do RDS. Esses controles incluem pontos de extremidade da VPC, ACLs de rede e grupos de segurança. Para aproveitar esses controles, recomendamos que você migre as instâncias do EC2-Classic RDS para a EC2-VPC.

Gravidade: Baixa

Os buckets S3 devem exigir solicitações para usar a Camada de Soquete Seguro

Descrição: recomendamos exigir que as solicitações usem SSL (Secure Socket Layer) em todos os buckets do Amazon S3. Os buckets S3 devem ter políticas que exijam todas as solicitações ('Action: S3:*') para aceitar somente a transmissão de dados por HTTPS na política de recursos do S3, indicada pela chave de condição 'aws:SecureTransport'.

Gravidade: Média

Os grupos de segurança não devem permitir a entrada de 0.0.0.0/0 para a porta 22

Descrição: Para reduzir a exposição do servidor, recomenda-se não permitir acesso irrestrito à porta '22'.

Gravidade: Alta

Os grupos de segurança não devem permitir o acesso irrestrito a portas com alto risco

Descrição: esse controle verifica se o tráfego de entrada irrestrito para os grupos de segurança está acessível às portas especificadas que apresentam o maior risco. Esse controle será aprovado quando nenhuma das regras em um grupo de segurança permitir o tráfego de entrada de 0.0.0.0/0 para essas portas. O acesso irrestrito (0.0.0.0/0) aumenta as oportunidades de atividades mal-intencionadas, como hacking, ataques de negação de serviço e perda de dados. Os grupos de segurança fornecem a filtragem com estado do tráfego de rede de entrada e saída para os recursos do AWS. Os grupos de segurança não devem permitir o acesso irrestrito de entrada às seguintes portas:

• 3389 (RDP)
• 20, 21 (FTP)
• 22 (SSH)
• 23 (Telnet)
• 110 (POP3)
• 143 (IMAP)
• 3306 (MySQL)
• 8080 (proxy)
• 1433, 1434 (MSSQL)
• 9200 ou 9300 (Elasticsearch)
• 5601 (Kibana)
• 25 (SMTP)
• 445 (CIFS)
• 135 (RPC)
• 4333 (AHSP)
• 5432 (PostgreSQL)
• 5500 (FCP-addr-srvr1)

Gravidade: Média

Os grupos de segurança só devem permitir o tráfego de entrada irrestrito para portas autorizadas

Descrição: esse controle verifica se os grupos de segurança que estão em uso permitem tráfego de entrada irrestrito. Como opção, a regra verifica se os números de porta estão listados no parâmetro "authorizedTcpPorts".

• Se o número da porta da regra do grupo de segurança permitir tráfego de entrada irrestrito, mas o número da porta for especificado em "authorizedTcpPorts", o controle passará. O valor padrão para "authorizedTcpPorts" é 80, 443.
• Se o número da porta da regra do grupo de segurança permitir tráfego de entrada irrestrito, mas o número da porta não for especificado no parâmetro de entrada authorizedTcpPorts, o controle falhará.
• Se o parâmetro não for usado, o controle falhará para qualquer grupo de segurança que tenha uma regra de entrada irrestrita. Os grupos de segurança fornecem a filtragem com estado do tráfego de rede de entrada e saída para o AWS. As regras do grupo de segurança devem seguir o princípio do acesso menos privilegiado. O acesso irrestrito (endereço IP com sufixo /0) aumenta a oportunidade de atividades mal-intencionadas, como hacking, ataques de negação de serviço e perda de dados. A menos que uma porta seja especificamente permitida, ela deve negar o acesso irrestrito.

Gravidade: Alta

Os EIPs não utilizados do EC2 devem ser removidos

Descrição: os endereços IP elásticos alocados a uma VPC devem ser anexados a instâncias do Amazon EC2 ou a interfaces de rede elástica (ENIs) em uso.

Gravidade: Baixa

As listas de controle de acesso à rede não utilizadas devem ser removidas

Descrição: esse controle verifica se há listas de controle de acesso à rede (ACLs) não utilizadas. O controle verifica a configuração de itens do recurso "AWS::EC2::NetworkAcl" e determina as relações da ACL de rede. Se a única relação for a VPC da ACL de rede, o controle falhará. Se outras relações forem listadas, o controle será aprovado.

Gravidade: Baixa

O grupo de segurança padrão da VPC deve restringir todo o tráfego

Descrição: O grupo de segurança deve restringir todo o tráfego para reduzir a exposição a recursos.

Gravidade: Baixa

Recomendações da IA

O AWS Bedrock deve ter o log de invocação do modelo habilitado

Descrição: com o log de chamadas, você pode coletar os dados completos da solicitação, os dados de resposta e os metadados associados a todas as chamadas realizadas em sua conta. Isso permite recriar trilhas de atividades para fins de investigação quando ocorre um incidente de segurança.

Gravidade: Baixa

Conteúdo relacionado

• Conectar sua conta da AWS ao Microsoft Defender para Nuvem
• O que são políticas, iniciativas e recomendações de segurança?
• Examine as suas recomendações de segurança