Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Libros de jugadas [Esta solución incluye las correcciones básicas para los estándares de seguridad definidos como parte del [Centro de Seguridad de Internet (CIS) AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0,](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)[CIS AWS Foundations Benchmark](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)[v3.0.0, AWS Foundational Security Best Practices (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)[, Payment Card Industry Data Security Standard (PCI-DSS)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)[v3.2.1 y National Institute of Standards and Technology (NIST](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)).](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) Si tiene habilitadas las conclusiones de control consolidadas, todos los estándares admiten esos controles. Si esta función está habilitada, solo es necesario implementar el manual de estrategias de SC. De lo contrario, los manuales son compatibles con los estándares enumerados anteriormente. **importante** Utilice únicamente los manuales de estrategias para los estándares habilitados para evitar alcanzar las cuotas de servicio. Para obtener más información sobre una solución específica, consulte el documento de automatización de Systems Manager con el nombre implementado por la solución en su cuenta. Vaya a la [consola de AWS Systems Manager](https://console.aws.amazon.com/systems-manager/) y, en el panel de navegación, seleccione **Documentos**. | Description (Descripción) | AWS FSBP | CIS v1.2.0 | PCI v3.2.1 | CIS v1.4.0 | NIST | CIS v3.0.0 | ID de control de seguridad | | --- | --- | --- | --- | --- | --- | --- | --- | | **Remediaciones totales** | 63 | 34 | 29 | 33 | 65 | 19 | 90 | | **ASR- EnableAutoScalingGroup ELBHealth Check** Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar comprobaciones de estado del balanceador de cargas | Escalado automático. 1 | | Escalado auto.1 | | Escalado auto.1 | | Escalado auto.1 | | **ASR- ConfigureAutoScalingLaunchConfigToRequire IMDSv2** Las configuraciones de lanzamiento de grupos de Auto Scaling deberían configurar EC2 las instancias para que requieran la versión 2 del servicio de metadatos de instancias (IMDSv2) | | | | | Escalado automático. 3 | | Escalado automático. 3 | | **ASR- CreateCloudTrailMultiRegionTrail** CloudTrail debe activarse y configurarse con al menos un rastro multirregional | CloudTrail1. | 2.1 | CloudTrail2. | 3.1 | CloudTrail1. | 3.1 | CloudTrail1. | | **ASR- EnableEncryption** CloudTrail debería tener activado el cifrado en reposo | CloudTrail2. | 2.7 | CloudTrail1. | 3.7 | CloudTrail2. | 3.5 | CloudTrail2. | | **ASR- EnableLogFileValidation** Asegúrese de que la validación del archivo de CloudTrail registro esté activada | CloudTrail4. | 2.2 | CloudTrail3. | 3.2 | CloudTrail4. | | CloudTrail4. | | **ASR- EnableCloudTrailToCloudWatchLogging** Asegúrese de que las CloudTrail rutas estén integradas con Amazon CloudWatch Logs | CloudTrail5. | 2.4 | CloudTrail4. | 3.4 | CloudTrail5. | | CloudTrail5. | | **ASR configura 3 BucketLogging** Asegúrese de que el registro de acceso al bucket de S3 esté habilitado en el bucket de S3 CloudTrail | | 2.6 | | 3.6 | | 3.4 | CloudTrail7. | | **SAR- ReplaceCodeBuildClearTextCredentials** CodeBuild Las variables de entorno del proyecto no deben contener credenciales de texto claro | CodeBuild2. | | CodeBuild2. | | CodeBuild2. | | CodeBuild2. | | **Habilitar ASR AWSConfig** Asegúrese de que AWS Config esté activado | Config.1 | 2,5 | Config.1 | 3.5 | Config.1 | 3.3 | Config.1 | | **ASR-Make Private EBSSnapshots** Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente | EC21. | | EC21. | | EC21. | | EC21. | | **ASR-Eliminar VPCDefault SecurityGroupRules** El grupo de seguridad predeterminado de VPC debe prohibir el tráfico entrante y saliente | EC22. | 4.3 | EC22. | 5.3 | EC22. | 5.4 | EC22. | | **Registros habilitados para ASR VPCFlow** El registro de flujo de VPC debe estar habilitado en todos VPCs | EC26. | 2.9 | EC26. | 3.9 | EC26. | 3.7 | EC26. | | **SAR- EnableEbsEncryptionByDefault** El cifrado predeterminado de EBS debe estar activado | EC27. | 2.2.1 | | | EC27. | 2.2.1 | EC27. | | **SAR- RevokeUnrotatedKeys** Las claves de acceso de los usuarios deben rotarse cada 90 días o menos | IAM.3 | 1.4 | | 1.14 | IAM.3 | 1.14 | IAM.3 | | **Política ASR IAMPassword** Política de contraseñas predeterminada de IAM | IAM.7 | 1.5-1.11 | IAM.8 | 1.8 | IAM.7 | 1.8 | IAM.7 | | **Credenciales ASR- RevokeUnused IAMUser** Las credenciales de usuario deben desactivarse si no se utilizan en un plazo de 90 días | IAM.8 | 1.3 | IAM.7 | | IAM.8 | | IAM.8 | | **ASR- RevokeUnused IAMUser Credenciales** Las credenciales de usuario deben desactivarse si no se utilizan en un plazo de 45 días | | | | 1.12 | | 1.12 | IAM.22 | | **ASR- RemoveLambdaPublicAccess** Las funciones Lambda deberían prohibir el acceso público | Lambda.1 | | Lambda.1 | | Lambda.1 | | Lambda.1 | | **ASR-Make Private RDSSnapshot** Las instantáneas de RDS deberían prohibir el acceso público | RDS.1 | | RDS.1 | | RDS.1 | | RDS.1 | | **ASR- DisablePublicAccessTo RDSInstance** Las instancias de base de datos de RDS deberían prohibir el acceso público | RDS.2 | | RDS.2 | | RDS.2 | 2.3.3 | RDS.2 | | **Encriptar con ASR RDSSnapshot** Las instantáneas del clúster de RDS y las instantáneas de las bases de datos deben cifrarse en reposo | RED.4 | | | | RED.4 | | RDS.4 | | **ASR- EnableMulti AZOn RDSInstance** Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad | RDS.5 | | | | RDS.5 | | RDS.5 | | **ASR- EnableEnhancedMonitoringOn RDSInstance** Se debe configurar una supervisión mejorada para las instancias y los clústeres de bases de datos de RDS | RDS.6 | | | | RDS.6 | | RDS.6 | | **Habilitar ASR RDSCluster DeletionProtection** Los clústeres de RDS deben tener activada la protección contra la eliminación | RDS.7 | | | | RDS.7 | | RDS.7 | | **Habilitar ASR RDSInstance DeletionProtection** Las instancias de base de datos de RDS deben tener activada la protección contra la eliminación | RDS.8 | | | | RDS.8 | | RDS.8 | | **ASR- EnableMinorVersionUpgradeOn RDSDBInstance** Deben activarse las actualizaciones automáticas de las versiones secundarias de RDS | RDS.13 | | | | RDS.13 | 2.3.2 | RDS.13 | | **ASR- EnableCopyTagsToSnapshotOn RDSCluster** Los clústeres de bases de datos de RDS deben configurarse para copiar etiquetas en las instantáneas | RDS.16 | | | | RDS.16 | | RDS.16 | | **ASR- DisablePublicAccessToRedshiftCluster** Los clústeres de Amazon Redshift deberían prohibir el acceso público | Redshift.1 | | Redshift.1 | | Redshift.1 | | Redshift.1 | | **ASR- EnableAutomaticSnapshotsOnRedshiftCluster** Los clústeres de Amazon Redshift deberían tener activadas las instantáneas automáticas | Redshift.3 | | | | Redshift.3 | | Redshift.3 | | **ASR- EnableRedshiftClusterAuditLogging** Los clústeres de Amazon Redshift deberían tener activado el registro de auditoría | Redshift.4 | | | | Redshift.4 | | Redshift.4 | | **ASR- EnableAutomaticVersionUpgradeOnRedshiftCluster** Amazon Redshift debería tener activadas las actualizaciones automáticas a las versiones principales | Redshift.6 | | | | Redshift.6 | | Redshift.6 | | **ASR configura 3 PublicAccessBlock** La configuración de acceso público en bloque S3 debe estar activada | S3.1 | 2.3 | S3.6 | 2.1.5.1 | S3.1 | 2.1.4 | S3.1 | | **ASR configura 3 BucketPublicAccessBlock** Los buckets de S3 deberían prohibir el acceso de lectura público | S3.2 | | S3.2 | 2.1.5.2 | S3.2 | | S3.2 | | **ASR configura 3 BucketPublicAccessBlock** Los buckets de S3 deberían prohibir el acceso de escritura público | | S3.3 | | | | | S3.3 | | **ASR- S3 EnableDefaultEncryption** Los buckets S3 deben tener activado el cifrado del lado del servidor | S3.4 | | S3.4 | 2.1.1 | S3.4 | | S3.4 | | **SSLBucketPolítica establecida por ASR** Los buckets de S3 deberían requerir solicitudes para usar SSL | S3.5 | | S3.5 | 2.1.2 | S3.5 | 2.1.1 | S3.5 | | **ASR-S3 BlockDenylist** Los permisos de Amazon S3 concedidos a otras cuentas de AWS en las políticas de bucket deben estar restringidos. | S3.6 | | | | S3.6 | | S3.6 | | La configuración de acceso público por bloqueo de S3 debe activarse a nivel de bucket | S3.8 | | | | S3.8 | | S3.8 | | **ASR configura 3 BucketPublicAccessBlock** Asegúrese de que el bucket de S3 en el que se CloudTrail inicia sesión no sea de acceso público | | 2.3 | | | | | CloudTrail6. | | **SAR- CreateAccessLoggingBucket** Asegúrese de que el registro de acceso al bucket S3 esté activado en el bucket CloudTrail S3 | | 2.6 | | | | | CloudTrail7. | | **SAR- EnableKeyRotation** Asegúrese de que la rotación creada por el cliente CMKs esté activada | | 2.8 | KMS.1 | 3.8 | KMS.4 | 3.6 | KMS.4 | | **ASR- CreateLogMetricFilterAndAlarm** Asegurar que haya un filtro de métricas de registro y alarma para las llamadas a la API no autorizadas | | 3.1 | | 4.1 | | | Cloudwatch. 1 | | **ASR- CreateLogMetricFilterAndAlarm** Asegúrese de que existan un registro, un filtro de métricas y una alarma para el inicio de sesión en AWS Management Console sin MFA | | 3.2 | | 4.2 | | | Cloudwatch.2 | | **ASR- CreateLogMetricFilterAndAlarm** Asegúrese de que existan un filtro de métricas de registro y una alarma para su uso por parte del usuario «root» | | 3.3 | CW.1 | 4.3 | | | Cloudwatch.3 | | **ASR- CreateLogMetricFilterAndAlarm** Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de IAM | | 3.4 | | 4.4 | | | Cloudwatch. 4 | | **ASR- CreateLogMetricFilterAndAlarm** Asegúrese de que existan un registro métrico, un filtro y una alarma para los cambios CloudTrail de configuración | | 3.5 | | 4.5 | | | Cloudwatch. 5 | | **ASR- CreateLogMetricFilterAndAlarm** Asegúrese de que existan un registro, un filtro de métricas y una alarma para los errores de autenticación de AWS Management Console. | | 3.6 | | 4.6 | | | Cloudwatch. 6 | | **ASR- CreateLogMetricFilterAndAlarm** Asegúrese de que existan un registro, un filtro métrico y una alarma para deshabilitar o eliminar de forma programada los datos creados por el cliente CMKs | | 3.7 | | 4.7 | | | Cloudwatch. 7 | | **ASR- CreateLogMetricFilterAndAlarm** Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de política de bucket de S3 | | 3.8 | | 4.8 | | | Cloudwatch. 8 | | **ASR- CreateLogMetricFilterAndAlarm** Asegúrese de que existan un registro, un filtro de métricas y una alarma para los cambios de configuración de AWS Config | | 3.9 | | 4.9 | | | Cloudwatch.9 | | **ASR- CreateLogMetricFilterAndAlarm** Garantizar que haya un filtro de métricas de registro y una alarma para los cambios de grupos de seguridad | | 3.10 | | 4.10 | | | Cloudwatch. 10 | | **ASR- CreateLogMetricFilterAndAlarm** Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en las listas de control de acceso a la red (NACL) | | 3.11 | | 4.11 | | | Cloudwatch. 11 | | **ASR- CreateLogMetricFilterAndAlarm** Asegurar que haya un filtro de métricas de registro y alarma de registro para los cambios a las puertas de enlace de la red | | 3.12 | | 4.12 | | | Cloudwatch. 12 | | **ASR- CreateLogMetricFilterAndAlarm** Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la tabla de enrutamiento | | 3.13 | | 4.13 | | | Cloudwatch. 13 | | **ASR- CreateLogMetricFilterAndAlarm** Garantizar que haya un filtro de métricas de registro y una alarma para los cambios en la VPC | | 3.14 | | 4.14 | | | Cloudwatch. 14 | | **AWS- DisablePublicAccessForSecurityGroup** Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22 | | 4.1 | EC25. | | EC21.3 | | EC2.13 | | **AWS- DisablePublicAccessForSecurityGroup** Asegurar que ningún grupo de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389 | | 4.2 | | | EC21.4 | | EC2.14 | | **Configurar ASR SNSTopic ForStack** | CloudFormation1. | | | | CloudFormation1. | | CloudFormation1. | | **Crear rol de ASR IAMSupport** | | 1.20 | | 1,17 | | 1,17 | IAM.18 | | **ASR- Asignar DisablePublic IPAuto** EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas | EC21.5 | | | | EC2.15 | | EC2.15 | | **SAR- EnableCloudTrailLogFileValidation** | CloudTrail4. | 2.2 | CloudTrail3. | 3.2 | | | CloudTrail4. | | **ASR- EnableEncryptionFor SNSTopic** | SNS.1 | | | | SNS.1 | | SNS.1 | | **ASR- EnableDeliveryStatusLoggingFor SNSTopic** El registro del estado de entrega debe estar habilitado para los mensajes de notificación enviados a un tema | SNS.2 | | | | SNS.2 | | SNS.2 | | **ASR- EnableEncryptionFor SQSQueue** | SQS.1 | | | | SQS.1 | | SQS.1 | | La instantánea **RDS RDSSnapshot privada de ASR-Make** debe ser privada | RDS.1 | | RDS.1 | | | | RDS.1 | | **Bloqueo ASR SSMDocument PublicAccess** Los documentos SSM no deben ser públicos | SSM 4 | | | | SSM.4 | | SSM.4 | | **ASR- EnableCloudFrontDefaultRootObject** CloudFront las distribuciones deben tener un objeto raíz predeterminado configurado | CloudFront1. | | | | CloudFront1. | | CloudFront1. | | **ASR- SetCloudFrontOriginDomain** CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes | CloudFront1.2 | | | | CloudFront.12 | | CloudFront.12 | | **SAR- RemoveCodeBuildPrivilegedMode** CodeBuild los entornos del proyecto deben tener una configuración de AWS de registro | CodeBuild5. | | | | CodeBuild5. | | CodeBuild5. | | **Instancia ASR-Terminate EC2** EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico | EC24. | | | | EC24. | | EC24. | | **Habilitar ASR IMDSV2 OnInstance** EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias () IMDSv2 | EC28. | | | | EC2.8. | 5.6 | EC2.8. | | **SAR- RevokeUnauthorizedInboudRules** Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados | EC21.8 | | | | EC2.18 | | EC2.18 | | INSERTE AQUÍ EL TÍTULO Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo | EC2.19 | | | | EC2.19 | | EC2.19 | | **ASR desactivado TGWAuto AcceptSharedAttachments** Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de adjuntos de VPC | EC22.3 | | | | EC2.23 | | EC2.23 | | **SAR- EnablePrivateRepositoryScanning** Los repositorios privados de ECR deben tener configurado el escaneo de imágenes | ECR.1 | | | | ECR.1 | | ECR.1 | | **ASR- EnableGuardDuty** GuardDuty debería estar activado | GuardDuty1. | | GuardDuty1. | | GuardDuty1. | | GuardDuty1. | | **ASR configura 3 BucketLogging** Se debe habilitar el registro de acceso al servidor para un bucket de S3 | S3.9 | | | | S3.9 | | S3.9 | | **ASR- EnableBucketEventNotifications** Los buckets S3 deberían tener habilitadas las notificaciones de eventos | S3.11 | | | | S3.11 | | S3.11 | | **ASR Sets 3 LifecyclePolicy** Los buckets S3 deben tener configuradas las políticas de ciclo de vida | S3.13 | | | | S3.13 | | S3.13 | | **ASR- EnableAutoSecretRotation** Los secretos de Secrets Manager deberían tener habilitada la rotación automática | SecretsManager1. | | | | SecretsManager1. | | SecretsManager1. | | **ASR- RemoveUnusedSecret** Eliminación de secretos no utilizados de Secrets Manager | SecretsManager3. | | | | SecretsManager3. | | SecretsManager3. | | **ASR- UpdateSecretRotationPeriod** Los secretos de Secrets Manager deben rotarse en un número específico de días | SecretsManager4. | | | | SecretsManager4. | | SecretsManager4. | | **Habilitar ASR APIGateway CacheDataEncryption** Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo | | | | | APIGateway5. | | APIGateway5. | | **ASR- SetLogGroupRetentionDays** CloudWatch Los grupos de registros deben conservarse durante un período de tiempo específico | | | | | CloudWatch1.6 | | CloudWatch.16 | | **SAR- AttachService VPCEndpoint** Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio de Amazon. EC2 | EC2.10 | | | | EC2.10 | | EC2.10 | | **SAR- TagGuardDutyResource** GuardDuty los filtros deben estar etiquetados | | | | | | | GuardDuty2. | | **ASR- TagGuardDutyResource** GuardDuty los detectores deben estar etiquetados | | | | | | | GuardDuty4. | | **ASR-Adjuntar SSMPermissions a EC2** EC2 Las instancias de Amazon deben ser gestionadas por Systems Manager | SSM.1 | | SSM.3 | | | | SSM.1 | | **ASR- ConfigureLaunchConfigNoPublic IPDocument** EC2 Las instancias de Amazon lanzadas mediante configuraciones de lanzamiento grupal de Auto Scaling no deben tener direcciones IP públicas | | | | | Autoscaling.5 | | Autoscaling.5 | | **Habilitar ASR APIGateway ExecutionLogs** | APIGateway1. | | | | | | APIGateway1. | | **ASR- EnableMacie** Amazon Macie debe estar habilitado | Macie.1 | | | | Macie.1 | | Macie.1 | | **ASR- EnableAthenaWorkGroupLogging** Los grupos de trabajo de Athena deben tener el registro habilitado | Athena.4 | | | | | | Athena.4 | | **ASR-Enforce LAB HTTPSFor** El Equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS | ELB.1 | | ELB.1 | | ELB.1 | | ELB.1 | | **Límite ASR ECSRoot FilesystemAccess** Los contenedores ECS deben estar limitados a un acceso de solo lectura a los sistemas de archivos raíz | ECS.5 | | | | ECS.5 | | ECS.5 | | **ASR- EnableElastiCacheBackups** ElastiCache Los clústeres (Redis OSS) deben tener habilitadas las copias de seguridad automáticas | ElastiCache1. | | | | ElastiCache1. | | ElastiCache1. | | **ASR- EnableElastiCacheVersionUpgrades** ElastiCache los clústeres deben tener habilitadas las actualizaciones automáticas de las versiones secundarias | ElastiCache2. | | | | ElastiCache2. | | ElastiCache2. | | **ASR- EnableElastiCacheReplicationGroupFailover** ElastiCache los grupos de replicación deben tener habilitada la conmutación por error automática | ElastiCache3. | | | | ElastiCache3. | | ElastiCache3. | | **ASR: escalado ConfigureDynamo DBAuto** Las tablas de DynamoDB deberían escalar automáticamente la capacidad en función de la demanda | DynamoDB.1 | | | | DynamoDB.1 | | DynamoDB.1 | | **ASR: TagDynamo DBTable recurso** Las tablas de DynamoDB deben estar etiquetadas | | | | | | | DynamoDB.5 | | **ASR: EnableDynamo DBDeletion protección** Las tablas de DynamoDB deben tener la protección contra eliminación habilitada | | | | | DynamoDB.6 | | DynamoDB.6 |