Registro de cambios de los controles del CSPM de Security Hub
El siguiente registro de cambios documenta las modificaciones relevantes realizadas a los controles existentes del CSPM de AWS Security Hub. Estos cambios pueden afectar el estado general de un control y el estado de cumplimiento de sus resultados. Para obtener información sobre cómo el CSPM de Security Hub evalúa el estado de un control, consulte Evaluación del estado de cumplimiento y del estado del control. Los cambios pueden tardar algunos días, desde que se registran aquí, en reflejarse en todas las Regiones de AWS donde el control esté disponible.
Este registro realiza el seguimiento de los cambios que se han producido desde abril de 2023. Elija un control para revisar información adicional sobre él. Los cambios en el título se mantienen visibles en la descripción detallada del control durante 90 días.
| Fecha del cambio | ID y título de control | Descripción del cambio |
|---|---|---|
| 23 de octubre de 2025 | [ElastiCache.1] Los clústeres de ElastiCache (Redis OSS) deben tener habilitada la copia de seguridad automática | El CSPM de Security Hub revirtió los cambios realizados al título, la descripción y la regla de este control el 14 de octubre de 2025. |
| 22 de octubre de 2025 | [CloudFront.1] Las distribuciones de CloudFront deben tener configurado un objeto raíz predeterminado | El CSPM de Security Hub actualizó este control para que no genere resultados para las distribuciones de Amazon CloudFront que utilizan orígenes personalizados. |
| 16 de octubre de 2025 | [CloudFront.15] Las distribuciones de CloudFront deben usar la política de seguridad TLS recomendada | Este control comprueba si una distribución de Amazon CloudFront está configurada para usar una política de seguridad TLS recomendada. El CSPM de Security Hub ahora admite |
| 14 de octubre de 2025 | [ElastiCache.1] Los clústeres de ElastiCache (Redis OSS) deben tener habilitada la copia de seguridad automática | El CSPM de Security Hub modificó el título, la descripción y la regla de este control. Anteriormente, este control comprobaba los clústeres de Redis OSS y todos los grupos de replicación, con la regla elasticache-redis-cluster-automatic-backup-check. El título del control era: Los clústeres de ElastiCache (Redis OSS) deben tener las copias de seguridad automáticas habilitadas. Este control ahora comprueba también los clústeres Valkey, además de los clústeres Redis OSS y todos los grupos de replicación, con la regla elasticache-automatic-backup-check-enabled. El nuevo título y la nueva descripción reflejan que el control evalúa ambos tipos de clústeres. |
| 5 de octubre de 2025 | [Opensearch.10] Los dominios de OpenSearch deben tener instalada la última actualización de software | La regla de este control se actualizó para generar también un resultado |
| 24 de septiembre de 2025 | Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado [RedshiftServerless.7] Los espacios de nombres de Redshift sin servidor no deben usar el nombre predeterminado de base de datos |
El CSPM de Security Hub retiró estos controles y los eliminó de todos los estándares aplicables. El CSPM de Security Hub retiró estos controles debido a limitaciones inherentes de Amazon Redshift que impedían una remediación efectiva de los resultados Anteriormente, los controles se aplicaban al estándar Prácticas recomendadas de seguridad básica de AWS (FSBP), así como al estándar NIST SP 800-53 Rev. 5. El control Redshift.9 también se aplicaba al estándar administrado por el servicio de AWS Control Tower. |
| 9 de septiembre de 2025 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Este control comprueba si la configuración del tiempo de ejecución para una función de AWS Lambda coincide con los valores esperados para los tiempos de ejecución compatibles en cada lenguaje. El CSPM de Security Hub dejó de admitir |
| 13 de agosto de 2025 | [SageMaker.5] Los modelos de SageMaker deben tener habilitado el aislamiento de red | El CSPM de Security Hub modificó el título y la descripción de este control. El nuevo título y la nueva descripción reflejan con mayor precisión que el control comprueba la configuración del parámetro |
| 13 de agosto de 2025 | [EFS.6] Los destinos de montaje de EFS no deben estar asociados a subredes que asignen direcciones IP públicas en el momento del lanzamiento | El CSPM de Security Hub modificó el título y la descripción de este control. El nuevo título y la nueva descripción describen con mayor exactitud el alcance y la naturaleza de la comprobación que realiza este control. Anteriormente, el título de este control era: EFS mount targets should not be associated with a public subnet. |
| 24 de julio de 2025 | [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible | Este control comprueba si un clúster de Amazon EKS se ejecuta en una versión de Kubernetes compatible. El CSPM de Security Hub modificó el valor del parámetro de este control de |
| 23 de julio de 2025 | [EC2.173] Las solicitudes de flota de spot de EC2 con parámetros de lanzamiento deben habilitar el cifrado para los volúmenes de EBS asociados | El CSPM de Security Hub modificó el título de este control. El nuevo título refleja con mayor precisión que el control solo comprueba las solicitudes de la flota de spot de Amazon EC2 que especifican parámetros de lanzamiento. Anteriormente, el título de este control era: EC2 Spot Fleet requests should enable encryption for attached EBS volumes. |
| 30 de junio de 2025 | [IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo | El CSPM de Security Hub eliminó este control del estándar PCI DSS v4.0.1. PCI DSS v4.0.1 no exige explícitamente el uso de símbolos en las contraseñas. |
| 30 de junio de 2025 | [IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos | El CSPM de Security Hub eliminó este control del estándar NIST SP 800-171 Revisión 2. NIST SP 800-171 Revisión 2 no exige explícitamente periodos de expiración de contraseñas de 90 días o menos. |
| 30 de junio de 2025 | [RDS.16] Los clústeres de bases de datos Aurora se deben configurar para copiar las etiquetas en las instantáneas de bases de datos | El CSPM de Security Hub modificó el título de este control. El nuevo título refleja con mayor precisión que el control solo comprueba los clústeres de bases de datos Amazon Aurora. Anteriormente, el título de este control era: RDS DB clusters should be configured to copy tags to snapshots. |
| 30 de junio de 2025 | [SageMaker.8] Las instancias de cuaderno de SageMaker se deben ejecutar en plataformas con soporte | Este control comprueba si una instancia de bloc de notas de Amazon SageMaker AI está configurada para ejecutarse en una plataforma admitida, según el identificador de plataforma especificado para dicha instancia de bloc de notas. El CSPM de Security Hub dejó de admitir |
| 30 de mayo de 2025 | [IAM.10] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras | El CSPM de Security Hub eliminó este control del estándar PCI DSS v4.0.1. Este control verifica si las políticas de contraseñas de las cuentas de usuario de IAM cumplen los requisitos mínimos, incluida una longitud mínima de 7 caracteres. La versión 4.0.1 de PCI DSS ahora requiere que las contraseñas tengan un mínimo de 8 caracteres. Este control aún se aplica al estándar PCI DSS v3.2.1, el cual tiene requisitos distintos para contraseñas. Para evaluar las políticas de contraseñas de cuentas conforme a los requisitos de PCI DSS v4.0.1, puede usar el control IAM.7. Este control exige que las contraseñas tengan un mínimo de 8 caracteres. También admite valores personalizados para la longitud de las contraseñas y otros parámetros. El control IAM.7 forma parte del estándar PCI DSS v4.0.1 en el CSPM de Security Hub. |
| 8 de mayo de 2025 | [RDS.46] Las instancias de bases de datos de RDS no se deben implementar en subredes públicas con rutas hacia puertas de enlace de Internet. | El CSPM de Security Hub revirtió la publicación del control RDS.46 en todas las Regiones de AWS. Anteriormente, este control admitía el estándar de Prácticas recomendadas de seguridad básica (FSBP) de AWS. |
| 7 de abril de 2025 | [ELB.17] Los equilibradores de carga de aplicación y los equilibradores de carga de red con oyentes deben usar políticas de seguridad recomendadas | Este control comprueba si el oyente HTTPS de un equilibrador de carga de aplicación o el oyente TLS de un equilibrador de carga de red están configurados para cifrar los datos en tránsito mediante una política de seguridad recomendada. El CSPM de Security Hub ahora admite dos valores de parámetro adicionales para este control: |
| 27 de marzo de 2025 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Este control comprueba si la configuración del tiempo de ejecución para una función de AWS Lambda coincide con los valores esperados para los tiempos de ejecución compatibles en cada lenguaje. El CSPM de Security Hub ahora admite |
| 26 de marzo de 2025 | [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. Para el parámetro |
| 10 de marzo de 2025 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Este control comprueba si la configuración del tiempo de ejecución para una función de AWS Lambda coincide con los valores esperados para los tiempos de ejecución compatibles en cada lenguaje. El CSPM de Security Hub dejó de admitir |
| 7 de marzo de 2025 | Las instancias de RDS [RDS.18] deben implementarse en una VPC | El CSPM de Security Hub eliminó este control del estándar de Prácticas recomendadas de seguridad básica de AWS y de las comprobaciones automatizadas de los requisitos de NIST SP 800-53 Rev. 5. Dado que la red Amazon EC2-Classic se retiró, las instancias de Amazon Relational Database Service (Amazon RDS) ya no se pueden implementar fuera de una VPC. El control aún forma parte del estándar administrado por el servicio de AWS Control Tower. |
| 10 de enero de 2025 | [Glue.2] Los trabajos de AWS Glue deben tener el registro habilitado | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. |
| 20 de diciembre de 2024 | EC2.61 a EC2.169 | El CSPM de Security Hub revirtió la publicación de los controles EC2.61 a EC2.169. |
| 12 de diciembre de 2024 | Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos | RDS.23 comprueba si un clúster o una instancia de Amazon Relational Database Service (Amazon RDS) utiliza un puerto distinto al puerto predeterminado del motor de base de datos. Actualizamos el control para que la regla de AWS Config subyacente devuelva un resultado NOT_APPLICABLE para las instancias de RDS que forman parte de un clúster. |
| 2 de diciembre de 2024 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub ahora admite nodejs22.x como parámetro. |
| 26 de noviembre de 2024 | [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. 1.29 es ahora la versión más antigua compatible. |
| 20 de noviembre de 2024 | [Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos | El control Config.1 comprueba si AWS Config está habilitado, utiliza el rol vinculado al servicio y registra recursos para los controles habilitados. El CSPM de Security Hub aumentó la gravedad de este control de Para recibir un resultado |
| 12 de noviembre de 2024 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub ahora admite python3.13 como parámetro. |
| 11 de octubre de 2024 | Controles de ElastiCache | Se cambiaron los títulos de los controles para ElastiCache.3, ElastiCache.4, ElastiCache.5 y ElastiCache.7. Los títulos ya no mencionan Redis OSS porque los controles también se aplican a ElastiCache para Valkey. |
| 27 de septiembre de 2024 | [ELB.4] El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos | Se cambió el título del control de El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http a El equilibrador de carga de aplicación debe configurarse para eliminar los encabezados http no válidos. |
| 19 de agosto de 2024 | Cambios de título en los controles DMS.12 y ElastiCache | Se cambiaron los títulos de los controles de DMS.12 y de ElastiCache.1 hasta ElastiCache.7. Cambiamos estos títulos para reflejar un cambio de nombre en el servicio Amazon ElastiCache (Redis OSS). |
| 15 de agosto de 2024 | [Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos | El control Config.1 comprueba si AWS Config está habilitado, utiliza el rol vinculado al servicio y registra recursos para los controles habilitados. El CSPM de Security Hub agregó un parámetro personalizado para el control llamado includeConfigServiceLinkedRoleCheck. Si establece este parámetro en false, puede optar por no comprobar si AWS Config utiliza el rol vinculado al servicio. |
| 31 de julio de 2024 | [IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse | Se cambió el título del control de Los perfiles de seguridad de AWS IoT Core deben estar etiquetados a Los perfiles de seguridad de AWS IoT Device Defender deben estar etiquetados. |
| 29 de julio de 2024 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub dejó de admitir nodejs16.x como parámetro. |
| 29 de julio de 2024 | [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. La versión compatible más antigua es 1.28. |
| 25 de junio de 2024 | [Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos | Este control comprueba si AWS Config está habilitado, utiliza el rol vinculado al servicio y registra los recursos de los controles habilitados. El CSPM de Security Hub actualizó el título del control para reflejar lo que el control evalúa. |
| 14 de junio de 2024 | Los clústeres de base de datos Aurora MySQL [RDS.34] deben publicar registros de auditoría en CloudWatch Logs | Este control comprueba si un clúster de base de datos Amazon Aurora MySQL publica registros de auditoría en Registros de Amazon CloudWatch. El CSPM de Security Hub actualizó el control para que no genere resultados para los clústeres de bases de datos de Aurora sin servidor v1. |
| 11 de junio de 2024 | [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible | Este control comprueba si un clúster de Amazon Elastic Kubernetes Service (Amazon EKS) se ejecuta en una versión de Kubernetes compatible. La versión compatible más antigua es 1.27. |
| 10 de junio de 2024 | [Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos | Este control comprueba si AWS Config está activado y el registro de recursos de AWS Config está activado. Anteriormente, el control solo generaba un resultado PASSED si se configuraba el registro para todos los recursos. El CSPM de Security Hub actualizó el control para generar un resultado PASSED cuando el registro está activado para recursos que se requieren para controles habilitados. El control también se actualizó para comprobar si se utiliza el rol vinculado al servicio de AWS Config, que proporciona permisos para registrar los recursos necesarios. |
| 8 de mayo de 2024 | [S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA | Este control comprueba si el bucket con control de versiones de uso general de Amazon S3 tiene habilitada la eliminación de la autenticación multifactor (MFA). Anteriormente, el control generaba un resultado FAILED para los buckets que tenían una configuración de ciclo de vida. Sin embargo, la eliminación de la MFA con el control de versiones no se puede habilitar en un bucket que tenga una configuración de ciclo de vida. El CSPM de Security Hub actualizó el control para que no genere resultados para los buckets que tienen una configuración de ciclo de vida. La descripción del control se actualizó para reflejar el comportamiento actual. |
| 2 de mayo de 2024 | [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible | El CSPM de Security Hub actualizó la versión más antigua compatible de Kubernetes en la que un clúster de Amazon EKS se puede ejecutar para producir un resultado aprobado. La versión compatible más antigua actual es Kubernetes 1.26. |
| 30 de abril de 2024 | [CloudTrail.3] Al menos un registro de seguimiento de CloudTrail debe habilitarse | Se cambió el título del control de CloudTrail debe estar habilitado a Al menos un registro de seguimiento de CloudTrail debe estar habilitado. Actualmente, este control genera un resultado PASSED si la Cuenta de AWS tiene al menos una ruta de CloudTrail habilitada. El título y la descripción se modificaron para reflejar con precisión el comportamiento actual. |
| 29 de abril de 2024 | [AutoScaling.1] Los grupos de escalado automático asociados con un equilibrador de carga deben usar comprobaciones de estado de ELB | Se cambió el título del control de Los grupos de escalado automático asociados a un equilibrador de carga clásico deben usar las comprobaciones de estado a Los grupos de escalado automático asociados a un equilibrador de carga deben usar comprobaciones de estado de ELB. Actualmente, este control evalúa los equilibradores de carga clásicos, de red, de puerta de enlace y de aplicaciones. El título y la descripción se modificaron para reflejar con precisión el comportamiento actual. |
| 19 de abril de 2024 | [CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro de seguimiento de varias regiones que incluya los eventos de administración de lectura y escritura | El control comprueba si AWS CloudTrail está habilitado y configurado con al menos un registro de seguimiento para varias regiones que incluya eventos de administración de lectura y escritura. Anteriormente, el control generaba resultados PASSED de forma incorrecta cuando una cuenta tenía CloudTrail habilitado y configurado con al menos un registro de seguimiento de varias regiones, incluso si ningún registro capturaba los eventos de administración de lectura y escritura. El control ahora genera un resultado PASSED solo cuando CloudTrail está habilitado y configurado con al menos un registro de seguimiento de varias regiones que captura los eventos de administración de lectura y escritura. |
| 10 de abril de 2024 | [Athena.1] Los grupos de trabajo de Athena deben estar cifrados en reposo | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Los grupos de trabajo de Athena envían registros a buckets de Amazon Simple Storage Service (Amazon S3). Amazon S3 ahora proporciona cifrado predeterminado con claves administradas por S3 (SS3-S3) en buckets S3 nuevos y existentes. |
| 10 de abril de 2024 | [AutoScaling.4] La configuración deL inicio de grupo de escalado automático no debe tener un límite de saltos de respuesta de metadatos superior a 1 | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Los límites de saltos de respuesta de metadatos para instancias de Amazon Elastic Compute Cloud (Amazon EC2) dependen de las cargas de trabajo. |
| 10 de abril de 2024 | [CloudFormation.1] Las pilas de CloudFormation deben integrarse con Simple Notification Service (SNS) | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Integrar pilas de AWS CloudFormation con temas de Amazon SNS ya no es una práctica de seguridad recomendada. Si bien la integración de pilas importantes de CloudFormation con temas de SNS puede resultar útil, no es necesaria para todas las pilas. |
| 10 de abril de 2024 | [CodeBuild.5] Los entornos de proyectos de CodeBuild no deberían tener habilitado el modo privilegiado | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Habilitar el modo privilegiado en un proyecto de CodeBuild no supone un riesgo adicional para el entorno del cliente. |
| 10 de abril de 2024 | [IAM.20] Evitar el uso del usuario raíz | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. El propósito de este control está cubierto por otro control, [CloudWatch.1] Debe existir un filtro de métrica de registro y una alarma para el uso del usuario “raíz”. |
| 10 de abril de 2024 | [SNS.2] Debe habilitarse el registro del estado de la entrega para los mensajes de notificación enviados a un tema | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Registrar el estado de entrega de los temas de SNS ya no es una práctica de seguridad recomendada. Aunque registrar el estado de entrega de los temas importantes del SNS puede resultar útil, no es obligatorio para todos los temas. |
| 10 de abril de 2024 | [S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida | El CSPM de Security Hub eliminó este control de las Prácticas recomendadas de seguridad básica de AWS y del estándar administrado por el servicio: AWS Control Tower. El propósito de este control está cubierto por otros dos controles: [S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida y [S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones. Este control sigue siendo parte del NIST SP 800-53 Rev. 5. |
| 10 de abril de 2024 | [S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos | El CSPM de Security Hub eliminó este control de las Prácticas recomendadas de seguridad básica de AWS y del estándar administrado por el servicio: AWS Control Tower. Si bien hay algunos casos en los que las notificaciones de eventos para los buckets de S3 son útiles, no se trata de una práctica de seguridad universal recomendada. Este control sigue siendo parte del NIST SP 800-53 Rev. 5. |
| 10 de abril de 2024 | Los temas de SNS [SNS.1] deben cifrarse en reposo mediante AWS KMS | El CSPM de Security Hub eliminó este control de las Prácticas recomendadas de seguridad básica de AWS y del estándar administrado por el servicio: AWS Control Tower. De forma predeterminada, SNS cifra los temas en reposo mediante el cifrado de disco. Para más información, consulte Cifrado de datos. El uso de AWS KMS para cifrar temas ya no se recomienda como práctica recomendada de seguridad. Este control sigue siendo parte del NIST SP 800-53 Rev. 5. |
| 8 de abril de 2024 | [ELB.6] La protección contra la eliminación de un equilibrador de carga de aplicación, de puerta de enlace y de red debe estar habilitada | Se cambió el título del control de El equilibrador de carga de aplicación debe tener habilitada la protección contra eliminaciones a Los equilibradores de carga de red, de las aplicaciones y de la puerta de enlace deben tener habilitada la protección contra eliminaciones. Actualmente, este control evalúa los equilibradores de carga de red, puertas de enlace y aplicaciones. El título y la descripción se modificaron para reflejar con precisión el comportamiento actual. |
| 22 de marzo de 2024 | [Opensearch.8] Las conexiones a los dominios de OpenSearch deben cifrarse mediante la política de seguridad TLS más reciente | Se cambió el título del control de Las conexiones a dominios de OpenSearch deben estar cifradas a través de TLS 1.2 a Las conexiones a los dominios de OpenSearch deben estar cifradas a través política de seguridad de TLS. Anteriormente, el control solo comprobaba si las conexiones a los dominios de OpenSearch utilizaban TLS 1.2. Ahora, el control genera un resultado PASSED si los dominios de OpenSearch están cifrados a través de la última política de seguridad de TLS. El título y la descripción del control se actualizaron para reflejar el comportamiento actual. |
| 22 de marzo de 2024 | [ES.8] Las conexiones a dominios de Elasticsearch deben estar cifradas conforme a la política de seguridad TLS más reciente | Se cambió el título del control de Las conexiones a dominios de Elasticsearch deben estar cifradas a través de TLS 1.2 a Las conexiones a los dominios de Elasticsearch deben estar cifrados a través de la última política de seguridad de TLS. Anteriormente, el control solo comprobaba si las conexiones a los dominios de Elasticsearch utilizaban TLS 1.2. El control ahora genera un resultado PASSED si los dominios de Elasticsearch están cifrados a través de la última política de seguridad de TLS. El título y la descripción del control se actualizaron para reflejar el comportamiento actual. |
| 12 de marzo de 2024 | [S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público | El título cambió de La configuración del bloqueo de acceso público de S3 debe estar habilitada a Los buckets de uso general de S3 deben tener el bloqueo de acceso público habilitado. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura | Se cambió el título de Los buckets de S3 deben prohibir el acceso de lectura público a Los buckets de uso general de S3 deben bloquear el acceso de lectura público. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura | Se cambió el título de Los buckets de S3 deben prohibir el acceso de escritura público a Los buckets de uso general de S3 deben bloquear el acceso de escritura público. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL | Se cambió el título de Los buckets de S3 deben requerir solicitudes para usar Secure Socket Layer a Los buckets de uso general de S3 deben requerir solicitudes para usar SSL. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.6] Las políticas de buckets de uso general de S3 deben restringir el acceso a otras Cuentas de AWS | Se cambió el título de Los permisos de S3 concedidos a otras Cuentas de AWS en las políticas de bucket deben restringirse a Las políticas de bucket de uso general de S3 deben restringir el acceso a otras Cuentas de AWS. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones | Se cambió el título de Los buckets de S3 deben tener la replicación entre regiones habilitada a Los buckets de uso general de S3 deben usar la replicación entre regiones. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones | Se cambió el título de Los buckets de S3 deben tener la replicación entre regiones habilitada a Los buckets de uso general de S3 deben usar la replicación entre regiones. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.8] Los buckets de uso general de S3 deben bloquear el acceso público | Se cambió el título de La configuración de acceso público al bloque S3 debe estar habilitada en el nivel de bucket a Los buckets de uso general de S3 deben bloquear el acceso público. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor | Se cambió el título de Se debe habilitar el registro de acceso al bucket de S3 a Se debe habilitar el registro de acceso al servidor para los buckets de uso general de S3. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.10] Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida | Se cambió el título de Los buckets de S3 con el control de versiones habilitado deben tener configuradas las políticas de ciclo de vida a Los buckets de uso general de S3 con el control de versiones habilitado deben tener configuraciones de ciclo de vida. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos | Se cambió el título de Los buckets de S3 deben tener las notificaciones de eventos habilitadas a Los buckets de uso general de S3 deben tener las notificaciones de eventos habilitadas. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.12] Las ACL no deben utilizarse para administrar el acceso de los usuarios a los buckets de uso general de S3 | Se cambió el título de Las listas de control de acceso (ACL) de S3 no se deben utilizar para administrar el acceso de los usuarios a los buckets a Las ACL no se deben usar para administrar el acceso de los usuarios a los buckets de uso general de S3. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida | Se cambió el título de Los buckets de S3 deben tener configuradas las políticas de ciclo de vida a Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones | Se cambió el título de Los buckets de S3 deben utilizar el control de versiones a Los buckets de uso general de S3 deben tener el control de versiones habilitado. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos | Se cambió el título de Los buckets de S3 deben configurarse para usar el Bloqueo de objetos a Los buckets de uso general de S3 deben tener Bloqueo de objetos habilitado. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 12 de marzo de 2024 | [S3.17] Los buckets de uso general de S3 deben cifrarse en reposo con AWS KMS keys | Se cambió el título de Los buckets de S3 deben estar cifrados en reposo a través de AWS KMS keys a Los buckets de uso general de S3 deben estar cifrados en reposo a través de AWS KMS keys. El CSPM de Security Hub cambió el título para considerar un nuevo tipo de bucket de S3. |
| 7 de marzo de 2024 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub admite ahora nodejs20.x y ruby3.3 como parámetros. |
| 22 de febrero de 2024 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub ahora admite dotnet8 como parámetro. |
| 5 de febrero de 2024 | [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible | El CSPM de Security Hub actualizó la versión más antigua compatible de Kubernetes en la que un clúster de Amazon EKS se puede ejecutar para producir un resultado aprobado. La versión compatible más antigua actual es Kubernetes 1.25. |
| 10 de enero de 2024 | [CodeBuild.1] Las URL del repositorio de origen de Bitbucket de CodeBuild no deben contener credenciales confidenciales | Se cambió el título de Las URL del repositorio de origen de GitHub o Bitbucket de CodeBuild deben usar OAuth a Las URL del repositorio de origen de Bitbucket de CodeBuild no deben contener credenciales confidenciales. El CSPM de Security Hub eliminó la mención de OAuth porque otros métodos de conexión también pueden ser seguros. El CSPM de Security Hub eliminó la mención a GitHub porque ya no es posible tener un token de acceso personal o un nombre de usuario y una contraseña en las URL del repositorio de origen de GitHub. |
| 8 de enero de 2024 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub ya no admite go1.x ni java8 como parámetros porque se trata de tiempos de ejecución retirados. |
| 29 de diciembre de 2023 | Las instancias de base de datos de RDS [RDS.8] deben tener habilitada la protección contra la eliminación | RDS.8 comprueba si una instancia de base de datos de Amazon RDS que utiliza uno de los motores de bases de datos compatibles tiene habilitada la protección contra eliminaciones. El CSPM de Security Hub admite ahora custom-oracle-ee, oracle-ee-cdb y oracle-se2-cdb como motores de bases de datos. |
| 22 de diciembre de 2023 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub admite ahora java21 y python3.12 como parámetros. El CSPM de Security Hub dejó de admitir ruby2.7 como parámetro. |
| 15 de diciembre de 2023 | [CloudFront.1] Las distribuciones de CloudFront deben tener configurado un objeto raíz predeterminado | CloudFront.1 comprueba si una distribución de Amazon CloudFront tiene configurado un objeto raíz predeterminado. El CSPM de Security Hub redujo la gravedad de este control de CRÍTICA a ALTA porque agregar el objeto raíz predeterminado es una recomendación que depende de la aplicación del usuario y de sus requisitos específicos. |
| 5 de diciembre de 2023 | [EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22 | Se ha cambiado el título del control de Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 al puerto 22 a Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22. |
| 5 de diciembre de 2023 | [EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389 | Se ha cambiado el título del control de Asegúrese de que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389 a Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389. |
| 5 de diciembre de 2023 | [RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Registros de CloudWatch | Se ha cambiado el título de control de El registro de la base de datos debe estar habilitado a Las instancias de base de datos de RDS deben publicar los registros en Registros de CloudWatch. El CSPM de Security Hub ha identificado que este control solo comprueba si los registros se publican en Registros de Amazon CloudWatch y no comprueba si los registros de RDS están habilitados. El control genera un resultado PASSED si las instancias de base de datos de RDS se han configurado para que publiquen registros en Registros de CloudWatch. El título del control se ha actualizado para reflejar el comportamiento actual. |
| 5 de diciembre de 2023 | [EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría | Este control comprueba si los clústeres de Amazon EKS tienen habilitado el registro de auditoría. La regla de AWS Config que el CSPM de Security Hub utiliza para evaluar este control cambió de eks-cluster-logging-enabled a eks-cluster-log-enabled. |
| 17 de noviembre de 2023 | [EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo | EC2.19 comprueba si el tráfico ilimitado entrante de un grupo de seguridad es accesible para los puertos especificados que se consideran de mayor riesgo. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”. |
| 16 de noviembre de 2023 | [CloudWatch.15] Las alarmas de CloudWatch deben tener configuradas acciones específicas | Se ha cambiado el título de control de Las alarmas de CloudWatch deben tener una acción configurada para el estado ALARMA a Las alarmas de CloudWatch deben tener configuradas acciones específicas. |
| 16 de noviembre de 2023 | [CloudWatch.16] Los grupos de registros de CloudWatch deben retenerse durante un periodo específico | Se ha cambiado el título de control de Los grupos de registros de CloudWatch se deben retener durante al menos 1 año a Los grupos de registros de CloudWatch deben retenerse durante un periodo específico. |
| 16 de noviembre de 2023 | [Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad | Se ha cambiado el título de control de Las funciones de Lambda de la VPC deben funcionar en más de una zona de disponibilidad a Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad. |
| 16 de noviembre de 2023 | [AppSync.2] AWS AppSync debe tener habilitado el registro a nivel de campo | Se ha cambiado el título de control de AWS AppSync debe tener activado el registro a nivel de solicitud y a nivel de campo a AWS AppSync debe tener habilitado el registro a nivel de campo. |
| 16 de noviembre de 2023 | [EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas | Se ha cambiado el título de control de Los nodos maestros del clúster de Amazon Elastic MapReduce no deben tener direcciones IP públicas a Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas. |
| 16 de noviembre de 2023 | [Opensearch.2] Los dominios de OpenSearch no deben ser de acceso público | Se ha cambiado el título de control de Los dominios de OpenSearch deben estar en una VPC a Los dominios de OpenSearch no deben ser de acceso público. |
| 16 de noviembre de 2023 | [ES.2] Los dominios de Elasticsearch no deben ser de acceso público | Se ha cambiado el título de control de Los dominios de Elasticsearch deben estar en una VPC a Los dominios de Elasticsearch no deben ser de acceso público. |
| 31 de octubre de 2023 | [ES.4] Debe estar habilitado el registro de errores del dominio de Elasticsearch en CloudWatch Logs | ES.4 comprueba si los dominios de Elasticsearch están configurados para enviar registros de errores a los Registros de Amazon CloudWatch. Anteriormente, el control produjo un resultado PASSED para un dominio de Elasticsearch que contiene algún registro configurado para realizar envíos a CloudWatch Logs. El CSPM de Security Hub actualizó el control para producir un resultado PASSED únicamente para un dominio de ElasticSearch configurado para enviar registros de errores a Registros de CloudWatch. El control también se actualizó para excluir de la evaluación versiones de Elasticsearch que no admiten registros de errores. |
| 16 de octubre de 2023 | [EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22 | EC2.13 comprueba si los grupos de seguridad permiten el acceso de entrada sin restricciones al puerto 22. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”. |
| 16 de octubre de 2023 | [EC2.14] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 3389 | EC2.14 comprueba si los grupos de seguridad permiten el acceso de entrada sin restricciones al puerto 3389. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”. |
| 16 de octubre de 2023 | [EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados | EC2.18 comprueba si los grupos de seguridad que se están utilizando permiten el acceso de tráfico ilimitado entrante. El CSPM de Security Hub actualizó este control para tener en cuenta las listas de prefijos administradas cuando se suministran como origen en una regla de grupo de seguridad. El control genera un resultado FAILED si las listas de prefijos contienen las cadenas “0.0.0.0/0” o “::/0”. |
| 16 de octubre de 2023 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub ahora admite python3.11 como parámetro. |
| 4 de octubre de 2023 | [S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones | El CSPM de Security Hub agregó el parámetro ReplicationType con un valor CROSS-REGION para garantizar que los buckets de S3 tengan habilitada la replicación entre regiones en lugar de la replicación en la misma región. |
| 27 de septiembre de 2023 | [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible | El CSPM de Security Hub actualizó la versión más antigua compatible de Kubernetes en la que un clúster de Amazon EKS se puede ejecutar para producir un resultado aprobado. La versión compatible más antigua actual es Kubernetes 1.24. |
| 20 de septiembre de 2023 | [CloudFront.2] Las distribuciones de CloudFront deben tener habilitada la identidad de acceso de origen | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. En su lugar, consulte [CloudFront.13] Las distribuciones de CloudFront deben usar el control de acceso de origen. El control de acceso de Origin es la mejor práctica de seguridad actual. Este control se eliminará de la documentación en 90 días. |
| 20 de septiembre de 2023 | [EC2.22] Los grupos de seguridad de Amazon EC2 que no se utilicen deben eliminarse | El CSPM de Security Hub retiró este control de Prácticas recomendadas de seguridad básica de AWS (FSBP) y de National Institute of Standards and Technology (NIST) SP 800-53 Revisión 5. Sigue siendo parte del estándar administrado por servicios: AWS Control Tower. Este control de produce un resultado aprobado si los grupos de seguridad están conectados a instancias EC2 o a una interfaz de red elástica. Sin embargo, en algunos casos de uso, los grupos de seguridad independientes no representan un riesgo para la seguridad. Puede usar otros controles de EC2, como EC2.2, EC2.13, EC2.14, EC2.18 y EC2.19, para supervisar sus grupos de seguridad. |
| 20 de septiembre de 2023 | [EC2.29] Las instancias EC2 deben lanzarse en una VPC | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Amazon EC2 ha migrado las instancias EC2-Classic a una VPC. Este control se eliminará de la documentación en 90 días. |
| 20 de septiembre de 2023 | [S3.4] Los buckets de S3 deben tener habilitado el cifrado del servidor | El CSPM de Security Hub retiró este control y lo eliminó de todos los estándares. Amazon S3 ahora proporciona cifrado predeterminado con claves administradas por S3 (SS3-S3) en buckets S3 nuevos y existentes. La configuración de cifrado no cambia para los buckets existentes cifrados con SS3-S3 o SS3-KMS del lado del servidor. Este control se eliminará de la documentación en 90 días. |
| 14 de septiembre de 2023 | [EC2.2] Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente | Se cambió el título de control de El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente a Los grupos de seguridad predeterminados de VPC no deben permitir el tráfico entrante ni saliente. |
| 14 de septiembre de 2023 | [IAM.9] La MFA debe estar habilitada para el usuario raíz | Se cambió el título de control de La MFA virtual debe estar habilitada para el usuario raíz a La MFA debe estar habilitada para el usuario raíz. |
|
14 de septiembre de 2023 |
Las suscripciones de notificación de eventos de RDS [RDS.19] existentes deben configurarse para los eventos de clúster críticos | Se cambió el título de control de Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos de clúster críticos a Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos de clúster críticos. |
| 14 de septiembre de 2023 | Las suscripciones de notificación de eventos de RDS [RDS.20] existentes deben configurarse para eventos críticos de instancias de bases de datos | Se cambió el título de control de Se debe configurar una suscripción a las notificaciones de eventos de RDS para los eventos críticos de instancias de bases de datos a Las suscripciones de notificación de eventos de RDS existentes deben configurarse para los eventos críticos de instancias de bases de datos. |
| 14 de septiembre de 2023 | Las reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condición | Se cambió el título de control de Una regla regional de WAF debe tener al menos una condición a Las reglas regionales de AWS WAF Classic deben tener al menos una condición. |
| 14 de septiembre de 2023 | Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla | Se cambió el título de control de Un grupo de reglas regionales de WAF debe tener al menos una regla a Los grupos de reglas regionales de AWS WAF Classic deben tener al menos una regla. |
| 14 de septiembre de 2023 | Las ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglas | Se cambió el título de control de Una ACL web regional de WAF debe tener al menos una regla o grupo de reglas a Las ACL web regionales de AWS WAF Classic deben tener al menos una regla o grupo de reglas. |
| 14 de septiembre de 2023 | Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición | Se cambió el título de control de Una regla global de WAF debe tener al menos una condición a Las reglas globales de AWS WAF Classic deben tener al menos una condición. |
| 14 de septiembre de 2023 | Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla | Se cambió el título de control de Un grupo de reglas globales de WAF debe tener al menos una regla a Los grupos de reglas globales de AWS WAF Classic deben tener al menos una regla. |
| 14 de septiembre de 2023 | Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas | Se cambió el título de control de Una ACL web global de WAF debe tener al menos una regla o grupo de reglas a Las ACL web globales de AWS WAF Classic deben tener al menos una regla o grupo de reglas. |
| 14 de septiembre de 2023 | Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas | Se cambió el título de control de Una ACL web de WAFv2 debe tener al menos una regla o grupo de reglas a Las ACL de AWS WAF deben tener al menos una regla o grupo de reglas. |
| 14 de septiembre de 2023 | El registro de ACL web de AWS WAF [WAF.11] debe estar habilitado | Se cambió el título de control de El registro de la ACL web de AWS WAFv2 debe estar activado a El registro de la ACL web de AWS WAF debe estar habilitado. |
|
20 de julio de 2023 |
[S3.4] Los buckets de S3 deben tener habilitado el cifrado del servidor | S3.4 comprueba si el bucket de Amazon S3 tiene habilitado el cifrado del lado del servidor o que la política de bucket de S3 deniega explícitamente las solicitudes PutObject sin cifrado del lado del servidor. El CSPM de Security Hub actualizó este control para incluir el cifrado de doble capa del lado del servidor con claves de KMS (DSSE-KMS). El control genera un resultado aprobado cuando un bucket de S3 está cifrado con SSE-S3, SSE-KMS o DSSE-KMS. |
| 17 de julio de 2023 | [S3.17] Los buckets de uso general de S3 deben cifrarse en reposo con AWS KMS keys | S3.17 comprueba si un bucket de Amazon S3 está cifrado con un AWS KMS key. El CSPM de Security Hub actualizó este control para incluir el cifrado de doble capa del lado del servidor con claves de KMS (DSSE-KMS). El control genera un resultado aprobado cuando un bucket de S3 está cifrado con SSE-KMS o DSSE-KMS. |
| 9 de junio de 2023 | [EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible | EKS.2 comprueba si un clúster de Amazon EKS se está ejecutando en una versión compatible de Kubernetes. La versión compatible más antigua es ahora 1.23. |
| 9 de junio de 2023 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub ahora admite ruby3.2 como parámetro. |
| 5 de junio de 2023 | [APIGateway.5] Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo | APIGateway.5 comprueba si todos los métodos de las etapas de la API de REST de Amazon API Gateway están cifradas en reposo. El CSPM de Security Hub actualizó el control para evaluar el cifrado de un método específico únicamente cuando el almacenamiento en caché está habilitado para ese método. |
| 18 de mayo de 2023 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub ahora admite java17 como parámetro. |
| 18 de mayo de 2023 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub dejó de admitir nodejs12.x como parámetro. |
| 23 de abril de 2023 | [ECS.10] Los servicios Fargate de ECS deberían ejecutarse en la última versión de la plataforma Fargate | ECS.10 comprueba si los servicios Fargate de Amazon ECS ejecutan la versión de la plataforma Fargate más reciente. Los clientes pueden implementar Amazon ECS a través de ECS directamente o mediante CodeDeploy. El CSPM de Security Hub actualizó este control para generar resultados aprobados al usar CodeDeploy para implementar los servicios Fargate de ECS. |
| 20 de abril de 2023 | [S3.6] Las políticas de buckets de uso general de S3 deben restringir el acceso a otras Cuentas de AWS | S3.6 comprueba si la política del bucket de Amazon Simple Storage Service (Amazon S3) impide que las entidades principales de otras Cuentas de AWS realicen acciones denegadas en los recursos del bucket S3. El CSPM de Security Hub actualizó el control para tener en cuenta los condicionales de una política de bucket. |
| 18 de abril de 2023 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub ahora admite python3.10 como parámetro. |
| 18 de abril de 2023 | [Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos | Lambda.2 control comprueba si la configuración de la función de AWS Lambda para los tiempos de ejecución coincide con los valores esperados establecidos para los tiempos de ejecución admitidos en cada lenguaje. El CSPM de Security Hub dejó de admitir dotnetcore3.1 como parámetro. |
| 17 de abril de 2023 | Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas | RDS.11 comprueba si las instancias de Amazon RDS tienen habilitadas las copias de seguridad automáticas, con un periodo de retención de las copias de seguridad superior o igual a siete días. El CSPM de Security Hub actualizó este control para excluir las réplicas de lectura de la evaluación, ya que no todos los motores admiten copias de seguridad automatizadas en las réplicas de lectura. Además, RDS no ofrece la opción de especificar un periodo de retención de las copias de seguridad al crear réplicas de lectura. Las réplicas de lectura se crean con un periodo de retención predeterminado de la copia de seguridad de 0. |
