Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas operativas recomendadas para NIST 800 172
Los paquetes de conformidad proporcionan un marco de cumplimiento de uso general diseñado para permitirle crear comprobaciones de control de seguridad, operativas o de optimización de costos mediante reglas de AWS Config administradas o personalizadas y acciones correctivas de AWS Config. Los paquetes de conformidad, como plantillas de ejemplo, no están diseñados para garantizar plenamente el cumplimiento de una norma de gobernanza o de conformidad específicas. Usted debe evaluar si su uso de los servicios cumple con los requisitos legales y normativos aplicables.
A continuación, se proporciona un ejemplo de asignación entre el NIST 800-172 y las reglas de AWS Config administradas. Cada regla de Config se aplica a un recurso de AWS específico que está relacionado con uno o más controles del NIST 800-172. Un control del NIST 800-172 puede estar relacionado con varias reglas de Config. Consulte la siguiente tabla para obtener más detalles y orientación relacionados con estas asignaciones.
| ID de control | Descripción del control | Regla de AWS Config | Directrices |
|---|---|---|---|
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que su Elastic Load Balancing (ELB) esté configurado para eliminar los encabezados http. Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Para ayudar a proteger los datos en tránsito, asegúrese de que el equilibrador de carga de aplicación redirija automáticamente las solicitudes HTTP no cifradas hacia HTTPS. Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que las etapas de la API de REST de Amazon API Gateway estén configuradas con certificados SSL para permitir que los sistemas de backend autentiquen que las solicitudes se originan en API Gateway. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que el cifrado de nodo a nodo para Amazon Elasticsearch Service esté habilitado. El cifrado de nodo a nodo habilita el cifrado TLS 1.2 para todas las comunicaciones dentro de la Amazon Virtual Private Cloud (Amazon VPC). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Dado que pueden existir datos confidenciales, para ayudar a proteger los datos en tránsito, debe asegurarse de que el cifrado esté habilitado para su Elastic Load Balancing. Use AWS Certificate Manager para administrar, aprovisionar e implementar certificados SSL/TLS públicos y privados con servicios de AWS y recursos internos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que sus Elastic Load Balancers (ELB) estén configurados con oyentes SSL o HTTPS. Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que sus clústeres de Amazon Redshift requieran cifrado TLS/SSL para conectarse a los clientes SQL. Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Para ayudar a proteger los datos en tránsito, asegúrese de que los buckets de Amazon Simple Storage Service (Amazon S3) requieran solicitudes para usar la capa de sockets seguros (SSL). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Administre el acceso a la nube de AWS de manera que se garantice que no se pueda acceder públicamente a las instancias de replicación de DMS. Las instancias de replicación de DMS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Administre el acceso a la nube de AWS de manera que se garantice que las instantáneas de EBS no se puedan restaurar públicamente. Las instantáneas de volumen de EBS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la nube de AWS de manera que se garantice que no se puede acceder públicamente a instancias de Amazon Elastic Compute Cloud (Amazon EC2). Las instancias de Amazon EC2 pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la nube de AWS de manera que se garantice que los dominios de Amazon OpenSearch Service estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de OpenSearch Service dentro de una Amazon VPC garantiza una comunicación segura entre OpenSearch Service y otros servicios dentro de la Amazon VPC sin necesidad de utilizar una puerta de enlace de Internet, un dispositivo NAT o una conexión de VPN. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la nube de AWS de manera que garantice que no se pueda acceder públicamente a los nodos maestros del clúster de Amazon EMR. Los nodos maestros del clúster de Amazon EMR pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Implemente instancias de Amazon Elastic Compute Cloud (Amazon EC2) dentro de una Amazon Virtual Private Cloud (Amazon VPC) para permitir una comunicación segura entre una instancia y otros servicios dentro de la Amazon VPC, sin necesidad de utilizar una puerta de enlace de internet, un dispositivo NAT ni una conexión de VPN. Todo el tráfico permanece seguro dentro de la nube de AWS. Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Asigne instancias de Amazon EC2 a una Amazon VPC para gestionar correctamente el acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la nube de AWS de manera que se garantice que no se pueda acceder públicamente a las funciones de AWS Lambda. El acceso público puede degradar la disponibilidad de los recursos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Implemente funciones de AWS Lambda en una Amazon Virtual Private Cloud (Amazon VPC) para obtener una comunicación segura entre una función y otros servicios de Amazon VPC. Con esta configuración, no se requiere ninguna puerta de enlace de internet, dispositivo NAT ni conexión de VPN. Todo el tráfico permanece seguro dentro de la nube de AWS. Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Para gestionar correctamente el acceso, las funciones de AWS Lambda deben asignarse a una VPC. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que las tablas de enrutamiento de Amazon EC2 no tengan rutas ilimitadas a una puerta de enlace de internet. Eliminar o limitar el acceso a internet para las cargas de trabajo dentro de las Amazon VPC puede reducir el acceso no deseado a su entorno. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además, dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además, dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los clústeres de Amazon Redshift no sean públicos. Los clústeres de Amazon Redshift pueden contener información confidencial y principios. Además dichas cuentas requieren control de acceso. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Esta regla le permite configurar de forma opcional los parámetros blockedPort1 a blockedPort5 (valores predeterminados de Config: 20,21,3389,3306,4333). Los valores reales deben reflejar las políticas de su organización. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que no se pueda acceder públicamente a buckets de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público. Esta regla le permite configurar de forma opcional los parámetros ignorePublicAcls (valor predeterminado de Config: True), blockPublicPolicy (valor predeterminado de Config: True), blockPublicAcls (valor predeterminado de Config: True) y restrictPublicBuckets (valor predeterminado de Config: True). Los valores reales deben reflejar las políticas de su organización. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a administrar el acceso a la red al proporcionar un filtrado continuo del tráfico de red de entrada y salida a los recursos de AWS. Al no permitir el tráfico de entrada (o el tráfico remoto) desde 0.0.0.0/0 al puerto 22 en sus recursos, podrá restringir el acceso remoto. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que no se pueda acceder públicamente a buckets de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público en el nivel del bucket. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la nube de AWS de manera que solo permita a los usuarios, procesos y dispositivos autorizados acceder a buckets de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la nube de AWS de manera que solo permita a los usuarios, procesos y dispositivos autorizados acceder a buckets de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los blocs de notas de Amazon SageMaker no permitan el acceso directo a internet. Al impedir el acceso directo a internet, puede evitar que usuarios no autorizados accedan a los datos confidenciales. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que los documentos de AWS Systems Manager (SSM) no sean públicos, ya que esto podría permitir el acceso no deseado a los documentos de SSM. Un documento de SSM público puede exponer información sobre su cuenta, sus recursos y sus procesos internos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la nube de AWS de manera que garantice que no se asigne automáticamente una dirección IP pública a las subredes de Amazon Virtual Private Cloud (VPC). Las instancias de Amazon Elastic Compute Cloud (EC2) que se lanzan en subredes que tienen este atributo habilitado tienen una dirección IP pública asignada a su interfaz de red principal. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a administrar el acceso a la red al proporcionar filtros con estado del tráfico de red de entrada y salida a los recursos de AWS. Restringir todo el tráfico en el grupo de seguridad predeterminado ayuda a restringir el acceso remoto a los recursos de AWS. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Al restringir el acceso a los recursos dentro de un grupo de seguridad desde internet (0.0.0.0/0), se puede controlar el acceso remoto a los sistemas internos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Si configura las interfaces de red con una dirección IP pública, se puede acceder a los recursos asociados a esas interfaces de red desde Internet. Los recursos de EC2 no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a sus aplicaciones o servidores. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Para ayudar a proteger las aplicaciones contra las vulnerabilidades de desincronización HTTP, asegurar que el modo de mitigación de desincronización HTTP esté habilitado en los equilibradores de carga de aplicación. Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que sus aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. La mitigación de desincronización incluye modos monitoreados, defensivos y más estrictos. El modo defensivo es el modo predeterminado. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Para ayudar a proteger las aplicaciones contra las vulnerabilidades de desincronización HTTP, asegurar que el modo de mitigación de desincronización HTTP esté habilitado en los equilibradores de carga de aplicación. Los problemas de desincronización de HTTP pueden provocar el contrabando de solicitudes y hacer que sus aplicaciones sean vulnerables al envenenamiento de las colas de solicitudes o de la caché. La mitigación de desincronización incluye modos monitoreados, defensivos y más estrictos. El modo defensivo es el modo predeterminado. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | El enrutamiento de VPC mejorado fuerza que todo el tráfico de COPY y UNLOAD entre los repositorios de datos y de clúster pase por su Amazon VPC. A continuación, puede utilizar las características de la VPC, como los grupos de seguridad y las listas de control de acceso a la red, para proteger el tráfico de la red. También puede usar los registros de flujo de la VPC para monitorear el tráfico de la red. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Dado que pueden existir datos confidenciales, para ayudar a proteger los datos en tránsito, debe asegurarse de que el cifrado esté habilitado para su Elastic Load Balancing. Use AWS Certificate Manager para administrar, aprovisionar e implementar certificados SSL/TLS públicos y privados con servicios de AWS y recursos internos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Dado que pueden existir datos confidenciales, para ayudar a proteger los datos en tránsito, asegúrese de que HTTPS esté activado para las conexiones en sus dominios de Amazon OpenSearch Service. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Gestione el acceso a la nube de AWS de manera que se garantice que los dominios de Amazon OpenSearch Service estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de Amazon OpenSearch Service dentro de una Amazon VPC garantiza una comunicación segura entre Amazon OpenSearch Service y otros servicios dentro de la Amazon VPC sin necesidad de utilizar una puerta de enlace de internet, un dispositivo NAT ni una conexión de VPN. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que el cifrado de nodo a nodo para Amazon Elasticsearch Service esté habilitado. El cifrado de nodo a nodo habilita el cifrado TLS 1.2 para todas las comunicaciones dentro de la Amazon Virtual Private Cloud (Amazon VPC). Puesto que puede haber datos confidenciales, habilite el cifrado en tránsito para proteger esos datos. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | Asegúrese de que la respuesta HTTP PUT del servicio de metadatos de instancias (IMDS) esté restringida a la instancia de Amazon Elastic Compute Cloud (Amazon EC2). Con IMDSv2, la respuesta PUT que contiene el token secreto de forma predeterminada no puede viajar fuera de la instancia, ya que el límite de saltos de respuesta de metadatos está establecido en 1 (valor predeterminado de Config). Si este valor es superior a 1, el token puede salir de la instancia EC2. | |
| 3.1.3e | Emplear [Asignación: soluciones de transferencia de información seguras definidas por la organización] para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados. | El acceso a los puertos de administración remota de servidores de las listas de control de acceso a la red (NACL), como el puerto 22 (SSH) y el puerto 3389 (RDP), no debe ser de acceso público, ya que esto puede permitir el acceso no deseado a los recursos de la VPC. | |
| 3.2.1e | Ofrezca una capacitación de sensibilización [asignación: frecuencia definida por la organización] centrada en reconocer y responder a las amenazas derivadas de la ingeniería social, los actores de amenazas avanzadas y persistentes, las infracciones y los comportamientos sospechosos; actualice la formación [asignación: frecuencia definida por la organización] o cuando se produzcan cambios significativos en la amenaza. | security-awareness-program-exists (verificación del proceso) | Establezca y mantenga un programa de concienciación sobre la seguridad para su organización. Los programas de concienciación sobre la seguridad enseñan al personal a proteger la organización frente a diversas infracciones o incidentes de seguridad. |
| 3.4.2e | Use mecanismos automatizados para detectar componentes del sistema mal configurados o no autorizados; tras la detección, [seleccione (uno o más): retire los componentes; coloque los componentes en una red de cuarentena o remediación] para facilitar la aplicación de parches, la reconfiguración u otras medidas de mitigación. | Habilite esta regla para ayudar a identificar y documentar las vulnerabilidades de Amazon Elastic Compute Cloud (Amazon EC2). La regla comprueba si los parches de instancias de Amazon EC2 cumplen con los requisitos de las políticas y procedimientos de su organización en AWS Systems Manager. | |
| 3.4.2e | Use mecanismos automatizados para detectar componentes del sistema mal configurados o no autorizados; tras la detección, [seleccione (uno o más): retire los componentes; coloque los componentes en una red de cuarentena o remediación] para facilitar la aplicación de parches, la reconfiguración u otras medidas de mitigación. | La activación de las actualizaciones de plataforma gestionadas para un entorno de Amazon Elastic Beanstalk garantiza que se instalen las últimas correcciones, actualizaciones y características de la plataforma disponibles para el entorno. Mantenerse actualizado mediante la instalación de parches es una práctica recomendada para proteger los sistemas. | |
| 3.4.2e | Use mecanismos automatizados para detectar componentes del sistema mal configurados o no autorizados; tras la detección, [seleccione (uno o más): retire los componentes; coloque los componentes en una red de cuarentena o remediación] para facilitar la aplicación de parches, la reconfiguración u otras medidas de mitigación. | Esta regla garantiza que los clústeres de Amazon Redshift tengan la configuración preferida para su organización. En concreto, que tengan períodos de mantenimiento preferidos y períodos de retención automática de instantáneas para la base de datos. Esta regla requiere que configure allowVersionUpgrade. El valor predeterminado es true. También le permite definir de forma opcional los parámetros preferredMaintenanceWindow (el valor predeterminado es sat:16:00-sat:16:30) y automatedSnapshotRetentionPeriod (el valor predeterminado es 1). Los valores reales deben reflejar las políticas de su organización. | |
| 3.4.2e | Use mecanismos automatizados para detectar componentes del sistema mal configurados o no autorizados; tras la detección, [seleccione (uno o más): retire los componentes; coloque los componentes en una red de cuarentena o remediación] para facilitar la aplicación de parches, la reconfiguración u otras medidas de mitigación. | Habilite las actualizaciones automáticas de las versiones secundarias en sus instancias de Amazon Relational Database Service (RDS) para garantizar que estén instaladas las últimas actualizaciones de las versiones secundarias del sistema de administración de bases de datos relacionales (RDBMS, por sus siglas en inglés), que pueden incluir parches de seguridad y correcciones de errores. | |
| 3.4.3e | Emplee herramientas automatizadas de descubrimiento y administración para mantener un inventario de los componentes del sistema actualizado, completo, preciso y fácilmente disponible. | Se puede realizar un inventario de las aplicaciones y plataformas de software de la organización mediante la administración de instancias de Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Use AWS Systems Manager para proporcionar configuraciones detalladas del sistema, niveles de parches del sistema operativo, nombre y tipo de servicios, instalaciones de software, nombre de la aplicación, publicador y versión, y otros detalles sobre su entorno. | |
| 3.4.3e | Emplee herramientas automatizadas de descubrimiento y administración para mantener un inventario de los componentes del sistema actualizado, completo, preciso y fácilmente disponible. | Habilite esta regla para facilitar la configuración de referencia de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) al comprobar si las instancias de Amazon EC2 se han detenido durante más días de los permitidos, de acuerdo con los estándares de su organización. | |
| 3.4.3e | Emplee herramientas automatizadas de descubrimiento y administración para mantener un inventario de los componentes del sistema actualizado, completo, preciso y fácilmente disponible. | Esta regla garantiza que los volúmenes de Amazon Elastic Block Store que están adjuntos a instancias de Amazon Elastic Compute Cloud (Amazon EC2) estén marcados para su eliminación al finalizar una instancia. Si un volumen de Amazon EBS no se elimina al finalizar la instancia a la que está asociado, podría infringir el concepto de funcionalidad mínima. | |
| 3.4.3e | Emplee herramientas automatizadas de descubrimiento y administración para mantener un inventario de los componentes del sistema actualizado, completo, preciso y fácilmente disponible. | Esta regla garantiza que las IP elásticas asignadas a una Amazon Virtual Private Cloud (Amazon VPC) estén conectadas a instancias de Amazon Elastic Compute Cloud (Amazon EC2) o a interfaces de red elástica en uso. Esta regla ayuda a monitorear las EIP que no se utilizan en su entorno. | |
| 3.4.3e | Emplee herramientas automatizadas de descubrimiento y administración para mantener un inventario de los componentes del sistema actualizado, completo, preciso y fácilmente disponible. | Esta regla garantiza que se utilicen las listas de control de acceso a la red de Amazon Virtual Private Cloud (VPC). El monitoreo de las listas de control de acceso a la red no utilizadas puede ayudar a realizar un inventario y una gestión precisos del entorno. | |
| 3.5.2e | Emplee mecanismos automatizados para la generación, protección, rotación y administración de contraseñas para los sistemas y componentes del sistema que no admitan la autenticación multifactorial o la administración de cuentas complejas. | Las identidades y las credenciales se emiten, administran y verifican en función de la política de contraseñas de IAM de la organización. Cumplen o superan los requisitos definidos en NIST SP 800-63 y en el estándar Prácticas recomendadas de seguridad básica de AWS para la seguridad de las contraseñas. Esta regla le permite definir de forma opcional RequireUppercaseCharacters (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireLowercaseCharacters (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireSymbols (valor de Prácticas recomendadas de seguridad básica de AWS: true), RequireNumbers (valor de Prácticas recomendadas de seguridad básica de AWS: true), MinimumPasswordLength (valor de Prácticas recomendadas de seguridad básica de AWS: 14), PasswordReusePrevention (valor de Prácticas recomendadas de seguridad básica de AWS: 24) y MaxPasswordAge (valor de Prácticas recomendadas de seguridad básica de AWS: 90) para su política de contraseñas de IAM. Los valores reales deben reflejar las políticas de su organización. | |
| 3.5.2e | Emplee mecanismos automatizados para la generación, protección, rotación y administración de contraseñas para los sistemas y componentes del sistema que no admitan la autenticación multifactorial o la administración de cuentas complejas. | Esta regla garantiza que los secretos de AWS Secrets Manager tengan habilitada la rotación. La rotación de los secretos de forma habitual puede acortar el período de vigencia de un secreto y, potencialmente, reducir el impacto sobre la empresa si el secreto se desvela. | |
| 3.5.2e | Emplee mecanismos automatizados para la generación, protección, rotación y administración de contraseñas para los sistemas y componentes del sistema que no admitan la autenticación multifactorial o la administración de cuentas complejas. | Esta regla garantiza que los secretos de AWS Secrets Manager se distribuyan correctamente de acuerdo con el programa de rotación. La rotación de los secretos de forma habitual puede acortar el período de vigencia de un secreto y, potencialmente, reducir el impacto sobre la empresa si se desvela. | |
| 3.5.2e | Emplee mecanismos automatizados para la generación, protección, rotación y administración de contraseñas para los sistemas y componentes del sistema que no admitan la autenticación multifactorial o la administración de cuentas complejas. | Esta regla garantiza que los secretos de AWS Secrets Manager se distribuyan correctamente de acuerdo con el programa de rotación. La rotación de los secretos de forma habitual puede acortar el período de vigencia de un secreto y, potencialmente, reducir el impacto sobre la empresa si se desvela. | |
| 3.11.1e | Emplee [asignación: fuentes de inteligencia sobre amenazas definidas por la organización] como parte de una evaluación de riesgos para guiar y determine el desarrollo de los sistemas organizativos, las arquitecturas de seguridad, la selección de soluciones de seguridad, la supervisión, la búsqueda de amenazas y las actividades de respuesta y recuperación. | Amazon GuardDuty puede ayudar a monitorear y detectar posibles eventos de ciberseguridad mediante fuentes de información sobre amenazas. Estas incluyen listas de IP malintencionadas y machine learning para identificar la actividad inesperada y no permitida, así como la actividad malintencionada en el entorno de la nube de AWS. | |
| 3.11.2e | Realizar actividades de búsqueda de ciberamenazas [selección (una o más): [asignación: frecuencia definida por la organización]; [asignación: evento definido por la organización]] para buscar indicadores de situaciones de riesgo en [asignación: sistemas definidos por la organización] y detectar, rastrear e interrumpir las amenazas que eluden los controles existentes. | Amazon GuardDuty puede ayudar a monitorear y detectar posibles eventos de ciberseguridad mediante fuentes de información sobre amenazas. Estas incluyen listas de IP malintencionadas y machine learning para identificar la actividad inesperada y no permitida, así como la actividad malintencionada en el entorno de la nube de AWS. | |
| 3.11.5e | Evaluar la eficacia de las soluciones de seguridad [asignación: frecuencia definida por la organización] para abordar el riesgo previsto para los sistemas organizativos y la organización en función de la información sobre amenazas actual y acumulada. | annual-risk-assessment-performed (verificación del proceso) | Realice una evaluación anual de los riesgos de su organización. Las evaluaciones de riesgos pueden ayudar a determinar la probabilidad y el impacto de los riesgos o vulnerabilidades identificados que afecten a una organización. |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Administre el acceso a la nube de AWS de manera que se garantice que no se pueda acceder públicamente a las instancias de replicación de DMS. Las instancias de replicación de DMS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Administre el acceso a la nube de AWS de manera que se garantice que las instantáneas de EBS no se puedan restaurar públicamente. Las instantáneas de volumen de EBS pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la nube de AWS de manera que se garantice que no se puede acceder públicamente a instancias de Amazon Elastic Compute Cloud (Amazon EC2). Las instancias de Amazon EC2 pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la nube de AWS de manera que se garantice que los dominios de Amazon OpenSearch Service estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de OpenSearch Service dentro de una Amazon VPC garantiza una comunicación segura entre OpenSearch Service y otros servicios dentro de la Amazon VPC sin necesidad de utilizar una puerta de enlace de Internet, un dispositivo NAT o una conexión de VPN. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la nube de AWS de manera que garantice que no se pueda acceder públicamente a los nodos maestros del clúster de Amazon EMR. Los nodos maestros del clúster de Amazon EMR pueden contener información confidencial y dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Implemente instancias de Amazon Elastic Compute Cloud (Amazon EC2) dentro de una Amazon Virtual Private Cloud (Amazon VPC) para permitir una comunicación segura entre una instancia y otros servicios dentro de la Amazon VPC, sin necesidad de utilizar una puerta de enlace de internet, un dispositivo NAT ni una conexión de VPN. Todo el tráfico permanece seguro dentro de la nube de AWS. Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Asigne instancias de Amazon EC2 a una Amazon VPC para gestionar correctamente el acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la nube de AWS de manera que se garantice que no se pueda acceder públicamente a las funciones de AWS Lambda. El acceso público puede degradar la disponibilidad de los recursos. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Implemente funciones de AWS Lambda en una Amazon Virtual Private Cloud (Amazon VPC) para obtener una comunicación segura entre una función y otros servicios de Amazon VPC. Con esta configuración, no se requiere ninguna puerta de enlace de internet, dispositivo NAT ni conexión de VPN. Todo el tráfico permanece seguro dentro de la nube de AWS. Debido a su aislamiento lógico, los dominios que residen dentro de una Amazon VPC tienen una capa adicional de seguridad en comparación con los dominios que utilizan puntos de conexión públicos. Para gestionar correctamente el acceso, las funciones de AWS Lambda deben asignarse a una VPC. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además, dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de base de datos de Amazon RDS pueden contener información confidencial y principios. Además, dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los clústeres de Amazon Redshift no sean públicos. Los clústeres de Amazon Redshift pueden contener información confidencial y principios. Además dichas cuentas requieren control de acceso. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que no se pueda acceder públicamente a buckets de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público. Esta regla le permite configurar de forma opcional los parámetros ignorePublicAcls (valor predeterminado de Config: True), blockPublicPolicy (valor predeterminado de Config: True), blockPublicAcls (valor predeterminado de Config: True) y restrictPublicBuckets (valor predeterminado de Config: True). Los valores reales deben reflejar las políticas de su organización. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la nube de AWS de manera que solo permita a los usuarios, procesos y dispositivos autorizados acceder a buckets de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la nube de AWS de manera que solo permita a los usuarios, procesos y dispositivos autorizados acceder a buckets de Amazon Simple Storage Service (Amazon S3). La administración del acceso debe ser coherente con la clasificación de los datos. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los blocs de notas de Amazon SageMaker no permitan el acceso directo a internet. Al impedir el acceso directo a internet, puede evitar que usuarios no autorizados accedan a los datos confidenciales. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la nube de AWS de manera que garantice que no se asigne automáticamente una dirección IP pública a las subredes de Amazon Virtual Private Cloud (VPC). Las instancias de Amazon Elastic Compute Cloud (EC2) que se lanzan en subredes que tienen este atributo habilitado tienen una dirección IP pública asignada a su interfaz de red principal. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a la nube de AWS de manera que se garantice que los dominios de Amazon OpenSearch Service estén dentro de una Amazon Virtual Private Cloud (Amazon VPC). Un dominio de Amazon OpenSearch Service dentro de una Amazon VPC garantiza una comunicación segura entre Amazon OpenSearch Service y otros servicios dentro de la Amazon VPC sin necesidad de utilizar una puerta de enlace de internet, un dispositivo NAT ni una conexión de VPN. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | El acceso a los puertos de administración remota de servidores de las listas de control de acceso a la red (NACL), como el puerto 22 (SSH) y el puerto 3389 (RDP), no debe ser de acceso público, ya que esto puede permitir el acceso no deseado a los recursos de la VPC. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que no se pueda acceder públicamente a buckets de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a proteger los datos confidenciales de usuarios remotos no autorizados al impedir el acceso público en el nivel del bucket. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Asegúrese de que los documentos de AWS Systems Manager (SSM) no sean públicos, ya que esto podría permitir el acceso no deseado a los documentos de SSM. Un documento de SSM público puede exponer información sobre su cuenta, sus recursos y sus procesos internos. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Si configura las interfaces de red con una dirección IP pública, se puede acceder a los recursos asociados a esas interfaces de red desde Internet. Los recursos de EC2 no deben ser de acceso público, ya que esto podría permitir el acceso no deseado a sus aplicaciones o servidores. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | El enrutamiento de VPC mejorado fuerza que todo el tráfico de COPY y UNLOAD entre los repositorios de datos y de clúster pase por su Amazon VPC. A continuación, puede utilizar las características de la VPC, como los grupos de seguridad y las listas de control de acceso a la red, para proteger el tráfico de la red. También puede usar los registros de flujo de la VPC para monitorear el tráfico de la red. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a administrar el acceso a la red al proporcionar un filtrado continuo del tráfico de red de entrada y salida a los recursos de AWS. Al no permitir el tráfico de entrada (o el tráfico remoto) desde 0.0.0.0/0 al puerto 22 en sus recursos, podrá restringir el acceso remoto. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Esta regla le permite configurar de forma opcional los parámetros blockedPort1 a blockedPort5 (valores predeterminados de Config: 20,21,3389,3306,4333). Los valores reales deben reflejar las políticas de su organización. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a administrar el acceso a la red al proporcionar filtros con estado del tráfico de red de entrada y salida a los recursos de AWS. Restringir todo el tráfico en el grupo de seguridad predeterminado ayuda a restringir el acceso remoto a los recursos de AWS. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Gestione el acceso a los recursos en la nube de AWS de manera que garantice que los puertos comunes estén restringidos en los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2). No restringir el acceso a los puertos a solamente fuentes fiables puede afectar a la disponibilidad, integridad y confidencialidad de los sistemas. Al restringir el acceso a los recursos dentro de un grupo de seguridad desde internet (0.0.0.0/0), se puede controlar el acceso remoto a los sistemas internos. | |
| 3.13.4e | Emplee [selección: (una o más): [asignación: técnicas de aislamiento físico definidas por la organización]; [asignación: técnicas de aislamiento lógico definidas por la organización]] en los sistemas organizativos y los componentes del sistema. | Asegúrese de que las tablas de enrutamiento de Amazon EC2 no tengan rutas ilimitadas a una puerta de enlace de internet. Eliminar o limitar el acceso a internet para las cargas de trabajo dentro de las Amazon VPC puede reducir el acceso no deseado a su entorno. | |
| 3.14.1e | Verifique la integridad de [asignación: software crítico o esencial para la seguridad definido por la organización] mediante mecanismos de raíz de confianza o firmas criptográficas. | Utilice la validación de los archivos de registro de AWS CloudTrail para comprobar la integridad de los registros de CloudTrail. La validación de archivos de registro ayuda a determinar si un archivo de registro se ha modificado, eliminado o no se ha modificado después de que CloudTrail lo haya entregado. Esta característica se compila mediante los algoritmos estándar de la industria: SHA-256 para el hash y SHA-256 con RSA para la firma digital. De ese modo, resulta imposible desde el punto de vista informático modificar, eliminar o falsificar archivos de registros de CloudTrail sin que se sepa. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | Amazon GuardDuty puede ayudar a monitorear y detectar posibles eventos de ciberseguridad mediante fuentes de información sobre amenazas. Estas incluyen listas de IP malintencionadas y machine learning para identificar la actividad inesperada y no permitida, así como la actividad malintencionada en el entorno de la nube de AWS. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | Utilice Amazon CloudWatch para recopilar y administrar de forma centralizada la actividad de los eventos de registro. La inclusión de datos de AWS CloudTrail proporciona detalles de la actividad de llamadas a la API en su Cuenta de AWS. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | Las alarmas de Amazon CloudWatch avisan cuando una métrica supera el umbral durante un número específico de periodos de evaluación. La alarma realiza una o varias acciones según el valor de la métrica o expresión con respecto a un umbral durante varios períodos de tiempo. Esta regla requiere un valor para alarmActionRequired (valor predeterminado de Config: True), insufficientDataActionRequired (valor predeterminado de Config: True) y okActionRequired (valor predeterminado de Config: False). El valor real debe reflejar las acciones de alarma de su entorno. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | Habilite esta regla para ayudar a mejorar el monitoreo de instancias de Amazon Elastic Compute Cloud (Amazon EC2) en la consola de Amazon EC2, que muestra gráficos de monitoreo de la instancia en periodos de 1 minuto. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | Habilite Amazon Relational Database Service (Amazon RDS) para monitorear la disponibilidad de Amazon RDS. Esto proporciona información detallada del estado de las instancias de bases de datos de Amazon RDS. Cuando el almacenamiento de Amazon RDS utiliza más de un dispositivo físico subyacente, el monitoreo mejorado recopila los datos de cada dispositivo. Además, cuando la instancia de base de datos de Amazon RDS se ejecuta en una implementación Multi-AZ, se recopilan los datos de cada dispositivo del host secundario y las métricas del host secundario. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | Los registros del flujo de la VPC proporcionan registros detallados acerca del tráfico IP entrante y saliente de las interfaces de red en su Amazon Virtual Private Cloud (Amazon VPC). De forma predeterminada, el registro de flujo incluye valores para los distintos componentes del flujo de IP, incluido el origen, el destino y el protocolo. | |
| 3.14.2e | Monitoree sistemas organizativos y componentes del sistema de forma regular en busca de comportamientos anómalos o sospechosos. | AWS Security Hub ayuda a monitorear el personal, las conexiones, los dispositivos y el software no autorizados. AWS Security Hub agrega, organiza y prioriza las alertas de seguridad o los resultados de varios servicios de AWS. Algunos de estos servicios son Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer, AWS Firewall Manager y soluciones de socios de AWS. | |
| 3.14.6e | Utilice la información sobre los indicadores de amenazas y las mitigaciones efectivas obtenidas de [asignación: organizaciones externas definidas por la organización] para guiar e informar sobre la detección de intrusiones y la búsqueda de amenazas. | Amazon GuardDuty puede ayudar a monitorear y detectar posibles eventos de ciberseguridad mediante fuentes de información sobre amenazas. Estas incluyen listas de IP malintencionadas y machine learning para identificar la actividad inesperada y no permitida, así como la actividad malintencionada en el entorno de la nube de AWS. | |
| 3.14.7e | Verifique la exactitud de [asignación: componentes de software, firmware y hardware esenciales o críticos para la seguridad definidos por la organización] mediante [asignación: métodos o técnicas de verificación definidos por la organización]. | Use AWS Systems Manager Associations para ayudar con el inventario de las plataformas y aplicaciones de software dentro de una organización. AWS Systems Manager asigna un estado de configuración a las instancias administradas y le permite establecer líneas de referencia de los niveles de parches del sistema operativo, las instalaciones de software, las configuraciones de las aplicaciones y otros detalles sobre su entorno. | |
| 3.14.7e | Verifique la exactitud de [asignación: componentes de software, firmware y hardware esenciales o críticos para la seguridad definidos por la organización] mediante [asignación: métodos o técnicas de verificación definidos por la organización]. | Habilite esta regla para ayudar a identificar y documentar las vulnerabilidades de Amazon Elastic Compute Cloud (Amazon EC2). La regla comprueba si los parches de instancias de Amazon EC2 cumplen con los requisitos de las políticas y procedimientos de su organización en AWS Systems Manager. | |
| 3.14.7e | Verifique la exactitud de [asignación: componentes de software, firmware y hardware esenciales o críticos para la seguridad definidos por la organización] mediante [asignación: métodos o técnicas de verificación definidos por la organización]. | Se puede realizar un inventario de las aplicaciones y plataformas de software de la organización mediante la administración de instancias de Amazon Elastic Compute Cloud (Amazon EC2) con AWS Systems Manager. Use AWS Systems Manager para proporcionar configuraciones detalladas del sistema, niveles de parches del sistema operativo, nombre y tipo de servicios, instalaciones de software, nombre de la aplicación, publicador y versión, y otros detalles sobre su entorno. | |
| 3.14.7e | Verifique la exactitud de [asignación: componentes de software, firmware y hardware esenciales o críticos para la seguridad definidos por la organización] mediante [asignación: métodos o técnicas de verificación definidos por la organización]. | Las actualizaciones y los parches de seguridad se implementan automáticamente para las tareas de AWS Fargate. Si se encuentra un problema de seguridad que afecta a una versión de la plataforma de AWS Fargate, AWS parchea la versión de la plataforma. Para facilitar la administración de parches de las tareas de Amazon Elastic Container Service (ECS) que ejecutan AWS Fargate, actualice las tareas independientes de los servicios para utilizar la versión de plataforma más reciente. | |
| 3.14.7e | Verifique la exactitud de [asignación: componentes de software, firmware y hardware esenciales o críticos para la seguridad definidos por la organización] mediante [asignación: métodos o técnicas de verificación definidos por la organización]. | El análisis de imágenes de Amazon Elastic Container Repository (ECR) ayuda a identificar vulnerabilidades de software en las imágenes de contenedor. Al habilitar el análisis de imágenes en los repositorios de ECR, se añade un nivel de verificación de la integridad y seguridad de las imágenes que se almacenan. |
Plantilla
La plantilla está disponible en GitHub: Operational Best Practices for NIST 800 172
