Categorías de control - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Categorías de control

Cada control enAWS Security Hubtiene asignada una categoría. La categoría de un control refleja la función de seguridad a la que se aplica el control.

El valor de categoría contiene la categoría, la subcategoría dentro de la categoría y, opcionalmente, un clasificador dentro de la subcategoría. Por ejemplo:

  • Detectar - Servicios de detección - Supervisión de aplicaciones

  • Identificar - Inventario

  • Proteger - Protección de datos en tránsito

A continuación se describen las categorías, subcategorías y clasificadores que se aplican a los controles de Security Hub disponibles actualmente.

Detect

Desarrolle e implemente las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad.

Servicios de detección

¿Existen los servicios de detección correctos con la cantidad correcta de cobertura?

Ejemplos deAWSlos servicios de detección incluyen Amazon CloudWatch Alarmas, Amazon Detective, Amazon GuardDuty, Amazon Inspector,AWS IoT Device Defender,AWS Security Hub, yAWS Trusted Advisor.

  • Monitorización de aplicaciones— ¿Se supervisa el estado de las aplicaciones para mantener la disponibilidad?

Identificar

Desarrollar la comprensión organizativa para administrar el riesgo de ciberseguridad para sistemas, activos, datos y capacidades.

Inventario de

¿Qué recursos se utilizan y son recursos aprobados para este servicio?

  • Etiquetado— ¿Se implementan las estrategias correctas de etiquetado de recursos para el servicio, incluido el propietario del recurso?

Registro

¿Ha habilitado de forma segura todos los registros relevantes para el servicio? Algunos ejemplos de archivos de registro son los siguientes:

  • Logs de flujo de Amazon VPC

  • Registros de acceso de Elastic Load Balancing

  • Amazon CloudFront Registros de

  • Amazon CloudWatch Registros de

  • Registros de Amazon Relational Database Service

  • Amazon OpenSearch Registros de índice lento de servicio

  • Rastreo de X-Ray

  • Registros de AWS Directory Service

  • AWS Configelementos

Configuración de recursos

¿Entiende cómo se configuran sus recursos para poder reducir su superficie de ataque?

Administración de vulnerabilidades, parches y versiones

¿Tiene recursos a los que hay que aplicar parches o recursos con vulnerabilidades inaceptables? ¿Está utilizando las últimas versiones de software?

Proteger

Desarrollar y aplicar las protecciones adecuadas para garantizar la prestación de servicios de infraestructura críticos y prácticas de codificación seguras.

Gestión segura del acceso

¿Existen políticas de autenticación y autorización sólidas para el servicio?

  • Control de acceso— ¿Se alinean las políticas de recursos o de IAM para el servicio con las prácticas de menor privilegio?

  • Autenticación sin contraseña— ¿Se utilizan identidades federadas o SSO para autenticar a los usuarios en lugar de los ID, las contraseñas y las claves de acceso? ¿Se usa Kerberos para eliminar la necesidad de transmitir contraseñas a través de la red?

  • Restricciones de acceso de usuarios— ¿Se evita el uso del usuario root?

  • Acciones de API sensibles restringidas— ¿Están debidamente restringidas las acciones de API confidenciales para un servicio, especialmente aquellas que conducen a la escalada de privilegios o al uso compartido de recursos? Esto podría aplicarse a las políticas de IAM o basadas en recursos.

Configuración de red segura

¿Se evita el acceso público y no seguro a la red remota para el servicio?

  • Acceso privado a API— ¿Están habilitados los endpoints de la VPC para el acceso privado aAWS¿API?

  • Recursos de acceso no público— ¿Están los recursos correctamente segmentados y aislados?

  • Recursos de la VPC— ¿Existe un uso adecuado de las VPC, por ejemplo, requerir que los trabajos se ejecuten en VPC?

  • Configuración del grupo de seguridad— ¿Los grupos de seguridad están configurados de forma segura

Protección de los datos

¿Dispone de mecanismos para proteger los datos que su servicio consume, envía o almacena?

  • Cifrado de datos en reposo— ¿Cifrado el servicio de datos en reposo?

  • Cifrado de datos en tránsito— ¿El servicio cifra los datos en tránsito?

  • Inteedule— ¿El servicio valida los datos para garantizar su integridad?

  • Protección frente a la eliminación— ¿El servicio protege los datos de la eliminación accidental?

Protección de API

¿El servicio utilizaAWS PrivateLinkpara proteger las operaciones de la API de servicio?

Servicios de protección

¿Los servicios de protección adecuados están bien ubicados? ¿Proporcionan la cantidad correcta de cobertura?

Los servicios de protección le ayudan a desviar los ataques y compromisos dirigidos al servicio. Ejemplos de servicios de protección enAWSincluirAWS Control Tower,AWS WAF,AWS Shield Advanced,AWS Network Firewall,AWS Secrets Manager,AWS Identity and Access ManagementAccess Analyzer yAWS Resource Access Manager.

Desarrollo seguro

¿Utiliza prácticas de codificación seguras?

  • Credenciales no codificadas— ¿Tiene credenciales codificadas en su código?

Recuperar

Desarrolle e implemente las actividades apropiadas para mantener planes de resiliencia y restaurar cualquier capacidad o servicio que se haya visto afectado debido a un evento de ciberseguridad.

Resiliencia

¿Pueden sus cargas de trabajo recuperarse rápidamente de un evento de seguridad?

  • Sedule— ¿Ha establecido y probado copias de seguridad?

  • Alta disponibilidad— ¿La configuración del servicio permite conmutaciones por error elegantes, escalado elástico y alta disponibilidad?