Seguridad

Descripción

Comprueba si el período de retención del grupo de CloudWatch registros de Amazon está establecido en 365 días o en otro número especificado.

De forma predeterminada, los registros se conservan de forma indefinida y no caducan nunca. Sin embargo, puede ajustar la política de retención de cada grupo de registro para cumplir con las normativas del sector o los requisitos legales durante un periodo específico.

Puede especificar el tiempo mínimo de retención y los nombres de los grupos de registros mediante los parámetros LogGroupNombres y MinRetentionTiempo de sus AWS Config reglas.

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer. Actualmente, no puede excluir recursos de esta verificación.

ID de la verificación

c18d2gz186

Origen

AWS Config Managed Rule: cw-loggroup-retention-period-check

Criterios de alerta

Amarillo: el período de retención de un grupo de CloudWatch registros de Amazon es inferior al número mínimo de días deseado.

Acción recomendada

Configura un período de retención de más de 365 días para los datos de registro almacenados en Amazon CloudWatch Logs a fin de cumplir con los requisitos de conformidad.

Para obtener más información, consulte Cambiar la retención de datos de registro en CloudWatch los registros.

Recursos adicionales

Alterar la retención de CloudWatch registros

Columnas de informes

Status
Región
Recurso
AWS Config Regla
Parámetros de entrada
Hora de la última actualización

Descripción

Verifica las versiones de SQL Server en las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en ejecución durante las últimas 24 horas. Esta verificación le avisa si a las versiones les queda poco tiempo de soporte o si dicho soporte ya se ha vencido. Cada versión de SQL Server ofrece 10 años de soporte, que incluyen 5 años de soporte general y 5 años de asistencia ampliada. Una vez que se vence el plazo de soporte, la versión de SQL Server no recibirá actualizaciones de seguridad periódicas. La ejecución de aplicaciones con versiones de SQL Server no compatibles puede suponer riesgos de seguridad o conformidad.

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer. Actualmente, no puede excluir recursos de esta verificación.

ID de la verificación

Qsdfp3A4L3

Criterios de alerta

Rojo: una instancia de EC2 tiene una versión de SQL Server que ha llegado al fin del soporte.
Amarillo: una instancia de EC2 tiene una versión de SQL Server que llegará al fin del soporte en 12 meses.

Acción recomendada

Para modernizar las cargas de trabajo de SQL Server, considere refactorizar a bases de datos nativas de Nube de AWS como Amazon Aurora. Para obtener más información, consulte Modernizar las cargas de trabajo de Windows con. AWS

Para pasar a una base de datos completamente administrada, considere redefinir la plataforma a Amazon Relational Database Service (Amazon RDS). Para obtener más información, consulte Amazon RDS para SQL Server.

Para actualizar SQL Server en Amazon EC2, considere utilizar el runbook de automatización a fin de simplificar la actualización. Para obtener más información, consulte la Documentación de AWS Systems Manager.

Si no puede actualizar SQL Server en Amazon EC2, considere el Programa de migración de la finalización del soporte (EMP) para Windows Server. Para obtener más información, consulte el sitio web de EMP.

Recursos adicionales

Columnas de informes

Status
Región
ID de instancia
Versión de SQL Server
Ciclo de soporte
Fin del soporte
Hora de la última actualización

Descripción

Esta verificación le avisa si a las versiones les queda poco tiempo de soporte o si dicho soporte ya se ha vencido. Cada versión de Windows Server ofrece 10 años de soporte. Esto incluye 5 años de soporte general y 5 años de soporte ampliado. Una vez que se llega al final de la compatibilidad, la versión de Windows Server no recibirá actualizaciones de seguridad periódicas. Si ejecuta aplicaciones con versiones de Windows Server no compatibles, pone en riesgo la seguridad o la conformidad de estas aplicaciones.

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer. Actualmente, no puede excluir recursos de esta verificación.

ID de la verificación

Qsdfp3A4L4

Criterios de alerta

Rojo: una instancia de EC2 tiene una versión de Windows Server que ha llegado al final de la compatibilidad (Windows Server 2003, 2003 R2, 2008 y 2008 R2).
Amarillo: una instancia de EC2 tiene una versión de Windows Server que llegará al final de la compatibilidad en menos de 18 meses (Windows Server 2012 y 2012 R2).

Acción recomendada

Para modernizar sus cargas de trabajo de Windows Server, considere las distintas opciones disponibles en Modernize Windows Workloads con. AWS

Para actualizar las cargas de trabajo de Windows Server para que se ejecuten en versiones más recientes de este, puede usar un manual de procedimientos. Para obtener más información, consulte la documentación de AWS Systems Manager.

Siga el conjunto de pasos que se indican a continuación:

Actualice la versión de Windows Server
Haga una parada y comience después de la actualización
Si utiliza EC2Config, migre a EC2Launch

Columnas de informes

Status
Región
ID de instancia
Versión de Windows Server
Ciclo de soporte
Fin del soporte
Hora de la última actualización

Descripción

Esta comprobación le avisa si las versiones están cerca o han llegado al final del soporte estándar. Es importante tomar medidas, ya sea migrando al siguiente LTS o actualizándolo a Ubuntu Pro. Cuando finalice el soporte, sus máquinas LTS de la versión 18.04 no recibirán ninguna actualización de seguridad. Con una suscripción a Ubuntu Pro, su implementación de Ubuntu 18.04 LTS podrá recibir un mantenimiento de seguridad ampliado (ESM) hasta 2028. Las vulnerabilidades de seguridad que no se hayan reparado exponen sus sistemas a los piratas informáticos y corren el riesgo de sufrir una violación grave.

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer. Actualmente, no puede excluir recursos de esta verificación.

ID de la verificación

c1dfprch15

Criterios de alerta

Rojo: una instancia de Amazon EC2 tiene una versión de Ubuntu que ha llegado al final del soporte estándar (Ubuntu 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS y 18.04.6 LTS).

Amarillo: una instancia de Amazon EC2 tiene una versión de Ubuntu que finalizará el soporte estándar en menos de 6 meses (Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS y 20.04.6 LTS).

Verde: todas las instancias de Amazon EC2 son compatibles.

Acción recomendada

Para actualizar las instancias LTS de Ubuntu 18.04 a una versión LTS compatible, siga los pasos que se mencionan en este artículo. Para actualizar las instancias de Ubuntu 18.04 LTS a Ubuntu Pro, visita la AWS License Manager consola y sigue los pasos que se mencionan en la guía del usuario.AWS License Manager También puedes consultar el blog de Ubuntu, donde se muestra una demostración paso a paso de la actualización de las instancias de Ubuntu a Ubuntu Pro.

Recursos adicionales

Para obtener información sobre los precios, ponte en contacto con AWS Support.

Columnas de informes

Status
Región
Versión Ubuntu Lts
Fecha prevista de fin de soporte
ID de instancia
Ciclo de soporte
Hora de la última actualización

Descripción

Comprueba si el sistema de archivos Amazon EFS está montado mediante data-in-transit cifrado. AWS recomienda que los clientes utilicen el data-in-transit cifrado en todos los flujos de datos para protegerlos de la exposición accidental o del acceso no autorizado. Amazon EFS recomienda a los clientes utilizar la configuración de montaje «-o tls» mediante el asistente de montaje de Amazon EFS para cifrar los datos en tránsito mediante TLS v1.2.

ID de la verificación

c1dfpnchv1

Criterios de alerta

Amarillo: uno o más clientes NFS de su sistema de archivos Amazon EFS no utilizan la configuración de montaje recomendada que proporciona data-in-transit cifrado.

Verde: todos los clientes NFS de su sistema de archivos Amazon EFS utilizan la configuración de montaje recomendada que proporciona data-in-transit cifrado.

Acción recomendada

Para aprovechar la función de data-in-transit cifrado de Amazon EFS, le recomendamos que vuelva a montar el sistema de archivos mediante el asistente de montaje de Amazon EFS y la configuración de montaje recomendada.

nota

Algunas distribuciones de Linux no incluyen una versión de stunnel que admita las funciones de TLS de forma predeterminada. Si utiliza una distribución de Linux no compatible (consulte las distribuciones compatibles aquí), le recomendamos que la actualice antes de volver a montarla con la configuración de montaje recomendada.

Recursos adicionales

Cifrar los datos en tránsito

Columnas de informes

Status
Región
ID del sistema de archivos de EFS
Como ocurre con las conexiones no cifradas
Hora de la última actualización

Descripción

Comprueba la configuración de permisos para las instantáneas de volumen de Amazon Elastic Block Store (Amazon EBS) y te avisa si alguna instantánea es de acceso público.

Al hacer pública una instantánea, concedes a todos Cuentas de AWS y a los usuarios acceso a todos los datos de la instantánea. Para compartir una instantánea solo con usuarios o cuentas específicos, márcala como privada. A continuación, especifique el usuario o las cuentas con los que desea compartir los datos de la instantánea. Tenga en cuenta que si ha activado Bloquear el acceso público en el modo «bloquear todo lo que se comparte», sus instantáneas públicas no serán de acceso público y no aparecerán en los resultados de esta comprobación.

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer.

ID de la verificación

ePs02jT06w

Criterios de alerta

Rojo: la instantánea del volumen de EBS es de acceso público.

Acción recomendada

A menos que esté seguro de que quiere compartir todos los datos de la instantánea con todos Cuentas de AWS los usuarios, modifique los permisos: marque la instantánea como privada y, a continuación, especifique las cuentas a las que quiere conceder permisos. Para obtener más información, consulte Compartir una instantánea de Amazon EBS. Utilice Bloquear el acceso público para las instantáneas de EBS para controlar la configuración que permite el acceso público a sus datos. Esta comprobación no se puede excluir de la vista de la Trusted Advisor consola.

Para modificar los permisos de las instantáneas directamente, utilice un manual de instrucciones en la AWS Systems Manager consola. Para obtener más información, consulte AWSSupport-ModifyEBSSnapshotPermission.

Recursos adicionales

Instantáneas de Amazon EBS

Columnas de informes

Status
Región
ID de volumen
ID de instantánea
Descripción

Descripción

Amazon RDS admite el cifrado en reposo para todos los motores de bases de datos mediante las claves que usted administra. AWS Key Management Service En una instancia de base de datos activa con cifrado de Amazon RDS, los datos almacenados en reposo en el almacenamiento están cifrados, de forma similar a las copias de seguridad, las réplicas de lectura y las instantáneas automatizadas.

Si el cifrado no está activado al crear un clúster de base de datos Aurora, debe restaurar una instantánea descifrada en un clúster de base de datos cifrado.

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer. Actualmente, no puede excluir recursos de esta verificación.

nota

Cuando se detiene una instancia de base de datos o un clúster de base de datos, puede ver las recomendaciones de Amazon RDS en un plazo Trusted Advisor de 3 a 5 días. Transcurridos cinco días, las recomendaciones no estarán disponibles en Trusted Advisor. Para ver las recomendaciones, abra la consola de Amazon RDS y, a continuación, seleccione Recomendaciones.

Si elimina una instancia de base de datos o un clúster de base de datos, las recomendaciones asociadas a esas instancias o clústeres no estarán disponibles en Trusted Advisor la consola de administración de Amazon RDS.

ID de la verificación

c1qf5bt005

Criterios de alerta

Rojo: los recursos Aurora de Amazon RDS no tienen el cifrado activado.

Acción recomendada

Active el cifrado de los datos en reposo de su clúster de base de datos.

Recursos adicionales

Puede activar el cifrado al crear una instancia de base de datos o utilizar una solución alternativa para activar el cifrado en una instancia de base de datos activa. No puede modificar un clúster de base de datos descifrado por un clúster de base de datos cifrado. Sin embargo, puede restaurar una instantánea descifrada en un clúster de base de datos cifrado. Al restaurar desde la instantánea descifrada, debe especificar una AWS KMS clave.

Para obtener más información, consulte Cifrado de recursos de Amazon Aurora.

Columnas de informes

Status
Región
Recurso
Nombre del motor
Hora de la última actualización

Descripción

Los recursos de su base de datos no están ejecutando la última versión secundaria del motor de base de datos. La última versión secundaria contiene las últimas revisiones de seguridad y otras mejoras.

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer. Actualmente, no puede excluir recursos de esta verificación.

nota

Cuando se detiene una instancia de base de datos o un clúster de base de datos, puede ver las recomendaciones de Amazon RDS en un plazo Trusted Advisor de 3 a 5 días. Transcurridos cinco días, las recomendaciones no estarán disponibles en Trusted Advisor. Para ver las recomendaciones, abra la consola de Amazon RDS y, a continuación, seleccione Recomendaciones.

Si elimina una instancia de base de datos o un clúster de base de datos, las recomendaciones asociadas a esas instancias o clústeres no estarán disponibles en Trusted Advisor la consola de administración de Amazon RDS.

ID de la verificación

c1qf5bt003

Criterios de alerta

Rojo: los recursos de Amazon RDS no ejecutan la última versión secundaria del motor de base de datos.

Acción recomendada

Actualice a la última versión del motor.

Recursos adicionales

Le recomendamos que mantenga su base de datos con la última versión secundaria del motor de base de datos, ya que esta versión incluye las correcciones de seguridad y funcionalidad más recientes. Las actualizaciones de las versiones secundarias del motor de base de datos contienen solo los cambios que son compatibles con versiones secundarias anteriores de la misma versión principal del motor de base de datos.

Para obtener más información, consulte Cómo actualizar la versión del motor de la instancia de base de datos.

Columnas de informes

Status
Región
Recurso
Nombre del motor
Versión del motor actual
Valor recomendado
Hora de la última actualización

Descripción

Verifica la configuración de permisos de las instantáneas de base de datos de Amazon Relational Database Service (Amazon RDS) y le avisa si hay alguna instantánea marcada como pública.

Al hacer pública una instantánea, concedes a todos Cuentas de AWS y a los usuarios acceso a todos los datos de la instantánea. Si desea compartir una instantánea solo con usuarios o cuentas específicos, marque la instantánea como privada. A continuación, especifique el usuario o las cuentas con las que desea compartir los datos de la instantánea.

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer.

ID de la verificación

rSs93HQwa1

Criterios de alerta

Rojo: la instantánea de Amazon RDS está marcada como pública.

Acción recomendada

A menos que esté seguro de que quiere compartir todos los datos de la instantánea con todos Cuentas de AWS los usuarios, modifique los permisos: marque la instantánea como privada y, a continuación, especifique las cuentas a las que desea conceder permisos. Para obtener más información, consulte Compartir una instantánea de base de datos o una instantánea de clúster de base de datos. Esta comprobación no se puede excluir de la vista de la Trusted Advisor consola.

Para modificar los permisos de las instantáneas directamente, puede utilizar un manual de instrucciones en la AWS Systems Manager consola. Para obtener más información, consulte AWSSupport-ModifyRDSSnapshotPermission.

Recursos adicionales

Copia de seguridad y restauración de instancias de base de datos de Amazon RDS

Columnas de informes

Status
Región
Instancia de base de datos o ID de clúster
ID de instantánea

Descripción

Verifica las configuraciones de grupos de seguridad de Amazon Relational Database Service (Amazon RDS) y avisa cuando una regla de grupo de seguridad concede un acceso excesivamente permisivo a la base de datos. Se recomienda configurar las reglas de grupo de seguridad para permitir el acceso solo desde grupos de seguridad específicos de Amazon Elastic Compute Cloud (Amazon EC2) o desde una dirección IP específica.

ID de la verificación

nNauJisYIT

Criterios de alerta

Amarillo: una regla de un grupo de seguridad de base de datos hace referencia a un grupo de seguridad de Amazon EC2 que otorga acceso global en uno de estos puertos: 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432, 5500.
Amarillo: una regla de grupo de seguridad de base de datos da acceso a más de una única dirección IP (el sufijo de la regla CIDR no es /0 ni /32).
Rojo: una regla de grupo de seguridad de base de datos otorga acceso global (el sufijo de la regla CIDR es /0).

Acción recomendada

Revise las reglas de los grupos de seguridad y limite el acceso a intervalos de IP o direcciones IP autorizadas. Para editar un grupo de seguridad, utilice la API AuthorizeDB Ingress o SecurityGroup la. AWS Management Console Para obtener más información, consulte Trabajo con grupos de seguridad de base de datos.

Recursos adicionales

Columnas de informes

Status
Región
Nombre de grupo de seguridad RDS
Regla de entrada
Motivo

Descripción

Amazon RDS admite el cifrado en reposo para todos los motores de bases de datos mediante las claves que usted administra. AWS Key Management Service En una instancia de base de datos activa con cifrado de Amazon RDS, los datos almacenados en reposo en el almacenamiento están cifrados, de forma similar a las copias de seguridad, las réplicas de lectura y las instantáneas automatizadas.

Si el cifrado no está activado al crear una instancia de base de datos, debe restaurar una copia cifrada de la instantánea descifrada antes de activar el cifrado.

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer. Actualmente, no puede excluir recursos de esta verificación.

nota

Cuando se detiene una instancia de base de datos o un clúster de base de datos, puede ver las recomendaciones de Amazon RDS en un plazo Trusted Advisor de 3 a 5 días. Transcurridos cinco días, las recomendaciones no estarán disponibles en Trusted Advisor. Para ver las recomendaciones, abra la consola de Amazon RDS y, a continuación, seleccione Recomendaciones.

Si elimina una instancia de base de datos o un clúster de base de datos, las recomendaciones asociadas a esas instancias o clústeres no estarán disponibles en Trusted Advisor la consola de administración de Amazon RDS.

ID de la verificación

c1qf5bt006

Criterios de alerta

Rojo: los recursos de Amazon RDS no tienen el cifrado activado.

Acción recomendada

Active el cifrado de los datos en reposo de su instancia de base de datos.

Recursos adicionales

Puede cifrar una instancia de base de datos solo cuando la crea. Para cifrar una instancia de base de datos activa existente:

Cree una copia cifrada de la instancia de base de datos original

Cree una instantánea de la instancia de la base de datos.
Cree una copia cifrada de la instantánea creada en el paso 1.
Restaure una instancia de base de datos a partir de la instantánea cifrada.

Para obtener más información, consulte los siguientes recursos:

Columnas de informes

Status
Región
Recurso
Nombre del motor
Hora de la última actualización

Descripción

Comprueba las zonas alojadas de Amazon Route 53 con registros CNAME que apuntan directamente a los nombres de host del bucket de Amazon S3 y alerta si su CNAME no coincide con el nombre del bucket de S3.

ID de la verificación

c1ng44jvbm

Criterios de alerta

Rojo: la zona alojada de Amazon Route 53 tiene registros CNAME que indican que los nombres de host de los buckets de S3 no coinciden.

Verde: no se han encontrado registros CNAME que no coincidan en tu zona alojada de Amazon Route 53.

Acción recomendada

Al apuntar los registros CNAME a los nombres de host de los buckets de S3, debe asegurarse de que existe un bucket coincidente para cualquier registro CNAME o alias que configure. De este modo, evitas el riesgo de que tus registros CNAME sean falsificados. También evitas que cualquier AWS usuario no autorizado aloje contenido web defectuoso o malintencionado en tu dominio.

Para evitar apuntar los registros CNAME directamente a los nombres de host del bucket de S3, considere la posibilidad de utilizar el control de acceso de origen (OAC) para acceder a los activos web del bucket de S3 a través de Amazon. CloudFront

Para obtener más información sobre cómo asociar CNAME a un nombre de host de un bucket de Amazon S3, consulte Personalización de las URL de Amazon S3 con registros CNAME.

Recursos adicionales

Columnas de informes

Status
ID de zona alojada
Zona alojada (ARN)
Registros CNAME coincidentes
Registros CNAME que no coinciden
Hora de la última actualización

Descripción

En cada conjunto de registros de recursos MX, esta verificación verifica que el conjunto de registros de recursos TXT o SPF contiene un registro SPF válido. El registro debe comenzar por “v=spf1”. El registro SPF especifica los servidores que están autorizados para enviar correo electrónico para su dominio, lo que ayuda a detectar y detener la suplantación de direcciones de correo electrónico y a reducir el spam. Route 53 recomienda usar un registro TXT en lugar de un registro SPF. Trusted Advisor muestra esta marca en verde siempre que cada conjunto de registros de recursos MX tenga al menos un registro SPF o TXT.

ID de la verificación

c9D319e7sG

Criterios de alerta

Amarillo: un conjunto de registros de recursos MX no tiene un registro de recursos TXT o SPF que contenga un valor SPF válido.

Acción recomendada

Para cada conjunto de registros de recursos MX, cree un conjunto de registros de recursos TXT que contenga un valor SPF válido. Para obtener más información, consulte Marco de directivas de remitentes: sintaxis de registro SPF y Creación de conjuntos de registros de recursos con la consola Amazon Route 53.

Recursos adicionales

Columnas de informes

Nombre de zona alojada
ID de zona alojada
Nombre de conjunto de registros de recursos
Status

Descripción

Comprueba los depósitos de Amazon Simple Storage Service (Amazon S3) que tienen permisos de acceso abierto o que permiten el acceso a cualquier usuario autenticado. AWS

Esta verificación examina los permisos de bucket explícitos, así como las políticas de bucket que podrían invalidar dichos permisos. No se recomienda conceder permisos de acceso a la lista a todos los usuarios para un bucket de Amazon S3. Estos permisos pueden permitir que usuarios no deseados generen listas de objetos en el bucket a una frecuencia elevada, lo que puede dar lugar a cargos superiores a los esperados. Los permisos que otorgan acceso de carga y eliminación a todos los usuarios pueden provocar vulnerabilidades de seguridad en su bucket.

ID de la verificación

Pfx0RwqBli

Criterios de alerta

Amarillo: el bucket ACL permite el acceso a la lista a Everyone (Todos) o a Any Authenticated AWS User (Cualquier usuario autenticado).
Amarillo: una política de bucket permite cualquier tipo de acceso abierto.
Amarillo: la política de bucket tiene instrucciones que otorgan acceso público. La configuración Denegar el acceso público y entre cuentas a los buckets que tengan políticas públicas está activada y tiene restringido el acceso solo a los usuarios autorizados de esa cuenta hasta que se eliminen las instrucciones públicas.
Amarillo: Trusted Advisor no tiene permiso para comprobar la política o la política no se ha podido evaluar por otros motivos.
Rojo: la lista de control de acceso (ACL) de los buckets permite el acceso de carga y eliminación a Everyone (Todos) o Any Authenticated AWS User (Cualquier usuario de autenticado).

Acción recomendada

Si un bucket permite el acceso abierto, determine si este tipo de acceso es realmente necesario. De lo contrario, actualice los permisos del bucket para restringir el acceso al propietario o a usuarios específicos. Utilice el bloqueo del acceso público de Amazon S3 para controlar la configuración que permite el acceso público a los datos. Consulte Configuración de permisos de acceso a buckets y objetos.

Recursos adicionales

Administración de permisos de acceso para los recursos de Amazon S3

Columnas de informes

Status
Nombre de la región
Parámetro de API de la región
Nombre del bucket
ACL permite acceso a la lista
ACL permite cargar/eliminar
La política permite el acceso

Descripción

Comprueba la configuración de registro de los depósitos de Amazon Simple Storage Service.

Cuando se habilita el registro de acceso al servidor, los registros de acceso detallados se entregan cada hora en un bucket especificado. Los registros de acceso contienen detalles sobre cada solicitud, como, por ejemplo, el tipo de solicitud, los recursos especificados en la solicitud y la fecha y hora en que se procesó la solicitud. De forma predeterminada, el registro de bucket no está habilitado. Debe habilitar el registro si desea llevar a cabo auditorías de seguridad u obtener más información sobre los usuarios y los patrones de uso.

Cuando el registro está habilitado inicialmente, la configuración se valida automáticamente. No obstante, las modificaciones futuras pueden dar lugar a errores de registro. Esta comprobación examina los permisos explícitos de los buckets de Amazon S3. Se recomienda utilizar políticas de bucket para controlar los permisos de bucket; sin embargo, también se pueden utilizar las ACL.

ID de la verificación

c1fd6b96l4

Criterios de alerta

Amarillo: el bucket no tiene habilitado el registro de acceso al servidor.
Amarillo: los permisos del bucket de destino no incluyen la cuenta raíz, por lo que Trusted Advisor no puede comprobarla.
Rojo: el bucket de destino no existe.
Rojo: el bucket de destino y el bucket de origen tienen propietarios diferentes.
Rojo: el emisor de registros no tiene permisos de escritura en el bucket de destino.
Verde: el bucket tiene habilitado el registro de acceso al servidor, el destino ya existe y los permisos para escribir en él

Acción recomendada

Habilite el registro de buckets para la mayoría de los buckets. Consulte Habilitación del registro con la consola y Habilitación de registros mediante programación.

Si los permisos del bucket de destino no incluyen la cuenta raíz y quiere que Trusted Advisor compruebe el estado de registro, agregue la cuenta raíz como beneficiario. Consulte Edición de permisos de bucket.

Si el bucket de destino no existe, seleccione un bucket existente como destino o cree uno nuevo y selecciónelo. Consulte Administración del registro de buckets.

Si el origen y el destino tienen propietarios diferentes, cambie el bucket de destino por uno que tenga el mismo propietario que el bucket de origen. Consulte Administración del registro de buckets.

Si el repartidor de registros no tiene permisos de escritura para el destino (la escritura no está habilitada), otorgue permisos de carga o eliminación al grupo de entrega de registros. Se recomienda usar políticas de bucket en lugar de las ACL. Consulte Edición de los permisos de los buckets y los permisos para la entrega de registros.

Recursos adicionales

Trabajando con cubos

Server access logging (Registro de acceso del servidor)

Formato de registro de acceso al servidor

Eliminar archivos de registro

Columnas de informes

Status
Región
ARN de recurso
Nombre del bucket
Nombre del destino
El destino existe
Mismo propietario
Escritura habilitada
Motivo
Hora de la última actualización

Descripción

Comprueba si las conexiones de emparejamiento de VPC tienen la resolución de DNS activada tanto para las VPC que aceptan como para las que solicitan.

La resolución de DNS para una conexión de emparejamiento de VPC permite la resolución de nombres de host DNS públicos en direcciones IPv4 privadas cuando se realizan consultas desde la VPC. Esto permite el uso de nombres de DNS para la comunicación entre los recursos de las VPC emparejadas. La resolución de DNS en las conexiones de emparejamiento de VPC hace que el desarrollo y la administración sean más sencillos y menos propensos a errores, y garantiza que los recursos siempre se comuniquen de forma privada a través de la conexión de emparejamiento de VPC.

Puede especificar los ID de VPC mediante los parámetros de VPCID de sus reglas. AWS Config

Para obtener más información, consulte Habilitación de la resolución de DNS para la conexión de emparejamiento de VPC.

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer. Actualmente, no puede excluir recursos de esta verificación.

ID de la verificación

c18d2gz124

Origen

AWS Config Managed Rule: vpc-peering-dns-resolution-check

Criterios de alerta

Amarillo: la resolución de DNS no está habilitada para las VPC que aceptan ni para las que solicitan en una conexión de emparejamiento de VPC.

Acción recomendada

Active la resolución de DNS para sus conexiones de emparejamiento de VPC.

Recursos adicionales

Columnas de informes

Status
Región
Recurso
AWS Config Regla
Parámetros de entrada
Hora de la última actualización

Descripción

Comprueba si los AWS Backup almacenes tienen una política basada en recursos adjunta que impide la eliminación de los puntos de recuperación.

La política basada en recursos evita la eliminación inesperada de puntos de recuperación, lo que permite reforzar el control de acceso con privilegios mínimos a los datos de copia de seguridad.

Puede especificar los AWS Identity and Access Management ARN que no desee que la regla registre en el parámetro principal ArnList de las reglas. AWS Config

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer. Actualmente, no puede excluir recursos de esta verificación.

ID de la verificación

c18d2gz152

Origen

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

Criterios de alerta

Amarillo: hay AWS Backup almacenes que no tienen una política basada en los recursos que impida la eliminación de los puntos de recuperación.

Acción recomendada

Cree políticas basadas en recursos para sus AWS Backup almacenes a fin de evitar la eliminación inesperada de los puntos de recuperación.

La política debe incluir una declaración de «Denegar» con permisos de copia de seguridad: DeleteRecovery punto, copia de seguridad: y copia de seguridad: UpdateRecovery PointLifecycle permisos. PutBackupVaultAccessPolicy

Para obtener más información, consulte Configuración de políticas de acceso en almacenes de copias de seguridad.

Columnas de informes

Status
Región
Recurso
AWS Config Regla
Parámetros de entrada
Hora de la última actualización

Descripción

Comprueba el uso de AWS CloudTrail. CloudTrail proporciona una mayor visibilidad de tu actividad Cuenta de AWS al registrar la información sobre las llamadas a la AWS API realizadas en la cuenta. Puede utilizar estos registros para determinar, por ejemplo, qué acciones llevó a cabo un usuario determinado durante un periodo de tiempo específico o qué usuarios llevaron a cabo acciones en un recurso determinado durante un periodo de tiempo especificado.

Dado que CloudTrail entrega los archivos de registro a un bucket de Amazon Simple Storage Service (Amazon S3) CloudTrail , debe tener permisos de escritura para el bucket. Si se aplica un registro de seguimiento a todas las regiones (la opción predeterminada cuando se crea un nuevo registro de seguimiento), este aparecerá varias veces en el informe de Trusted Advisor .

ID de la verificación

vjafUGJ9H0

Criterios de alerta

Amarillo: CloudTrail informa de los errores de entrega del registro de una ruta.
Rojo: no se creó un registro de seguimiento para una región o se desactivó el registro de un seguimiento.

Acción recomendada

Para crear un registro de seguimiento o iniciar el registro desde la consola, vaya a la consola de AWS CloudTrail.

Para iniciar el registro, consulte Detener e iniciar la ejecución de un registro de seguimiento.

Si tiene errores de entrega de registros, compruebe que el bucket exista y que la política necesaria esté adjuntada al bucket. Consulte Política de bucket de Amazon S3.

Recursos adicionales

Columnas de informes

Status
Región
Nombre de registro de seguimiento
Estado de registro
Nombre del bucket
Fecha de la última entrega

Descripción

Comprueba si hay funciones Lambda cuya versión $LATEST esté configurada para usar un tiempo de ejecución que se acerca a la obsolescencia o que esté en desuso. Los tiempos de ejecución obsoletos no son aptos para recibir actualizaciones de seguridad ni soporte técnico

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer. Actualmente, no puede excluir recursos de esta verificación.

Las versiones publicadas de las funciones Lambda son inmutables, lo que significa que se pueden invocar pero no actualizar. Solo se puede actualizar la versión $LATEST de una función de Lambda. Para obtener más información, consulte Versiones de la función Lambda.

ID de la verificación

L4dfs2Q4C5

Criterios de alerta

Rojo: la versión $LATEST de la función está configurada para usar un tiempo de ejecución que ya está obsoleto.
Amarillo: la versión $LATEST de la función se ejecuta en un entorno de ejecución que dejará de estar disponible en un plazo de 180 días.

Acción recomendada

Si tiene funciones que se ejecutan en un tiempo de ejecución que estará obsoleto en breve, debe prepararse para migrar a un tiempo de ejecución compatible. Para obtener más información, consulte Política de soporte de tiempo de ejecución.

Le recomendamos que elimine las versiones de funciones anteriores que ya no utilice.

Recursos adicionales

Tiempos de ejecución de Lambda

Columnas de informes

Status
Región
ARN de función
Tiempo de ejecución
Días hasta la obsolescencia
Fecha de obsolescencia
Promedio de invocaciones diarias
Hora de la última actualización

Descripción

Verifica si hay problemas de alto riesgo para las cargas de trabajo en el pilar de seguridad. Esta verificación se basa en las revisiones de AWS-Well Architected. Los resultados de las verificaciones dependen de si ha completado la evaluación de la carga de trabajo con AWS Well-Architected.

nota

Los resultados de esta verificación se actualizan automáticamente varias veces al día y no se permiten las solicitudes de actualización. Puede que los cambios tarden unas horas en aparecer. Actualmente, no puede excluir recursos de esta verificación.

ID de la verificación

Wxdfp4B1L3

Criterios de alerta

Rojo: Se identificó al menos un problema activo de alto riesgo en el pilar de seguridad de AWS Well-Architected.
Verde: No se detectó ningún problema activo de alto riesgo en el pilar de seguridad de AWS Well-Architected.

Acción recomendada

AWS Well-Architected detectó problemas de alto riesgo durante la evaluación de la carga de trabajo. Estos problemas presentan oportunidades para reducir el riesgo y ahorrar dinero. Inicie sesión en la herramienta AWS Well-Architected para revisar las respuestas y tomar medidas para resolver los problemas activos.

Columnas de informes

Status
Región
ARN de carga de trabajo
Nombre de carga de trabajo
Nombre del revisor
Tipo de carga de trabajo
Fecha de inicio de carga de trabajo
Fecha de la última modificación de carga de trabajo
Cantidad de HRI identificados para la seguridad
Cantidad de HRI resueltos para la seguridad
Cantidad de preguntas de seguridad
Cantidad total de preguntas en el pilar de seguridad
Hora de la última actualización

Descripción

Comprueba los certificados SSL en busca de nombres de dominio CloudFront alternativos en el almacén de certificados de IAM. Esta verificación le avisa si un certificado ha caducado, si caducará pronto, si utiliza cifrado obsoleto o si no está configurado correctamente para la distribución.

Cuando caduca un certificado personalizado para un nombre de dominio alternativo, es posible que los navegadores que muestran tu CloudFront contenido muestren un mensaje de advertencia sobre la seguridad de tu sitio web. Los certificados cifrados mediante el algoritmo hash SHA-1 están pronto estarán obsoletos para navegadores web como, por ejemplo, Chrome y Firefox.

Un certificado debe contener un nombre de dominio que coincida con el nombre de dominio de origen o el nombre de dominio del encabezado de host de una solicitud de lector. Si no coincide, CloudFront devuelve al usuario el código de estado HTTP 502 (puerta de enlace incorrecta). Para obtener más información, consulte Usar nombres de dominio alternativos y HTTPS.

ID de la verificación

N425c450f2

Criterios de alerta

Rojo: un certificado SSL personalizado ha caducado.
Amarillo: un certificado SSL personalizado caduca en los próximos siete días.
Amarillo: un certificado SSL personalizado se cifró mediante el algoritmo hash SHA-1.
Amarillo: uno o varios de los nombres de dominio alternativos de la distribución no aparecen en el campo Common Name (Nombre común) ni en el campo Subject Alternative Names (Nombres alternativos del sujeto) del certificado SSL personalizado.

Acción recomendada

Renueve un certificado caducado o que esté a punto de caducar.

Reemplace el certificado que se cifró con el algoritmo hash SHA-1 por otro que se haya cifrado con el algoritmo hash SHA-256.

Reemplace el certificado por otro que contenga los valores aplicables en los campos Common Name (Nombre común) o Subject Alternative Domain Names (Nombres de dominio alternativos del sujeto).

Recursos adicionales

Usar una conexión HTTPS para acceder a los objetos

Columnas de informes

Status
ID de distribución
Nombre de dominio de distribución
Nombre del certificado
Motivo

Descripción

Verifica el servidor de origen en busca de certificados SSL que hayan caducado, que estén a punto de caducar, que no se encuentren o que utilicen un cifrado obsoleto. Si un certificado presenta uno de estos problemas, CloudFront responde a las solicitudes de contenido con el código de estado HTTP 502, Bad Gateway.

Los certificados que se cifraron mediante el algoritmo hash SHA-1 comienzan a estar obsoletos en navegadores web como Chrome y Firefox. En función del número de certificados SSL que tengas asociados a tus CloudFront distribuciones, esta comprobación puede añadir unos céntimos al mes a tu factura con tu proveedor de alojamiento web, por ejemplo, AWS si utilizas Amazon EC2 o Elastic Load Balancing como origen de la distribución. CloudFront Esta comprobación no valida la cadena de su certificado de origen ni las autoridades de certificación. Puede comprobarlos en su configuración. CloudFront

ID de la verificación

N430c450f2

Criterios de alerta

Rojo: un certificado SSL de su origen falta o ha caducado.
Amarillo: un certificado SSL de su origen caduca en los próximos treinta días.
Amarillo: un certificado SSL de su origen se cifró mediante el algoritmo hash SHA-1.
Amarillo: no se encuentra un certificado SSL de su origen. Es posible que la conexión haya dado error debido a que se agotó el tiempo de espera o a otros problemas de conexión HTTPS.

Acción recomendada

Renueve el certificado en el origen si ha caducado o está a punto de caducar.

Agregue un certificado si no existe uno.

Reemplace el certificado que se cifró con el algoritmo hash SHA-1 por otro que se haya cifrado con el algoritmo hash SHA-256.

Recursos adicionales

Uso de nombres de dominio alternativos y HTTPS

Columnas de informes

Status
ID de distribución
Nombre de dominio de distribución
Origen
Motivo

Descripción

Comprueba si hay balanceadores de carga con dispositivos de escucha que no utilizan las configuraciones de seguridad recomendadas para la comunicación cifrada. AWS recomienda utilizar un protocolo seguro (HTTPS o SSL), políticas de up-to-date seguridad y sistemas de cifrado y protocolos seguros.

Cuando se utiliza un protocolo seguro para una conexión frontend (del cliente al balanceador de carga), las solicitudes se cifran entre los clientes y el balanceador de carga, lo que crea un entorno más seguro. Elastic Load Balancing proporciona políticas de seguridad predefinidas con cifrados y protocolos que cumplen con las mejores prácticas AWS de seguridad. Las nuevas versiones de las políticas predefinidas se publican a medida que están disponibles las nuevas configuraciones.

ID de la verificación

a2sEc6ILx

Criterios de alerta

Amarillo: un equilibrador de carga no tiene agentes de escucha que utilicen un protocolo seguro (HTTPS o SSL).
Amarillo: un agente de escucha del equilibrador de carga utiliza una política de seguridad SSL predefinida desactualizada.
Amarillo: un agente de escucha del equilibrador de carga utiliza un cifrado o un protocolo no recomendado.
Rojo: un agente de escucha del equilibrador de carga utiliza un cifrado o un protocolo inseguro.

Acción recomendada

Si es necesario que el tráfico al equilibrador de carga sea seguro, utilice el protocolo HTTPS o SSL para la conexión fron-tend.

Actualice el equilibrador de carga a la última versión de la política de seguridad SSL predefinida.

Utilice únicamente los cifrados y protocolos recomendados.

Para obtener más información, consulte Configuraciones de agentes de escucha de Elastic Load Balancing.

Recursos adicionales

Columnas de informes

Status
Región
Nombre del equilibrador de carga
Puerto del equilibrador de carga
Motivo

Descripción

Verifica si hay balanceadores de carga configurados con un grupo de seguridad que falta o un grupo de seguridad que permite el acceso a puertos que no están configurados para el balanceador de carga.

Si se elimina un grupo de seguridad asociado a un balanceador de carga, el balanceador de carga no funcionará como se esperaba. El riesgo de pérdida de datos o de ataques maliciosos aumenta si un grupo de seguridad permite el acceso a puertos que no están configurados para el balanceador de carga.

ID de la verificación

xSqX82fQu

Criterios de alerta

Amarillo: las reglas de entrada de un grupo de seguridad de Amazon VPC asociadas a un equilibrador de carga permiten el acceso a puertos que no están definidos en la configuración del agente de escucha del equilibrador de carga.
Rojo: no existe un grupo de seguridad asociado a un equilibrador de carga.

Acción recomendada

Configure las reglas del grupo de seguridad para restringir el acceso solo a aquellos puertos y protocolos definidos en la configuración del agente de escucha del equilibrador de carga, además del protocolo de ICMP para admitir la detección de MTU de ruta. Consulte Agentes de escucha para el equilibrador de carga clásico y Grupos de seguridad para equilibradores de carga de una VPC.

Si falta un grupo de seguridad, aplique un grupo de seguridad nuevo al equilibrador de carga. Cree reglas de grupos de seguridad que restrinjan el acceso solo a esos puertos y protocolos que se han definido en la configuración del agente de escucha del equilibrador de carga. Consulte Grupos de seguridad para los equilibradores de carga de una VPC.

Recursos adicionales

Columnas de informes

Status
Región
Nombre del equilibrador de carga
ID de grupos de seguridad
Motivo

Descripción

Verifica los repositorios de código populares en busca de claves de acceso que se hayan expuesto al público y de usos irregulares de Amazon Elastic Compute Cloud (Amazon EC2) que podrían ser el resultado de claves de acceso comprometidas.

Las claves de acceso constan de un ID de clave de acceso y una clave de acceso secreta. Las claves de acceso expuestas suponen un riesgo de seguridad para su cuenta y para otros usuarios. Además, pueden ocasionar cargos excesivos por actividades no autorizadas o abusos e infracciones del Acuerdo de cliente de AWS.

Si su clave de acceso se ha visto expuesta, tome medidas de inmediato para proteger su cuenta. Para proteger su cuenta de cargos excesivos, limita AWS temporalmente su capacidad de crear algunos AWS recursos. Esto no hace que su cuenta sea segura. Solo limita parcialmente el uso no autorizado que podría ocasionar cargos adicionales.

nota

Esta verificación no garantiza la identificación de las claves de acceso expuestas ni de las instancias EC2 comprometidas. En última instancia, usted es responsable de la protección y la seguridad de sus claves de acceso y AWS recursos.

Los resultados de esta comprobación se actualizan de manera automática, y no se permiten las solicitudes de actualización. Actualmente, no puede excluir recursos de esta verificación.

Si se indica una fecha límite para una clave de acceso, AWS puede suspenderla Cuenta de AWS si el uso no autorizado no se detiene antes de esa fecha. Si cree que esta alerta es un error, póngase en contacto con AWS Support.

Trusted Advisor Es posible que la información que se muestra en no refleje el estado más reciente de su cuenta. Las claves de acceso expuestas se marcan como resueltas cuando se han resuelto todas las claves de acceso expuestas de la cuenta. Esta sincronización de datos puede llevar hasta una semana.

ID de la verificación

12Fnkpl8Y5

Criterios de alerta

Rojo: potencialmente comprometida: AWS ha identificado un identificador de clave de acceso y la correspondiente clave de acceso secreta que han quedado expuestos en Internet y que pueden haber estado comprometidos (utilizados).
Rojo: Expuesto: AWS ha identificado un identificador de clave de acceso y la correspondiente clave de acceso secreta que han estado expuestos en Internet.
Rojo: sospechoso: uso irregular de Amazon EC2 indica que una clave de acceso puede haberse visto comprometida, pero no se ha identificado como expuesta en Internet.

Acción recomendada

Elimine la clave de acceso afectada lo antes posible. Si la clave está asociada a un usuario de IAM, consulte Administración de las claves de acceso de los usuarios de IAM.

Compruebe si se ha producido un uso no autorizado en la cuenta. Inicie sesión en la AWS Management Console y compruebe cada consola de servicio para detectar recursos sospechosos. Preste especial atención a las instancias de Amazon EC2 en ejecución, las solicitudes de instancias de spot, las claves de acceso y los usuarios de IAM. También puede comprobar el uso general en la Consola de administración de costos y facturación.

Recursos adicionales

Columnas de informes

ID de clave de acceso)
Nombre de usuario (IAM o raíz)
Tipo de fraude
ID de caso
Hora de actualización
Ubicación
Fecha límite
Uso (USD por día)

Descripción

Verifica si hay claves de acceso de IAM activas que no se han rotado en los últimos 90 días.

Cuando se rotan las claves de acceso de forma periódica, se reduce la posibilidad de que pueda utilizarse una clave comprometida sin su conocimiento para acceder a los recursos. A efectos de esta verificación, se considera como última fecha y hora de rotación la fecha y la hora en que se creó o activó la clave de acceso. El número y la fecha de la clave de acceso proceden de la información de access_key_1_last_rotated y access_key_2_last_rotated del informe de credenciales de IAM más reciente.

Dado que la frecuencia de regeneración de un informe de credenciales está restringida, es posible que al actualizar esta comprobación no se reflejen los cambios recientes. Para obtener más información, consulte Obtención de informes de credenciales para la cuenta de Cuenta de AWS.

Para crear y rotar las claves de acceso, un usuario debe tener los permisos adecuados. Para obtener más información, consulte Permitir a los usuarios administrar sus propias contraseñas, claves de acceso y claves SSH.

ID de la verificación

DqdJqYeRm5

Criterios de alerta

Verde: la clave de acceso está activa y se ha rotado en los últimos 90 días.
Amarillo: la clave de acceso está activa y se ha rotado en los últimos 2 años, pero hace más de 90 días.
Rojo: la clave de acceso está activa y no se ha rotado en los últimos 2 años.

Acción recomendada

Rote con regularidad las claves de acceso. Consulte Rotación de las claves de acceso y Administración de las claves de acceso de los usuarios de IAM.

Recursos adicionales

Columnas de informes

Status
Usuario de IAM
Clave de acceso
Última clave rotada
Motivo

Descripción

Verifica la política de contraseñas de su cuenta y avisa cuando no se ha habilitado una política de contraseñas o si no se han habilitado los requisitos de contenido de contraseñas.

Los requisitos de contenido de contraseñas aumentan la seguridad general del entorno de AWS al requerir la creación de contraseñas de usuario seguras. Al crear o cambiar una política de contraseñas, el cambio se aplica de inmediato para los nuevos usuarios, pero no requiere que los usuarios existentes cambien sus contraseñas.

ID de la verificación

Yw2K9puPzl

Criterios de alerta

Amarillo: hay una política de contraseñas habilitada, pero al menos un requisito del contenido no está habilitado.
Rojo: no hay una política de contraseñas habilitada.

Acción recomendada

Si algunos requisitos de contenido no estuvieran habilitados, considere habilitarlos. Si no hay una política de contraseñas habilitada, cree y configure una. Consulte Configuración de una política de contraseñas de la cuenta para usuarios de IAM.

Recursos adicionales

Administración de contraseñas

Columnas de informes

Política de contraseñas
Mayúsculas
Minúsculas
Número
No alfanuméricos

Descripción

Verifica la cuenta raíz y advierte si la autenticación multifactor (MFA) no está habilitada.

Para aumentar la seguridad, le recomendamos que proteja su cuenta mediante la MFA, que requiere que el usuario introduzca un código de autenticación único desde su hardware o dispositivo virtual de MFA al interactuar con los sitios web y los AWS Management Console sitios web asociados.

ID de la verificación

7DAFEmoDos

Criterios de alerta

Rojo: la MFA no está habilitada en la cuenta raíz.

Acción recomendada

Inicie sesión en su cuenta raíz y active un dispositivo MFA. Consulte Comprobación de estado de MFA y Configuración de un dispositivo MFA.

Recursos adicionales

Uso de dispositivos de autenticación multifactor (MFA) con AWS

Descripción

Verifica los grupos de seguridad en busca de reglas que permitan el acceso sin restricciones (0.0.0.0/0) a puertos específicos.

El acceso sin restricciones aumenta las posibilidades de que se produzcan actividades maliciosas (hackeos, denial-of-service ataques, pérdida de datos). Los puertos con mayor riesgo se marcan en rojo y los que tienen menos riesgo en amarillo. Los puertos marcados en verde son los que suelen utilizar aplicaciones que requieren acceso sin restricciones, como, por ejemplo, HTTP y SMTP.

Si ha configurado de manera intencionada sus grupos de seguridad de esta manera, le recomendamos que utilice medidas de seguridad adicionales para proteger su infraestructura (como, por ejemplo, tablas IP).

nota

Esta verificación solo evalúa los grupos de seguridad que haya creado y sus reglas de entrada de direcciones IPv4. Los grupos de seguridad que crea AWS Directory Service se marcan en rojo o amarillo; sin embargo, no suponen ningún riesgo de seguridad y se pueden omitir o excluir con toda tranquilidad. Para obtener más información, consulte las Preguntas frecuentes sobre Trusted Advisor.

nota

Esta comprobación no incluye el caso de uso en el que una lista de prefijos gestionada por el cliente concede acceso a 0.0.0.0/0 y se utiliza como fuente con un grupo de seguridad.

ID de la verificación

HCP4007jGY

Criterios de alerta

Verde: el acceso a los puertos 80, 25, 443 o 465 no está sujeto a restricciones.
Rojo: el acceso a los puertos 20, 21, 1433, 1434, 3306, 3389, 4333, 5432 o 5500 no está sujeto a restricciones.
Amarillo: el acceso a cualquier otro puerto no está sujeto a restricciones.

Acción recomendada

Restrinja el acceso solo a aquellas direcciones IP que lo necesiten. Para restringir el acceso a una dirección IP específica, establezca el sufijo en /32 (por ejemplo, 192.0.2.10/32). Asegúrese de eliminar las reglas excesivamente permisivas después de crear reglas más restrictivas.

Recursos adicionales

Columnas de informes

Status
Región
Nombre de grupo de seguridad
ID de grupo de seguridad
Protocolo
Del puerto
Al puerto

Descripción

Verifica los grupos de seguridad en busca de reglas que permitan el acceso sin restricciones a un recurso.

El acceso sin restricciones aumenta las posibilidades de que se produzcan actividades maliciosas (piratería informática, denial-of-service ataques, pérdida de datos).

nota

Esta verificación solo evalúa los grupos de seguridad que haya creado y sus reglas de entrada de direcciones IPv4. Los grupos de seguridad que crea AWS Directory Service se marcan en rojo o amarillo; sin embargo, no suponen ningún riesgo de seguridad y se pueden omitir o excluir con toda tranquilidad. Para obtener más información, consulte las Preguntas frecuentes sobre Trusted Advisor.

nota

Esta comprobación no incluye el caso de uso en el que una lista de prefijos gestionada por el cliente concede acceso a 0.0.0.0/0 y se utiliza como fuente con un grupo de seguridad.

ID de la verificación

1iG5NDGVre

Criterios de alerta

Rojo: una regla del grupo de seguridad tiene una dirección IP de origen con un sufijo /0 para otros puertos aparte del 25, 80 o 443.

Acción recomendada

Restrinja el acceso solo a aquellas direcciones IP que lo necesiten. Para restringir el acceso a una dirección IP específica, establezca el sufijo en /32 (por ejemplo, 192.0.2.10/32). Asegúrese de eliminar las reglas excesivamente permisivas después de crear reglas más restrictivas.

Recursos adicionales

Columnas de informes

Status
Región
Nombre de grupo de seguridad
ID de grupo de seguridad
Protocolo
Del puerto
Al puerto
Rango de IP

nota

Nombres de la verificación

Período de retención de Amazon CloudWatch Log Group

nota

Instancias de Amazon EC2 con fin del soporte para Microsoft SQL Server

nota

Instancias de Amazon EC2 con final de la compatibilidad con Microsoft Windows Server

nota

Fin del soporte estándar para las instancias Amazon EC2 con Ubuntu LTS

nota

Los clientes de Amazon EFS no utilizan data-in-transit cifrado

nota

Instantáneas públicas de Amazon EBS

nota

El cifrado de almacenamiento Aurora de Amazon RDS está desactivado

nota

nota

Se requiere una actualización de la versión secundaria del motor Amazon RDS

nota

nota

Instantáneas públicas de Amazon RDS

nota

Amazon RDS Security Group Access Risk

El cifrado de almacenamiento de Amazon RDS está desactivado

nota

nota

Cree una copia cifrada de la instancia de base de datos original

Registros CNAME no coincidentes de Amazon Route 53 que apuntan directamente a buckets S3

Marco de políticas de remitentes y conjuntos de registros de recursos MX de Amazon Route 53

Permisos de bucket de Amazon S3

Registros de acceso al servidor Amazon S3 activados

Conexiones de emparejamiento de Amazon VPC con la resolución de DNS deshabilitada

nota

AWS Backup Vault sin una política basada en recursos para evitar la eliminación de los puntos de recuperación

nota

AWS CloudTrail Registro

AWS Lambda Funciones que utilizan tiempos de ejecución obsoletos

nota

Problemas de alto riesgo de AWS Well-Architected para la seguridad

nota

CloudFrontCertificados SSL personalizados en el almacén de certificados de IAM

CloudFront Certificado SSL en el servidor de origen

Seguridad del agente de escucha de ELB

Grupos de seguridad de ELB

Exposed Access Keys

nota

Rotación de claves de acceso de IAM

Política de contraseñas de IAM

MFA en la cuenta raíz

Grupos de seguridad: puertos específicos sin restricciones

nota

nota

Grupos de seguridad: acceso sin restricciones

nota

nota