Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas operativas recomendadas para NIST 800 172
Los paquetes de conformidad proporcionan un marco de cumplimiento de uso general diseñado para permitirle crear controles de seguridad, operativos o de optimización de costes mediante reglas gestionadas o personalizadas AWS Config y acciones correctivas. AWS Config Los paquetes de conformidad, como plantillas de ejemplo, no están diseñados para garantizar plenamente el cumplimiento de una norma de gobernanza o de conformidad específicas. Usted debe evaluar si su uso de los servicios cumple con los requisitos legales y normativos aplicables.
A continuación, se proporciona un ejemplo de mapeo entre el NIST 800-172 y las reglas de AWS Config administradas. Cada regla de Config se aplica a un AWS recurso específico y se refiere a uno o más controles NIST 800-172. Un control del NIST 800-172 puede estar relacionado con varias reglas de Config. Consulte la siguiente tabla para obtener más detalles y orientación relacionados con estas asignaciones.
| ID de control | Descripción del control | AWS Regla de configuración | Directrices |
|---|---|---|---|
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que su Elastic Load Balancing (ELB) esté configurado para eliminar los encabezados http. Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Para ayudar a proteger los datos en tránsito, asegúrese de que el equilibrador de carga de aplicación redirija automáticamente las solicitudes HTTP no cifradas hacia HTTPS. Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que las etapas de la API de REST de Amazon API Gateway estén configuradas con certificados SSL para permitir que los sistemas de backend autentiquen que las solicitudes se originan en API Gateway. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que el node-to-node cifrado OpenSearch de Amazon Service esté activado. ode-to-node El cifrado N permite el cifrado TLS 1.2 para todas las comunicaciones dentro de Amazon Virtual Private Cloud (Amazon VPC). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Dado que pueden existir datos confidenciales, para ayudar a proteger los datos en tránsito, debe asegurarse de que el cifrado esté habilitado para su Elastic Load Balancing. Use AWS Certificate Manager para administrar, aprovisionar e implementar certificados SSL/TLS públicos y privados con AWS servicios y recursos internos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que sus Elastic Load Balancers (ELB) estén configurados con oyentes SSL o HTTPS. Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que sus clústeres de Amazon Redshift requieran cifrado TLS/SSL para conectarse a los clientes SQL. Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Para ayudar a proteger los datos en tránsito, asegúrese de que los buckets de Amazon Simple Storage Service (Amazon S3) requieran solicitudes para usar la capa de sockets seguros (SSL). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la AWS nube asegurándose de que no se pueda acceder públicamente a las instancias de replicación del DMS. Las instancias de replicación de DMS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la AWS nube asegurándose de que las instantáneas de EBS no se puedan restaurar públicamente. Las instantáneas de volumen de EBS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la AWS nube asegurándose de que no se pueda acceder públicamente a las instancias de Amazon Elastic Compute Cloud (Amazon EC2). Las instancias de Amazon EC2 pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la AWS nube asegurándose de que los dominios de Amazon OpenSearch OpenSearch Service (Service) estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de OpenSearch servicio dentro de una Amazon VPC permite una comunicación segura entre el OpenSearch Servicio y otros servicios de la Amazon VPC sin necesidad de una pasarela de Internet, un dispositivo NAT o una conexión VPN. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la AWS nube asegurándose de que no se pueda acceder públicamente a los nodos maestros del clúster de Amazon EMR. Los nodos maestros del clúster de Amazon EMR pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Implemente instancias de Amazon Elastic Compute Cloud (Amazon EC2) dentro de una Amazon Virtual Private Cloud (Amazon VPC) para permitir una comunicación segura entre una instancia y otros servicios dentro de la Amazon VPC, sin necesidad de utilizar una puerta de enlace de internet, un dispositivo NAT ni una conexión de VPN. Todo el tráfico permanece seguro en la AWS nube. Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Asigne instancias de Amazon EC2 a una Amazon VPC para gestionar correctamente el acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a las funciones de AWS Lambda. El acceso público puede degradar la disponibilidad de los recursos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Implemente funciones de AWS Lambda en una Amazon Virtual Private Cloud (Amazon VPC) para una comunicación segura entre una función y otros servicios de la Amazon VPC. Con esta configuración, no se requiere ninguna puerta de enlace de internet, dispositivo NAT ni conexión de VPN. Todo el tráfico permanece de forma segura en la nube. AWS Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Para gestionar correctamente el acceso, las funciones de AWS Lambda deben asignarse a una VPC. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que las tablas de enrutamiento de Amazon EC2 no tengan rutas ilimitadas a una puerta de enlace de internet. Eliminar o limitar el acceso a internet para las cargas de trabajo dentro de las Amazon VPC puede reducir el acceso no deseado a su entorno. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la AWS nube asegurándose de que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además, dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la AWS nube asegurándose de que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además, dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la AWS nube asegurándose de que los clústeres de Amazon Redshift no sean públicos. Los clústeres de Amazon Redshift pueden contener información confidencial y principios. Además dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos de la AWS nube asegurándose de que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Esta regla le permite configurar de forma opcional los parámetros blockedPort1 a blockedPort5 (valores predeterminados de Config: 20,21,3389,3306,4333). Los valores reales deben reflejar las políticas de su organización. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a los depósitos de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público. Esta regla le permite configurar opcionalmente los restrictPublicBuckets parámetros ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) y (Config Default: True). Los valores reales deben reflejar las políticas de su organización. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a administrar el acceso a la red al proporcionar un filtrado continuo del tráfico de red de entrada y salida a los recursos. AWS Al no permitir el tráfico de entrada (o el tráfico remoto) desde 0.0.0.0/0 al puerto 22 en sus recursos, podrá restringir el acceso remoto. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a los depósitos de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público en el nivel del bucket. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos de la AWS nube permitiendo que solo los usuarios, procesos y dispositivos autorizados accedan a los depósitos de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos de la AWS nube permitiendo que solo los usuarios, procesos y dispositivos autorizados accedan a los depósitos de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la AWS nube asegurándose de que las SageMaker libretas de Amazon no permitan el acceso directo a Internet. Al impedir el acceso directo a internet, puede evitar que usuarios no autorizados accedan a los datos confidenciales. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que los documentos de AWS Systems Manager (SSM) no sean públicos, ya que esto podría permitir el acceso no deseado a los documentos de SSM. Un documento de SSM público puede exponer información sobre su cuenta, sus recursos y sus procesos internos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la AWS nube asegurándose de que a las subredes de Amazon Virtual Private Cloud (VPC) no se les asigne automáticamente una dirección IP pública. Las instancias de Amazon Elastic Compute Cloud (EC2) que se lanzan en subredes que tienen este atributo habilitado tienen una dirección IP pública asignada a su interfaz de red principal. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a gestionar el acceso a la red al proporcionar un filtrado continuo del tráfico de red de entrada y salida a los recursos. AWS Restringir todo el tráfico en el grupo de seguridad predeterminado ayuda a restringir el acceso remoto a los recursos. AWS | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos de la AWS nube asegurándose de que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Al restringir el acceso a los recursos dentro de un grupo de seguridad desde internet (0.0.0.0/0), se puede controlar el acceso remoto a los sistemas internos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Si configura las interfaces de red con una dirección IP pública, se puede acceder a los recursos asociados a esas interfaces de red desde Internet. Los recursos de EC2 no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a sus aplicaciones o servidores. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Para ayudar a proteger las aplicaciones contra las vulnerabilidades de desincronización HTTP, asegurar que el modo de mitigación de desincronización HTTP esté habilitado en los equilibradores de carga de aplicación. Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que sus aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. La mitigación de desincronización incluye modos monitoreados, defensivos y más estrictos. El modo defensivo es el modo predeterminado. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Para ayudar a proteger las aplicaciones contra las vulnerabilidades de desincronización HTTP, asegurar que el modo de mitigación de desincronización HTTP esté habilitado en los equilibradores de carga de aplicación. Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que sus aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. La mitigación de desincronización incluye modos monitoreados, defensivos y más estrictos. El modo defensivo es el modo predeterminado. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | El enrutamiento de VPC mejorado fuerza que todo el tráfico de COPY y UNLOAD entre los repositorios de datos y de clúster pase por su Amazon VPC. A continuación, puede utilizar las características de la VPC, como los grupos de seguridad y las listas de control de acceso a la red, para proteger el tráfico de la red. También puede usar los registros de flujo de la VPC para monitorear el tráfico de la red. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Dado que pueden existir datos confidenciales, para ayudar a proteger los datos en tránsito, debe asegurarse de que el cifrado esté habilitado para su Elastic Load Balancing. Use AWS Certificate Manager para administrar, aprovisionar e implementar certificados SSL/TLS públicos y privados con AWS servicios y recursos internos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Como pueden existir datos confidenciales y, para ayudar a proteger los datos en tránsito, asegúrate de que HTTPS esté habilitado para las conexiones a tus dominios de Amazon OpenSearch Service. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la AWS nube asegurándose de que los dominios de Amazon OpenSearch Service estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de Amazon OpenSearch Service dentro de una Amazon VPC permite una comunicación segura entre Amazon OpenSearch Service y otros servicios de la Amazon VPC sin necesidad de una pasarela de Internet, un dispositivo NAT o una conexión VPN. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que el node-to-node cifrado OpenSearch de Amazon Service esté activado. ode-to-node El cifrado N permite el cifrado TLS 1.2 para todas las comunicaciones dentro de Amazon Virtual Private Cloud (Amazon VPC). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que la respuesta HTTP PUT del servicio de metadatos de instancias (IMDS) esté restringida a la instancia de Amazon Elastic Compute Cloud (Amazon EC2). Con IMDSv2, la respuesta PUT que contiene el token secreto de forma predeterminada no puede viajar fuera de la instancia, ya que el límite de saltos de respuesta de metadatos está establecido en 1 (valor predeterminado de Config). Si este valor es superior a 1, el token puede salir de la instancia EC2. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | El acceso a los puertos de administración remota de servidores de las listas de control de acceso a la red (NACL), como el puerto 22 (SSH) y el puerto 3389 (RDP), no debe ser de acceso público, ya que esto puede permitir el acceso no deseado a los recursos de la VPC. | |
| 3.2.1e | Ofrezca una capacitación de sensibilización [asignación: frecuencia definida por la organización] centrada en reconocer y responder a las amenazas derivadas de la ingeniería social, los actores de amenazas avanzadas y persistentes, las infracciones y los comportamientos sospechosos; actualice la formación [asignación: frecuencia definida por la organización] o cuando se produzcan cambios significativos en la amenaza. | security-awareness-program-exists (verificación de proceso) | Establezca y mantenga un programa de concienciación sobre la seguridad para su organización. Los programas de concienciación sobre la seguridad enseñan al personal a proteger la organización frente a diversas infracciones o incidentes de seguridad. |
| 3.4.2e | Use mecanismos automatizados para detectar componentes del sistema mal configurados o no autorizados; tras la detección, [seleccione (uno o más): retire los componentes; coloque los componentes en una red de cuarentena o remediación] para facilitar la aplicación de parches, la reconfiguración u otras medidas de mitigación. | Habilite esta regla para ayudar a identificar y documentar las vulnerabilidades de Amazon Elastic Compute Cloud (Amazon EC2). La regla comprueba si los parches de instancias Amazon EC2 cumplen con los requisitos de las políticas y procedimientos de su organización en AWS Systems Manager. | |
| 3.4.2e | Use mecanismos automatizados para detectar componentes del sistema mal configurados o no autorizados; tras la detección, [seleccione (uno o más): retire los componentes; coloque los componentes en una red de cuarentena o remediación] para facilitar la aplicación de parches, la reconfiguración u otras medidas de mitigación. | La activación de las actualizaciones de plataforma gestionadas para un entorno de Amazon Elastic Beanstalk garantiza que se instalen las últimas correcciones, actualizaciones y características de la plataforma disponibles para el entorno. Mantenerse actualizado mediante la instalación de parches es una práctica recomendada para proteger los sistemas. | |
| 3.4.2e | Use mecanismos automatizados para detectar componentes del sistema mal configurados o no autorizados; tras la detección, [seleccione (uno o más): retire los componentes; coloque los componentes en una red de cuarentena o remediación] para facilitar la aplicación de parches, la reconfiguración u otras medidas de mitigación. | Esta regla garantiza que los clústeres de Amazon Redshift tengan la configuración preferida para su organización. En concreto, que tengan períodos de mantenimiento preferidos y períodos de retención automática de instantáneas para la base de datos. Esta regla requiere que configure el allowVersionUpgrade. El valor predeterminado es true. También te permite configurar de forma opcional el periodo preferredMaintenanceWindow (el predeterminado es sáb: 16:00 -sáb: 16:30) y el automatedSnapshotRetention Periodo (el valor predeterminado es 1). Los valores reales deben reflejar las políticas de su organización. | |
| 3.4.2e | Use mecanismos automatizados para detectar componentes del sistema mal configurados o no autorizados; tras la detección, [seleccione (uno o más): retire los componentes; coloque los componentes en una red de cuarentena o remediación] para facilitar la aplicación de parches, la reconfiguración u otras medidas de mitigación. | Habilite las actualizaciones automáticas de las versiones secundarias en sus instancias de Amazon Relational Database Service (RDS) para garantizar que estén instaladas las últimas actualizaciones de las versiones secundarias del sistema de administración de bases de datos relacionales (RDBMS, por sus siglas en inglés), que pueden incluir parches de seguridad y correcciones de errores. | |
| 3.4.3e | Utilice herramientas automatizadas de descubrimiento y administración para mantener un inventario completo up-to-date, preciso y fácilmente disponible de los componentes del sistema. | Es posible realizar un inventario de las plataformas y aplicaciones de software de la organización mediante la administración de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) con Systems AWS Manager. Use AWS Systems Manager para proporcionar configuraciones detalladas del sistema, niveles de parches del sistema operativo, nombre y tipo de servicios, instalaciones de software, nombre de la aplicación, editor y versión, y otros detalles sobre su entorno. | |
| 3.4.3e | Utilice herramientas automatizadas de descubrimiento y administración para mantener un inventario completo up-to-date, preciso y fácilmente disponible de los componentes del sistema. | Habilite esta regla para facilitar la configuración de referencia de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) al comprobar si las instancias de Amazon EC2 se han detenido durante más días de los permitidos, de acuerdo con los estándares de su organización. | |
| 3.4.3e | Emplee herramientas automatizadas de descubrimiento y administración para mantener un inventario completo up-to-date, preciso y fácilmente disponible de los componentes del sistema. | Esta regla garantiza que los volúmenes de Amazon Elastic Block Store que están adjuntos a instancias de Amazon Elastic Compute Cloud (Amazon EC2) estén marcados para su eliminación al finalizar una instancia. Si un volumen de Amazon EBS no se elimina al finalizar la instancia a la que está asociado, podría infringir el concepto de funcionalidad mínima. | |
| 3.4.3e | Emplee herramientas automatizadas de descubrimiento y administración para mantener un inventario completo up-to-date, preciso y fácilmente disponible de los componentes del sistema. | Esta regla garantiza que las IP elásticas asignadas a una Amazon Virtual Private Cloud (Amazon VPC) estén conectadas a instancias de Amazon Elastic Compute Cloud (Amazon EC2) o a interfaces de red elástica en uso. Esta regla ayuda a monitorear las EIP que no se utilizan en su entorno. | |
| 3.4.3e | Emplee herramientas automatizadas de descubrimiento y administración para mantener un inventario completo up-to-date, preciso y fácilmente disponible de los componentes del sistema. | Esta regla garantiza que se utilicen las listas de control de acceso a la red de Amazon Virtual Private Cloud (VPC). El monitoreo de las listas de control de acceso a la red no utilizadas puede ayudar a realizar un inventario y una gestión precisos del entorno. | |
| 3.5.2e | Emplee mecanismos automatizados para la generación, protección, rotación y administración de contraseñas para los sistemas y componentes del sistema que no admitan la autenticación multifactorial o la administración de cuentas complejas. | Las identidades y las credenciales se emiten, administran y verifican en función de la política de contraseñas de IAM de la organización. Cumplen o superan los requisitos establecidos por la norma NIST SP 800-63 y el estándar AWS fundamental de mejores prácticas de seguridad para la seguridad de las contraseñas. Esta regla le permite configurar opcionalmente RequireUppercaseCharacters (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireLowercaseCharacters (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireSymbols (valor de las mejores prácticas de seguridad AWS fundamentales: verdadero), RequireNumbers (valor de las mejores prácticas de seguridad AWS AWS fundamentales: verdadero), MinimumPasswordLength (valor de las mejores prácticas de seguridad AWS fundamentales: 14), PasswordReusePrevention (valor de las mejores prácticas de seguridad AWS fundamentales: 24) y MaxPasswordAge (valor de las mejores prácticas de seguridad fundamentales: 90) para su IAM La política de contraseñas. Los valores reales deben reflejar las políticas de su organización. | |
| 3.5.2e | Emplee mecanismos automatizados para la generación, protección, rotación y administración de contraseñas para los sistemas y componentes del sistema que no admitan la autenticación multifactorial o la administración de cuentas complejas. | Esta regla garantiza que AWS los secretos de Secrets Manager tengan habilitada la rotación. La rotación de los secretos de forma habitual puede acortar el período de vigencia de un secreto y, potencialmente, reducir el impacto sobre la empresa si el secreto se desvela. | |
| 3.5.2e | Emplee mecanismos automatizados para la generación, protección, rotación y administración de contraseñas para los sistemas y componentes del sistema que no admitan la autenticación multifactorial o la administración de cuentas complejas. | Esta regla garantiza que AWS los secretos de Secrets Manager se hayan distribuido correctamente de acuerdo con el programa de rotación. La rotación de los secretos de forma habitual puede acortar el período de vigencia de un secreto y, potencialmente, reducir el impacto sobre la empresa si se desvela. | |
| 3.5.2e | Emplee mecanismos automatizados para la generación, protección, rotación y administración de contraseñas para los sistemas y componentes del sistema que no admitan la autenticación multifactorial o la administración de cuentas complejas. | Esta regla garantiza que AWS los secretos de Secrets Manager se hayan distribuido correctamente de acuerdo con el programa de rotación. La rotación de los secretos de forma habitual puede acortar el período de vigencia de un secreto y, potencialmente, reducir el impacto sobre la empresa si se desvela. | |
| 3.11.1e | Emplee [asignación: fuentes de inteligencia sobre amenazas definidas por la organización] como parte de una evaluación de riesgos para guiar y determine el desarrollo de los sistemas organizativos, las arquitecturas de seguridad, la selección de soluciones de seguridad, la supervisión, la búsqueda de amenazas y las actividades de respuesta y recuperación. | Amazon GuardDuty puede ayudar a supervisar y detectar posibles eventos de ciberseguridad mediante el uso de fuentes de inteligencia sobre amenazas. Estos incluyen listas de direcciones IP maliciosas y aprendizaje automático para identificar actividades inesperadas, no autorizadas y maliciosas en su entorno de AWS nube. | |
| 3.11.2e | Realizar actividades de búsqueda de ciberamenazas [selección (una o más): [asignación: frecuencia definida por la organización]; [asignación: evento definido por la organización]] para buscar indicadores de situaciones de riesgo en [asignación: sistemas definidos por la organización] y detectar, rastrear e interrumpir las amenazas que eluden los controles existentes. | Amazon GuardDuty puede ayudar a supervisar y detectar posibles eventos de ciberseguridad mediante el uso de fuentes de inteligencia sobre amenazas. Estos incluyen listas de direcciones IP maliciosas y aprendizaje automático para identificar actividades inesperadas, no autorizadas y maliciosas en su entorno de AWS nube. | |
| 3.11.5e | Evaluar la eficacia de las soluciones de seguridad [asignación: frecuencia definida por la organización] para abordar el riesgo previsto para los sistemas organizativos y la organización en función de la información sobre amenazas actual y acumulada. | annual-risk-assessment-performed (comprobación del proceso) | Realice una evaluación anual de los riesgos de su organización. Las evaluaciones de riesgos pueden ayudar a determinar la probabilidad y el impacto de los riesgos o vulnerabilidades identificados que afecten a una organización. |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la AWS nube asegurándose de que no se pueda acceder públicamente a las instancias de replicación del DMS. Las instancias de replicación de DMS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la AWS nube asegurándose de que las instantáneas de EBS no se puedan restaurar públicamente. Las instantáneas de volumen de EBS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la AWS nube asegurándose de que no se pueda acceder públicamente a las instancias de Amazon Elastic Compute Cloud (Amazon EC2). Las instancias de Amazon EC2 pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la AWS nube asegurándose de que los dominios de Amazon OpenSearch OpenSearch Service (Service) estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de OpenSearch servicio dentro de una Amazon VPC permite una comunicación segura entre el OpenSearch Servicio y otros servicios de la Amazon VPC sin necesidad de una pasarela de Internet, un dispositivo NAT o una conexión VPN. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la AWS nube asegurándose de que no se pueda acceder públicamente a los nodos maestros del clúster de Amazon EMR. Los nodos maestros del clúster de Amazon EMR pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Implemente instancias de Amazon Elastic Compute Cloud (Amazon EC2) dentro de una Amazon Virtual Private Cloud (Amazon VPC) para permitir una comunicación segura entre una instancia y otros servicios dentro de la Amazon VPC, sin necesidad de utilizar una puerta de enlace de internet, un dispositivo NAT ni una conexión de VPN. Todo el tráfico permanece seguro en la AWS nube. Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Asigne instancias de Amazon EC2 a una Amazon VPC para gestionar correctamente el acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a las funciones de AWS Lambda. El acceso público puede degradar la disponibilidad de los recursos. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Implemente funciones de AWS Lambda en una Amazon Virtual Private Cloud (Amazon VPC) para una comunicación segura entre una función y otros servicios de la Amazon VPC. Con esta configuración, no se requiere ninguna puerta de enlace de internet, dispositivo NAT ni conexión de VPN. Todo el tráfico permanece de forma segura en la nube. AWS Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Para gestionar correctamente el acceso, las funciones de AWS Lambda deben asignarse a una VPC. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la AWS nube asegurándose de que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además, dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la AWS nube asegurándose de que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además, dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la AWS nube asegurándose de que los clústeres de Amazon Redshift no sean públicos. Los clústeres de Amazon Redshift pueden contener información confidencial y principios. Además dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a los depósitos de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público. Esta regla le permite configurar opcionalmente los restrictPublicBuckets parámetros ignorePublicAcls (Config Default: True), blockPublicPolicy (Config Default: True), blockPublicAcls (Config Default: True) y (Config Default: True). Los valores reales deben reflejar las políticas de su organización. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos de la AWS nube permitiendo que solo los usuarios, procesos y dispositivos autorizados accedan a los depósitos de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos de la AWS nube permitiendo que solo los usuarios, procesos y dispositivos autorizados accedan a los depósitos de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la AWS nube asegurándose de que las SageMaker libretas de Amazon no permitan el acceso directo a Internet. Al impedir el acceso directo a internet, puede evitar que usuarios no autorizados accedan a los datos confidenciales. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la AWS nube asegurándose de que a las subredes de Amazon Virtual Private Cloud (VPC) no se les asigne automáticamente una dirección IP pública. Las instancias de Amazon Elastic Compute Cloud (EC2) que se lanzan en subredes que tienen este atributo habilitado tienen una dirección IP pública asignada a su interfaz de red principal. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la AWS nube asegurándose de que los dominios de Amazon OpenSearch Service estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de Amazon OpenSearch Service dentro de una Amazon VPC permite una comunicación segura entre Amazon OpenSearch Service y otros servicios de la Amazon VPC sin necesidad de una pasarela de Internet, un dispositivo NAT o una conexión VPN. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | El acceso a los puertos de administración remota de servidores de las listas de control de acceso a la red (NACL), como el puerto 22 (SSH) y el puerto 3389 (RDP), no debe ser de acceso público, ya que esto puede permitir el acceso no deseado a los recursos de la VPC. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la AWS nube asegurándose de que no se pueda acceder públicamente a los depósitos de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público en el nivel del bucket. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Asegúrese de que los documentos de AWS Systems Manager (SSM) no sean públicos, ya que esto podría permitir el acceso no deseado a los documentos de SSM. Un documento de SSM público puede exponer información sobre su cuenta, sus recursos y sus procesos internos. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Si configura las interfaces de red con una dirección IP pública, se puede acceder a los recursos asociados a esas interfaces de red desde Internet. Los recursos de EC2 no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a sus aplicaciones o servidores. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | El enrutamiento de VPC mejorado fuerza que todo el tráfico de COPY y UNLOAD entre los repositorios de datos y de clúster pase por su Amazon VPC. A continuación, puede utilizar las características de la VPC, como los grupos de seguridad y las listas de control de acceso a la red, para proteger el tráfico de la red. También puede usar los registros de flujo de la VPC para monitorear el tráfico de la red. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a administrar el acceso a la red al proporcionar un filtrado continuo del tráfico de red de entrada y salida a los recursos. AWS Al no permitir el tráfico de entrada (o el tráfico remoto) desde 0.0.0.0/0 al puerto 22 en sus recursos, podrá restringir el acceso remoto. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos de la AWS nube asegurándose de que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Esta regla le permite configurar de forma opcional los parámetros blockedPort1 a blockedPort5 (valores predeterminados de Config: 20,21,3389,3306,4333). Los valores reales deben reflejar las políticas de su organización. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a gestionar el acceso a la red al proporcionar un filtrado continuo del tráfico de red de entrada y salida a los recursos. AWS Restringir todo el tráfico en el grupo de seguridad predeterminado ayuda a restringir el acceso remoto a los recursos. AWS | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos de la AWS nube asegurándose de que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Al restringir el acceso a los recursos dentro de un grupo de seguridad desde internet (0.0.0.0/0), se puede controlar el acceso remoto a los sistemas internos. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Asegúrese de que las tablas de enrutamiento de Amazon EC2 no tengan rutas ilimitadas a una puerta de enlace de internet. Eliminar o limitar el acceso a internet para las cargas de trabajo dentro de las Amazon VPC puede reducir el acceso no deseado a su entorno. | |
| 3.14.1e | Verifique la integridad de [asignación: software crítico o esencial para la seguridad definido por la organización] mediante mecanismos de raíz de confianza o firmas criptográficas. | Utilice la validación de los archivos de AWS CloudTrail registro para comprobar la integridad de los CloudTrail registros. La validación del archivo de registro ayuda a determinar si un archivo de registro se modificó, eliminó o no se modificó después de CloudTrail entregarlo. Esta característica se compila mediante los algoritmos estándar de la industria: SHA-256 para el hash y SHA-256 con RSA para la firma digital. Esto hace que sea computacionalmente inviable modificar, eliminar o falsificar los archivos de CloudTrail registro sin ser detectados. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | Amazon GuardDuty puede ayudar a supervisar y detectar posibles eventos de ciberseguridad mediante el uso de fuentes de inteligencia sobre amenazas. Estos incluyen listas de direcciones IP maliciosas y aprendizaje automático para identificar actividades inesperadas, no autorizadas y maliciosas en su entorno de AWS nube. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | Usa Amazon CloudWatch para recopilar y gestionar de forma centralizada la actividad de los eventos de registro. La inclusión de AWS CloudTrail datos proporciona detalles de la actividad de llamadas a la API en su interior Cuenta de AWS. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | CloudWatch Las alarmas de Amazon alertan cuando una métrica supera el umbral durante un número específico de períodos de evaluación. La alarma realiza una o varias acciones según el valor de la métrica o expresión con respecto a un umbral durante varios períodos de tiempo. Esta regla requiere un valor para alarmActionRequired (Config Default: True), insufficientDataAction Obligatorio (Config Default: True) o okActionRequired (Config Default: False). El valor real debe reflejar las acciones de alarma de su entorno. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | Habilite esta regla para ayudar a mejorar el monitoreo de instancias de Amazon Elastic Compute Cloud (Amazon EC2) en la consola de Amazon EC2, que muestra gráficos de monitoreo de la instancia en periodos de 1 minuto. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | Habilite Amazon Relational Database Service (Amazon RDS) para monitorear la disponibilidad de Amazon RDS. Esto proporciona información detallada del estado de las instancias de bases de datos de Amazon RDS. Cuando el almacenamiento de Amazon RDS utiliza más de un dispositivo físico subyacente, el monitoreo mejorado recopila los datos de cada dispositivo. Además, cuando la instancia de base de datos de Amazon RDS se ejecuta en una implementación Multi-AZ, se recopilan los datos de cada dispositivo del host secundario y las métricas del host secundario. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | Los registros del flujo de la VPC proporcionan registros detallados acerca del tráfico IP entrante y saliente de las interfaces de red en su Amazon Virtual Private Cloud (Amazon VPC). De forma predeterminada, el registro de flujo incluye valores para los distintos componentes del flujo de IP, incluido el origen, el destino y el protocolo. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | AWS Security Hub ayuda a monitorear el personal, las conexiones, los dispositivos y el software no autorizados. AWS Security Hub agrupa, organiza y prioriza las alertas de seguridad, o hallazgos, de varios servicios. AWS Algunos de estos servicios son Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer y AWS Firewall Manager y Partner Solutions. AWS | |
| 3.14.6e | Utilice la información sobre los indicadores de amenazas y las mitigaciones efectivas obtenidas de [asignación: organizaciones externas definidas por la organización] para guiar e informar sobre la detección de intrusiones y la búsqueda de amenazas. | Amazon GuardDuty puede ayudar a supervisar y detectar posibles eventos de ciberseguridad mediante el uso de fuentes de inteligencia sobre amenazas. Estos incluyen listas de direcciones IP maliciosas y aprendizaje automático para identificar actividades inesperadas, no autorizadas y maliciosas en su entorno de AWS nube. | |
| 3.14.7e | Verifique la exactitud de [asignación: componentes de software, firmware y hardware esenciales o críticos para la seguridad definidos por la organización] mediante [asignación: métodos o técnicas de verificación definidos por la organización]. | Use AWS Systems Manager Associations para ayudar con el inventario de las plataformas y aplicaciones de software dentro de una organización. AWS Systems Manager asigna un estado de configuración a las instancias administradas y le permite establecer líneas base de los niveles de parches del sistema operativo, las instalaciones de software, las configuraciones de las aplicaciones y otros detalles sobre su entorno. | |
| 3.14.7e | Verifique la exactitud de [asignación: componentes de software, firmware y hardware esenciales o críticos para la seguridad definidos por la organización] mediante [asignación: métodos o técnicas de verificación definidos por la organización]. | Habilite esta regla para ayudar a identificar y documentar las vulnerabilidades de Amazon Elastic Compute Cloud (Amazon EC2). La regla comprueba si los parches de instancias Amazon EC2 cumplen con los requisitos de las políticas y procedimientos de su organización en AWS Systems Manager. | |
| 3.14.7e | Verifique la exactitud de [asignación: componentes de software, firmware y hardware esenciales o críticos para la seguridad definidos por la organización] mediante [asignación: métodos o técnicas de verificación definidos por la organización]. | Es posible realizar un inventario de las plataformas y aplicaciones de software de la organización mediante la administración de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) con Systems AWS Manager. Use AWS Systems Manager para proporcionar configuraciones detalladas del sistema, niveles de parches del sistema operativo, nombre y tipo de servicios, instalaciones de software, nombre de la aplicación, editor y versión, y otros detalles sobre su entorno. | |
| 3.14.7e | Verifique la exactitud de [asignación: componentes de software, firmware y hardware esenciales o críticos para la seguridad definidos por la organización] mediante [asignación: métodos o técnicas de verificación definidos por la organización]. | Las actualizaciones y los parches de seguridad se implementan automáticamente para sus tareas de AWS Fargate. Si se detecta un problema de seguridad que afecte a una versión de la plataforma AWS Fargate, aplique AWS parches a la versión de la plataforma. Para facilitar la administración de parches de las tareas de Amazon Elastic Container Service (ECS) que ejecutan AWS Fargate, actualice las tareas independientes de sus servicios para usar la versión de plataforma más reciente. | |
| 3.14.7e | Verifique la exactitud de [asignación: componentes de software, firmware y hardware esenciales o críticos para la seguridad definidos por la organización] mediante [asignación: métodos o técnicas de verificación definidos por la organización]. | El análisis de imágenes de Amazon Elastic Container Repository (ECR) ayuda a identificar vulnerabilidades de software en las imágenes de contenedor. Al habilitar el análisis de imágenes en los repositorios de ECR, se añade un nivel de verificación de la integridad y seguridad de las imágenes que se almacenan. |
Plantilla
La plantilla está disponible en GitHub: Mejores prácticas operativas para el NIST
