Indicador de referencia de AWS de CIS en el CSPM de Security Hub

El Indicador de referencia de AWS de Center for Internet Security (CIS) sirve como un conjunto de prácticas recomendadas de configuración de seguridad para AWS. Estas mejores prácticas aceptadas por la industria le proporcionan procedimientos de implementación y evaluación claros y paso a paso. Desde sistemas operativos hasta servicios en la nube y dispositivos de red, los controles de este punto de referencia le ayudan a proteger los sistemas específicos que utiliza su organización.

El CSPM de AWS Security Hub admite las versiones 5.0.0, 3.0.0, 1.4.0 y 1.2.0 del Indicador de referencia de AWS de CIS. Esta página enumera los controles de seguridad que admite cada versión. También ofrece una comparación entre las versiones.

Versión 5.0.0 del Indicador de referencia de AWS de CIS

El CSPM de Security Hub admite la versión 5.0.0 (v5.0.0) del Indicador de referencia de AWS de CIS. El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS:

Controles que se aplican a la versión 5.0.0 del Indicador de referencia de AWS de CIS

[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro de seguimiento de varias regiones que incluya los eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo

[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket S3 esté habilitado en el bucket S3 de CloudTrail

[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar activado

[EC2.8] Las instancias EC2 deben utilizar el servicio de metadatos de instancias versión 2 (IMDSv2)

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389

[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos

[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos

[EFS.1] Elastic File System debe configurarse para cifrar los datos del archivo en reposo con AWS KMS

[EFS.8] Los sistemas de archivos de EFS deben cifrarse en reposo

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess

[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

La rotación de claves AWS KMS [KMS.4] debe estar habilitada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, en función de la configuración PubliclyAccessible

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad

Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas

Los clústeres de bases de datos de RDS [RDS.15] deben configurarse para varias zonas de disponibilidad

[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público

[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL

[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto

[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto

Versión 3.0.0 del Indicador de referencia de AWS de CIS

El CSPM de Security Hub admite la versión 3.0.0 (v3.0.0) del Indicador de referencia de AWS de CIS. El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS:

Controles que se aplican a la versión 3.0.0 del Indicador de referencia de AWS de CIS

[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro de seguimiento de varias regiones que incluya los eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo

[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket S3 esté habilitado en el bucket S3 de CloudTrail

[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar activado

[EC2.8] Las instancias EC2 deben utilizar el servicio de metadatos de instancias versión 2 (IMDSv2)

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389

[EC2.53] Los grupos de seguridad de EC2 no deberían permitir la entrada de 0.0.0.0/0 a los puertos de administración de servidores remotos

[EC2.54] Los grupos de seguridad de EC2 no deberían permitir la entrada de ::/0 a los puertos de administración de servidores remotos

[EFS.1] Elastic File System debe configurarse para cifrar los datos del archivo en reposo con AWS KMS

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloudShellFullAccess

[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

La rotación de claves AWS KMS [KMS.4] debe estar habilitada

[RDS.2] Las instancias de base de datos de RDS deben prohibir el acceso público, en función de la configuración PubliclyAccessible

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas

[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público

[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL

[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

[S3.22] Los buckets de uso general de S3 deben registrar eventos de escritura a nivel de objeto

[S3.23] Los buckets de uso general de S3 deben registrar eventos de lectura a nivel de objeto

Versión 1.4.0 del Indicador de referencia de AWS de CIS

El CSPM de Security Hub admite la versión 1.4.0 (v1.4.0) del Indicador de referencia de AWS de CIS.

Controles que se aplican a la versión 1.4.0 del Indicador de referencia de AWS de CIS

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro de seguimiento de varias regiones que incluya los eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo

[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada

[CloudTrail.5] Las rutas de CloudTrail deben integrarse con Registros de Amazon CloudWatch

[CloudTrail.6] Asegúrese de que el bucket de S3 utilizado para almacenar los registros de CloudTrail no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket S3 esté habilitado en el bucket S3 de CloudTrail

[CloudWatch.1] Debe existir un filtro de métrica de registro y una alarma para el uso del usuario “raíz”

[CloudWatch.4] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de IAM

[CloudWatch.5] Asegúrese de que exista un filtro de métricas de registro y una alarma para los cambios de configuración de CloudTrail

[CloudWatch.6] Asegurar que haya un filtro de métricas de registro y alarma de registro para los errores de autenticación de Consola de administración de AWS

[CloudWatch.7] Asegurar que haya un filtro de métricas de registro y alarma de registro para la deshabilitación o eliminación programada de claves administradas por el cliente

[CloudWatch.8] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de bucket S3

[CloudWatch.9] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de configuración de AWS Config

[CloudWatch.10] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de grupos de seguridad

[CloudWatch.11] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios en las listas de control de acceso a la red (NACL)

[CloudWatch.12] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red

[CloudWatch.13] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios ala tabla de enrutamiento

[CloudWatch.14] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de VPC

[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.7] El cifrado predeterminado de EBS debe estar activado

[EC2.21] Las ACL de red no deben permitir la entrada desde 0.0.0.0.0/0 al puerto 22 o al puerto 3389

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

La rotación de claves AWS KMS [KMS.4] debe estar habilitada

[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo

[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público

[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL

[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público

[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA

Versión 1.2.0 del Indicador de referencia de AWS de CIS

El CSPM de Security Hub admite la versión 1.2.0 (v1.2.0) del Indicador de referencia de AWS de CIS. El CSPM de Security Hub cumple los requisitos de la certificación de software de seguridad de CIS y ha recibido dicha certificación para los siguientes indicadores de referencia de CIS:

Controles que se aplican a la versión 1.2.0 del Indicador de referencia de AWS de CIS

[CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro de seguimiento de varias regiones que incluya los eventos de administración de lectura y escritura

[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo

[CloudTrail.4] La validación de archivo de registro de CloudTrail debe estar habilitada

[CloudTrail.5] Las rutas de CloudTrail deben integrarse con Registros de Amazon CloudWatch

[CloudTrail.6] Asegúrese de que el bucket de S3 utilizado para almacenar los registros de CloudTrail no sea de acceso público

[CloudTrail.7] Asegúrese de que el registro de acceso al bucket S3 esté habilitado en el bucket S3 de CloudTrail

[CloudWatch.1] Debe existir un filtro de métrica de registro y una alarma para el uso del usuario “raíz”

[CloudWatch.2] Asegurar que haya un filtro de métricas de registro y alarma para las llamadas no autorizadas a la API

[CloudWatch.3] Asegurar que haya un filtro de métricas de registro y alarma de registro para el inicio de sesión en la Consola de administración sin MFA

[CloudWatch.4] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de política de IAM

[CloudWatch.5] Asegúrese de que exista un filtro de métricas de registro y una alarma para los cambios de configuración de CloudTrail

[CloudWatch.6] Asegurar que haya un filtro de métricas de registro y alarma de registro para los errores de autenticación de Consola de administración de AWS

[CloudWatch.7] Asegurar que haya un filtro de métricas de registro y alarma de registro para la deshabilitación o eliminación programada de claves administradas por el cliente

[CloudWatch.8] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de bucket S3

[CloudWatch.9] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de configuración de AWS Config

[CloudWatch.10] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de grupos de seguridad

[CloudWatch.11] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios en las listas de control de acceso a la red (NACL)

[CloudWatch.12] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red

[CloudWatch.13] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios ala tabla de enrutamiento

[CloudWatch.14] Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios de VPC

[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

[EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22

[EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

[IAM.9] La MFA debe estar habilitada para el usuario raíz

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support

La rotación de claves AWS KMS [KMS.4] debe estar habilitada

Comparación de versiones del Indicador de referencia de AWS de CIS

Esta sección resume las diferencias entre versiones específicas del Indicador de referencia de AWS de CIS: v5.0.0, v3.0.0, v1.4.0 y v1.2.0. AWS El CSPM de Security Hub admite cada una de estas versiones del Indicador de referencia de AWS de CIS. Sin embargo, recomendamos usar la versión 5.0.0 para mantener actualizadas las prácticas recomendadas de seguridad. Puede tener varias versiones del estándar del Indicador de referencia de AWS de CIS habilitadas al mismo tiempo. Para obtener información sobre cómo habilitar estándares, consulte Habilitación de un estándar de seguridad. Si desea actualizar a la versión 5.0.0, habilítela antes de desactivar una versión anterior. Esto evita deficiencias en las comprobaciones de seguridad. Si usa la integración del CSPM de Security Hub con AWS Organizations y desea habilitar la versión 5.0.0 de forma masiva en varias cuentas, recomendamos usar la configuración centralizada.

Asignación de los controles a los requisitos del CIS en cada versión

Comprenda qué controles admite cada versión del Indicador de referencia de AWS de CIS.

ARN para los Indicadores de referencia de AWS de CIS

Cuando habilite una o más versiones del Indicador de referencia de AWS de CIS, empezará a recibir los resultados en el Formato de resultados de seguridad de AWS (ASFF). En el ASFF, cada versión utiliza el siguiente nombre de recurso de Amazon (ARN):

Puede utilizar la operación GetEnabledStandards de la API del CSPM de Security Hub para averiguar el ARN de un estándar habilitado.

Los valores anteriores son para StandardsArn. Sin embargo, StandardsSubscriptionArn hace referencia al recurso de suscripción estándar que el CSPM de Security Hub crea cuando se suscribe a un estándar mediante una llamada a BatchEnableStandards en una región.

Los campos de resultados serán diferentes si activa los resultados de los controles consolidados. Para obtener más información sobre estas diferencias, consulte Impacto de la consolidación en los campos y valores ASFF. Para ver ejemplos de los resultados de los controles, consulte Ejemplos de resultados de controles.

Requisitos del CIS que no se admiten en el CSPM de Security Hub

Como se indica en la tabla anterior, el CSPM de Security Hub no admite todos los requisitos del CIS en todas las versiones del Indicador de referencia de AWS de CIS. Muchos de los requisitos no compatibles solo se pueden evaluar de forma manual al revisar el estado de los recursos de AWS.