Controles de Amazon Elastic Compute Cloud - AWS Security Hub
[EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente[EC2.2] El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente[EC2.3] Los volúmenes de Amazon EBS adjuntos deben cifrarse en reposo[EC2.4] Las instancias de Amazon EC2 detenidas deben eliminarse después de un período de tiempo específico[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC[EC2.7] El cifrado predeterminado de EBS debe estar activado[EC2.8] Las instancias de EC2 deben usar la versión 2 del servicio de metadatos de instancias (IMDSv2)[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección IPv4 pública[EC2.10] Amazon EC2 debe configurarse para utilizar puntos de enlace de VPC creados para el servicio Amazon EC2[EC2.12] Los EIP de Amazon EC2 no utilizados deben eliminarse[EC2.13] Los grupos de seguridad no deberían permitir la entrada de 0.0.0.0/0 al puerto 22[EC2.14] Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0/0 al puerto 3389[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas[EC2.17] Las instancias de Amazon EC2 no deben utilizar varios ENI[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones a los puertos autorizados[EC2.19] Los grupos de seguridad no deberían permitir el acceso sin restricciones a los puertos de alto riesgo[EC2.20] Ambos túneles VPN para una conexión VPN de AWS sitio a sitio deberían estar activos[EC2.21] Las ACL de red no deberían permitir la entrada de 0.0.0.0/0 al puerto 22 o al puerto 3389[EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse[EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IP públicas a las interfaces de red[EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo[EC2.29] Las instancias de EC2 deben lanzarse en una VPC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Amazon Elastic Compute Cloud

Estos controles están relacionados con los recursos de Amazon EC2.

Es posible que estos controles no estén disponibles en todosRegiones de AWS. Para obtener más información, consulte Disponibilidad de controles por región.

[EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIS.800-53.R5 NIST-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Categoría: Proteger - Configuración de red segura

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config: ebs-snapshot-public-restorable-check

Tipo de cronograma: Periódico

Parámetros: ninguno

Este control comprueba si las instantáneas de Amazon Elastic Block Store no son públicas. El control falla si cualquier persona puede restaurar las instantáneas de Amazon EBS.

Las instantáneas de EBS se utilizan para hacer copias de seguridad de los datos de sus volúmenes de EBS en Amazon S3 en un momento específico. Puede utilizar las instantáneas para restaurar estados anteriores de volúmenes de EBS. Rara vez es aceptable compartir una instantánea con el público. Por lo general, la decisión de compartir una instantánea públicamente se toma por error o sin una comprensión completa de las consecuencias. Esta comprobación ayuda a garantizar que todos esos intercambios se planificaron y son intencionados.

Para convertir una instantánea de EBS pública en privada, consulte Compartir una instantánea en la Guía del usuario de Amazon EC2 para instancias de Linux. En Acciones, Modificar permisos, elija Privado.

[EC2.2] El grupo de seguridad predeterminado de VPC no debe permitir el tráfico entrante ni saliente

Requisitos relacionados: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS Foundations Benchmark v1.2.0/4.3, CIS AWS Foundations Benchmark v1.4.0/5.3, NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIS.800-53.R5 SC-7, SC.800-53.R5 NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (5) AWS

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config: vpc-default-security-group-closed

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba que el grupo de seguridad predeterminado de una VPC no permita el tráfico entrante ni saliente.

Las reglas del grupo de seguridad predeterminado permiten todo el tráfico saliente y entrante de las interfaces de red (y de sus instancias asociadas) asignadas al mismo grupo de seguridad.

No recomendamos utilizar el grupo de seguridad predeterminado. Dado que el grupo de seguridad predeterminado no se puede eliminar, debería cambiar la configuración de reglas de grupo de seguridad predeterminada para restringir el tráfico entrante y saliente. Esto evita el tráfico no deseado si el grupo de seguridad predeterminado se configura accidentalmente para recursos como instancias EC2.

Corrección

Para solucionar este problema, comience por crear nuevos grupos de seguridad con privilegios mínimos. Para obtener instrucciones, consulte Crear un grupo de seguridad en la Guía del usuario de Amazon VPC. A continuación, asigne los nuevos grupos de seguridad a sus instancias de EC2. Para obtener instrucciones, consulte Cambiar el grupo de seguridad de una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

Después de asignar los nuevos grupos de seguridad a sus recursos, elimine todas las reglas entrantes y salientes de los grupos de seguridad predeterminados. Para obtener instrucciones, consulte Eliminar reglas de grupos de seguridad en la Guía del usuario de Amazon VPC.

[EC2.3] Los volúmenes de Amazon EBS adjuntos deben cifrarse en reposo

Requisitos relacionados: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: media

Tipo de recurso: AWS::EC2::Volume

Regla de AWS Config: encrypted-volumes

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si los volúmenes de EBS asociados están cifrados. Para superar esta comprobación, los volúmenes de EBS deben tener el estado de uso y estar cifrados. Si el volumen de EBS no está asociado, entonces no estará en el alcance de esta comprobación.

Para obtener una capa adicional de seguridad de la información confidencial en volúmenes de EBS, debe habilitar el cifrado de EBS en reposo. Amazon EBS ofrece una solución de cifrado sencilla para los recursos de EBS que no precisa que cree, mantenga y proteja su propia infraestructura de administración de claves. Utiliza claves de KMS al crear volúmenes e instantáneas cifrados.

Para obtener más información sobre el cifrado de Amazon EBS, consulte el cifrado de Amazon EBS en la Guía del usuario de Amazon EC2 para instancias de Linux.

Corrección

No hay una forma directa de cifrar un volumen o una instantánea no cifrados existentes. Solo puede cifrar un nuevo volumen o instantánea al crearlo.

Si ha habilitado el cifrado de forma predeterminada, Amazon EBS cifra el nuevo volumen o la instantánea resultante con su clave predeterminada para el cifrado de Amazon EBS. Aunque no haya habilitado el cifrado de forma predeterminada, puede habilitarlo al crear un volumen o una instantánea individuales. En ambos casos, puede anular la clave predeterminada para el cifrado de Amazon EBS y elegir una clave simétrica administrada por el cliente.

Para obtener más información, consulte Crear un volumen de Amazon EBS y copiar una instantánea de Amazon EBS en la Guía del usuario de Amazon EC2 para instancias de Linux.

[EC2.4] Las instancias de Amazon EC2 detenidas deben eliminarse después de un período de tiempo específico

Requisitos relacionados: NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

Categoría: Identificar - Inventario

Gravedad: media

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config: ec2-stopped-instance

Tipo de cronograma: Periódico

Parámetros:

  • allowedDays: 30

Este control comprueba si alguna instancia de EC2 se ha detenido durante más de los días permitidos. Una instancia de EC2 no pasa esta comprobación si se detiene durante un período de tiempo superior al máximo permitido, que de forma predeterminada es de 30 días.

Una búsqueda fallida indica que una instancia de EC2 no se ha ejecutado durante un período de tiempo significativo. Esto crea un riesgo de seguridad porque la instancia de EC2 no se mantiene activamente (se analiza, se parchea o se actualiza). Si se lanza más adelante, la falta de un mantenimiento adecuado podría provocar problemas inesperados en su AWS entorno. Para mantener una instancia de EC2 de forma segura a lo largo del tiempo en un estado no en ejecución, iníciela periódicamente para realizar tareas de mantenimiento y, a continuación, deténgala después del mantenimiento. Lo ideal es que se trate de un proceso automatizado.

Corrección

Tras 30 días de inactividad, se recomienda terminar una instancia de EC2. Para obtener instrucciones, consulte Terminación de una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.9, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, CIS AWS Foundations Benchmark v1.4.0/3.9, NIST.800-53.R5 AC-4 (26), NIS.800-53.R5 AU-12, NIST.800-53.R5 AU-2, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-7 (8)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::EC2::VPC

Regla de AWS Config: vpc-flow-logs-enabled

Tipo de cronograma: Periódico

Parámetros:

  • trafficType: REJECT

Este control comprueba si los registros de flujo de Amazon VPC se encuentran y están habilitados para las VPC. El tipo de tráfico está establecido enReject.

Con la función de registros de flujo de la VPC, puedes capturar información sobre el tráfico de direcciones IP que entra y sale de las interfaces de red de tu VPC. Después de crear un registro de flujo, puede ver y recuperar sus datos en CloudWatch Registros. Para reducir los costes, también puede enviar sus registros de flujo a Amazon S3.

Security Hub recomienda habilitar el registro de flujo para los rechazos de paquetes en las VPC. Los registros de flujo permiten ver el tráfico de red que atraviesa la VPC y pueden detectar el tráfico anómalo o proporcionar información durante los flujos de trabajo de seguridad.

De forma predeterminada, el registro incluye valores para los diferentes componentes del flujo de direcciones IP, incluidos el origen, el destino y el protocolo. Para obtener más información y descripciones de los campos de registro, consulte los registros de flujo de VPC en la Guía del usuario de Amazon VPC.

Corrección

Para crear un registro de flujo de VPC, consulte Crear un registro de flujo en la Guía del usuario de Amazon VPC. Tras abrir la consola de Amazon VPC, selecciona Tus VPC. En Filtrar, elija Rechazar o Todo.

[EC2.7] El cifrado predeterminado de EBS debe estar activado

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/2.2.1, NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIS.800-53.R5 SC-28 (1), NIS.800-53.R5 SC-7 (10), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 R5 SI-7 (6)

Categoría: Proteger - Protección de datos - Cifrado de datos en reposo

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config: ec2-ebs-encryption-by-default

Tipo de cronograma: Periódico

Parámetros: ninguno

Este control comprueba si el cifrado a nivel de cuenta está activado de forma predeterminada en Amazon Elastic Block Store (Amazon EBS). El control falla si el cifrado a nivel de cuenta no está habilitado.

Cuando el cifrado está activado en su cuenta, los volúmenes y las copias instantáneas de Amazon EBS se cifran en reposo. Esto añade una capa adicional de protección para sus datos. Para obtener más información, consulte Cifrado de forma predeterminada en la Guía del usuario de Amazon EC2 para instancias de Linux.

Tenga en cuenta que los siguientes tipos de instancias no admiten el cifrado: R1, C1 y M1.

Corrección

Para configurar el cifrado predeterminado para los volúmenes de Amazon EBS, consulte Encriptación predeterminada en la Guía del usuario de Amazon EC2 para instancias de Linux.

[EC2.8] Las instancias de EC2 deben usar la versión 2 del servicio de metadatos de instancias (IMDSv2)

Requisitos relacionados: NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6

Categoría: Proteger > Seguridad de red

Gravedad: alta

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config: ec2-imdsv2-check

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si la versión de metadatos de la instancia de EC2 está configurada con la versión 2 del servicio de metadatos de instancia (IMDSv2). El control pasa si HttpTokens está configurado como obligatorio para IMDSv2. El control falla si HttpTokens está configurado enoptional.

Los metadatos de la instancia se utilizan para configurar o administrar la instancia en ejecución. El IMDS proporciona acceso a credenciales temporales que se rotan con frecuencia. Estas credenciales eliminan la necesidad de codificar de forma rígida o distribuir credenciales confidenciales a las instancias de forma manual o programática. El IMDS está conectado localmente a cada instancia de EC2. Se ejecuta en una dirección IP especial de «enlace local» de 169.254.169.254. Solo el software que se ejecuta en la instancia puede acceder a esta dirección IP.

La versión 2 del IMDS añade nuevas protecciones para los siguientes tipos de vulnerabilidades. Estas vulnerabilidades podrían usarse para intentar acceder al IMDS.

  • Abrir firewalls de aplicaciones de sitios web

  • Abrir proxies inversos

  • Vulnerabilidades de falsificación de solicitudes del lado del servidor (SSRF)

  • Firewalls de capa 3 abierta y traducción de direcciones de red (NAT)

Security Hub recomienda configurar las instancias de EC2 con IMDSv2.

Corrección

Para configurar instancias de EC2 con IMDSv2, consulte la ruta recomendada para requerir IMDSv2 en la Guía del usuario de Amazon EC2 para instancias de Linux.

[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección IPv4 pública

Requisitos relacionados: NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIS.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Categoría: Proteger > Configuración de red segura > Direcciones IP públicas

Gravedad: alta

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config: ec2-instance-no-public-ip

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si las instancias de EC2 tienen una dirección IP pública. El control falla si el publicIp campo está presente en el elemento de configuración de la instancia de EC2. Este control solo se aplica a las direcciones IPv4.

Una dirección IPv4 pública es una dirección IP a la que se puede acceder desde Internet. Si lanza la instancia con una dirección IP pública, podrá acceder a la instancia de EC2 desde Internet. Una dirección IPv4 privada es una dirección IP a la que no se puede acceder desde Internet. Puede usar direcciones IPv4 privadas para la comunicación entre instancias de EC2 en la misma VPC o en la red privada conectada.

Las direcciones IPv6 son únicas a nivel mundial y, por lo tanto, se puede acceder a ellas desde Internet. Sin embargo, de forma predeterminada, todas las subredes tienen el atributo de direccionamiento IPv6 establecido en false. Para obtener más información sobre IPv6, consulte el direccionamiento IP de su VPC en la Guía del usuario de Amazon VPC.

Si tiene un caso de uso legítimo para mantener las instancias de EC2 con direcciones IP públicas, puede suprimir los hallazgos de este control. Para obtener más información sobre las opciones de arquitectura del front-end, consulte el blog de AWS arquitectura o la serie This Is My Architecture.

Corrección

Usa una VPC no predeterminada para que a tu instancia no se le asigne una dirección IP pública de forma predeterminada.

Al lanzar una instancia de EC2 en una VPC predeterminada, se le asigna una dirección IP pública. Al lanzar una instancia de EC2 en una VPC no predeterminada, la configuración de la subred determina si recibe una dirección IP pública. La subred tiene un atributo para determinar si las nuevas instancias de EC2 de la subred reciben una dirección IP pública del grupo de direcciones IPv4 público.

No puede asociar ni desasociar manualmente una dirección IP pública asignada automáticamente de su instancia de EC2. Para controlar si la instancia de EC2 recibe una dirección IP pública, realice una de las siguientes acciones:

Para obtener más información, consulte Direcciones IPv4 públicas y nombres de host DNS externos en la Guía del usuario de Amazon EC2 para instancias Linux.

Si la instancia de EC2 está asociada a una dirección IP elástica, se puede acceder a ella desde Internet. Puede anular la asociación de una dirección IP elástica de una instancia o interfaz de red en cualquier momento. Para desasociar una dirección IP elástica, consulte Desasociar una dirección IP elástica en la Guía del usuario de Amazon EC2 para instancias de Linux.

[EC2.10] Amazon EC2 debe configurarse para utilizar puntos de enlace de VPC creados para el servicio Amazon EC2

Requisitos relacionados: NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIS.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4)

Categoría: Proteger > Configuración de red segura > Acceso privado a la API

Gravedad: media

Tipo de recurso: AWS::EC2::VPC

Regla de AWS Config: service-vpc-endpoint-enabled

Tipo de cronograma: Periódico

Parámetros:

  • serviceName: ec2

Este control comprueba si se crea un punto final de servicio para Amazon EC2 para cada VPC. El control falla si una VPC no tiene un punto de enlace de VPC creado para el servicio Amazon EC2.

Este control evalúa los recursos en una sola cuenta. No puede describir los recursos que están fuera de la cuenta. Dado que AWS Config Security Hub no realiza comprobaciones entre cuentas, verá FAILED los resultados de las VPC que se comparten entre cuentas. Security Hub recomienda suprimir estos FAILED hallazgos.

Para mejorar la seguridad de su VPC, puede configurar Amazon EC2 para que utilice un punto final de VPC de interfaz. Los puntos de conexión de la interfaz funcionan con una tecnología que le permite acceder a las operaciones de la API de Amazon EC2 de forma privada. AWS PrivateLink Restringe todo el tráfico de red entre la VPC y Amazon EC2 a la red de Amazon. Como los puntos de enlace solo se admiten en la misma región, no puedes crear un punto de enlace entre una VPC y un servicio de una región diferente. Esto evita las llamadas no deseadas a la API de Amazon EC2 a otras regiones.

Para obtener más información sobre la creación de puntos de enlace de VPC para Amazon EC2, consulte Amazon EC2 y los extremos de VPC de interfaz en la Guía del usuario de Amazon EC2 para instancias de Linux.

Corrección

Para crear un punto de enlace de interfaz para Amazon EC2 desde la consola de Amazon VPC, consulte Crear un punto de enlace de VPC en la Guía. AWS PrivateLink Para el nombre del servicio, selecciona com.amazonaws. región .ec2.

También puede crear y adjuntar una política de punto de conexión a su punto de conexión de VPC para controlar el acceso a la API de Amazon EC2. Para obtener instrucciones sobre cómo crear una política de punto de enlace de VPC, consulte Crear una política de punto de enlace en la Guía del usuario de Amazon EC2 para instancias de Linux.

[EC2.12] Los EIP de Amazon EC2 no utilizados deben eliminarse

Requisitos relacionados: PCI DSS v3.2.1/2.4, NIST.800-53.R5 CM-8 (1)

Categoría: Proteger - Configuración de red segura

Gravedad: baja

Tipo de recurso: AWS::EC2::EIP

Regla de AWS Config: eip-attached

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si las direcciones IP elásticas (EIP) que se asignan a una VPC están conectadas a instancias de EC2 o a interfaces de red elásticas (ENI) en uso.

Una búsqueda fallida indica que es posible que tenga EIP de EC2 sin usar.

Esto le ayudará a mantener un inventario preciso de los activos de los EIP en su entorno de datos de titulares de tarjetas (CDE).

Para publicar un EIP no utilizado, consulte Publicar una dirección IP elástica en la Guía del usuario de Amazon EC2 para instancias de Linux.

[EC2.13] Los grupos de seguridad no deberían permitir la entrada de 0.0.0.0/0 al puerto 22

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 CM-7, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7, NIST.800-53.R5 R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (5)

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config: restricted-ssh

Tipo de programa: cambio activado

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS.

El CIS recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones al puerto 22. La eliminación de la conectividad libre a los servicios de la consola a distancia, como SSH, reduce la exposición al riesgo del servidor.

Corrección

Para prohibir la entrada al puerto 22, elimine la regla que permite dicho acceso para cada grupo de seguridad asociado a una VPC. Para obtener instrucciones, consulte Actualizar las reglas del grupo de seguridad en la Guía del usuario de Amazon VPC. Tras seleccionar un grupo de seguridad en la consola de Amazon VPC, seleccione Acciones, Editar reglas entrantes. Elimine la regla que permite el acceso al puerto 22.

[EC2.14] Asegúrese de que ningún grupo de seguridad permita la entrada de 0.0.0.0/0 al puerto 3389

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/4.2

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config: restricted-common-ports

Tipo de programa: cambio activado

El nombre de la regla AWS Config gestionada asociada es restricted-common-ports. Sin embargo, la regla que se crea usa el nombrerestricted-rdp.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS.

El CIS recomienda que ningún grupo de seguridad permita el acceso de entrada sin restricciones al puerto 3389. La eliminación de la conectividad libre a los servicios de la consola a distancia, como RDP, reduce la exposición al riesgo del servidor.

Corrección

Para prohibir la entrada al puerto 3389, elimine la regla que permite dicho acceso para cada grupo de seguridad asociado a una VPC. Para obtener instrucciones, consulte Actualizar las reglas del grupo de seguridad en la Guía del usuario de Amazon VPC. Tras seleccionar un grupo de seguridad en la consola de Amazon VPC, seleccione Acciones, Editar reglas entrantes. Elimine la regla que permite el acceso al puerto 3389.

[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas

Requisitos relacionados: NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIS.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Categoría: Proteger > Seguridad de red

Gravedad: media

Tipo de recurso: AWS::EC2::Subnet

Regla de AWS Config: subnet-auto-assign-public-ip-disabled

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si la asignación de IP públicas en las subredes de Amazon Virtual Private Cloud (Amazon VPC) MapPublicIpOnLaunch está establecida en. FALSE El control se aprueba si el indicador está establecido enFALSE.

Todas las subredes tienen un atributo que determina si una interfaz de red creada en la subred recibe automáticamente una dirección IPv4 pública. Las instancias que se lanzan a subredes que tienen este atributo activado tienen una dirección IP pública asignada a su interfaz de red principal.

Corrección

Para configurar una subred para que no asigne direcciones IP públicas, consulte Modificar el atributo de direccionamiento IPv4 público de su subred en la Guía del usuario de Amazon VPC. Desactive la casilla Habilitar la asignación automática de direcciones IPv4 públicas.

[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas

Requisitos relacionados: NIST.800-53.R5 CM-8 (1)

Categoría: Prevenir > Seguridad de red

Gravedad: baja

Tipo de recurso: AWS::EC2::NetworkAcl

Regla de AWS Config: vpc-network-acl-unused-check

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si hay listas de control de acceso a la red (ACL) sin usar.

El control comprueba la configuración de elementos del recurso AWS::EC2::NetworkAcl y determina las relaciones de la ACL de red.

Si la única relación es la VPC de la ACL de red, se produce un error en el control.

Si se muestran otras relaciones, el control pasa.

Corrección

Para obtener instrucciones sobre cómo eliminar una ACL de red no utilizada, consulte Eliminar una ACL de red en la Guía del usuario de Amazon VPC. No puede eliminar la ACL de red predeterminada ni una ACL que esté asociada a subredes.

[EC2.17] Las instancias de Amazon EC2 no deben utilizar varios ENI

Requisitos relacionados: NIST.800-53.R5 AC-4 (21)

Categoría: Seguridad de red

Gravedad: baja

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config: ec2-instance-multiple-eni-check

Tipo de programa: cambio activado

Parámetros:

  • Adapterids(Opcional): una lista de los identificadores de interfaz de red que se adjuntan a las instancias de EC2

Este control comprueba si una instancia de EC2 utiliza varias interfaces de red elásticas (ENI) o adaptadores de estructura elástica (EFA). Este control se cumple si se utiliza un único adaptador de red. El control incluye una lista de parámetros opcionales para identificar los ENI permitidos. Este control también falla si una instancia de EC2 que pertenece a un clúster de Amazon EKS usa más de un ENI. Si sus instancias de EC2 necesitan tener varios ENI como parte de un clúster de Amazon EKS, puede suprimir esos hallazgos de control.

Varios ENI pueden provocar instancias con doble hogar, es decir, instancias que tienen varias subredes. Esto puede aumentar la complejidad de la seguridad de la red e introducir rutas y accesos a la red no deseados.

Corrección

Para separar una interfaz de red de una instancia de EC2, consulte Desconectar una interfaz de red de una instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones a los puertos autorizados

Requisitos relacionados: NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (4) .800-53.R5 SC-7 (5)

Categoría: Proteger > Configuración de red segura > Configuración del grupo de seguridad

Gravedad: alta

Tipo de recurso: AWS::EC2::SecurityGroup

Regla de AWS Config: vpc-sg-open-only-to-authorized-ports

Tipo de programa: cambio activado

Parámetros:

  • authorizedTcpPorts(Opcional): lista de puertos separados por comas a los que se permite el acceso sin restricciones. Por ejemplo: '80, 443'. Para esta regla, los valores predeterminados authorizedTcpPorts son 80 y 443.

Este control comprueba si los grupos de seguridad que están en uso permiten el tráfico entrante sin restricciones. Si lo desea, la regla comprueba si los números de puerto aparecen en el authorizedTcpPorts parámetro.

  • Si el número de puerto de la regla del grupo de seguridad permite el tráfico entrante sin restricciones, pero el número de puerto está especificado enauthorizedTcpPorts, el control pasa. El valor predeterminado de authorizedTcpPorts es 80, 443.

  • Si el número de puerto de la regla del grupo de seguridad permite el tráfico entrante sin restricciones, pero el número de puerto no está especificado en el parámetro authorizedTcpPorts de entrada, se produce un error en el control.

  • Si no se usa el parámetro, se produce un error en el control para cualquier grupo de seguridad que tenga una regla de entrada sin restricciones.

Los grupos de seguridad proporcionan un filtrado de estado del tráfico de red de entrada y salida a. AWS Las reglas del grupo de seguridad deben seguir el principio del acceso con menos privilegios. El acceso sin restricciones (dirección IP con el sufijo /0) aumenta la posibilidad de que se produzcan actividades malintencionadas, como la piratería informática, denial-of-service los ataques y la pérdida de datos.

A menos que un puerto esté específicamente permitido, el puerto debe denegar el acceso sin restricciones.

Corrección

Para modificar un grupo de seguridad, consulte Agregar, quitar o actualizar reglas en la Guía del usuario de Amazon VPC.

[EC2.19] Los grupos de seguridad no deberían permitir el acceso sin restricciones a los puertos de alto riesgo

Requisitos relacionados: NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-7, NIST.800-53.R5 SC-7 7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (5)

Categoría: Proteger > Acceso restringido a la red

Gravedad: crítica

Tipo de recurso: AWS::EC2::SecurityGroup

AWS Configregla: vpc-sg-restricted-common-ports (regla personalizada de Security Hub)

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si el tráfico entrante sin restricciones de los grupos de seguridad es accesible a los puertos especificados que tienen el mayor riesgo. Este control falla si alguna de las reglas de un grupo de seguridad permite el tráfico de entrada de '0.0.0.0/0' o ': :/0' para esos puertos.

El acceso sin restricciones (0.0.0.0/0) aumenta las posibilidades de actividad maliciosa, como la piratería informática, denial-of-service los ataques y la pérdida de datos.

Los grupos de seguridad proporcionan filtrado con estado del tráfico de red de entrada y salida a los recursos de AWS. Ningún grupo de seguridad debe permitir el acceso sin restricciones a los siguientes puertos:

  • 20, 21 (FTP)

  • 22 (SSH)

  • 23 (Telnet)

  • 25 (SMTP)

  • 110 (POP3)

  • 135 (POR UNIDAD)

  • 143 (MAPA)

  • 445 (CIFS)

  • 1433, 1434 (MSQL)

  • 3000 (marcos de desarrollo web Go, Node.js y Ruby)

  • 3306 (MySQL)

  • 3389 (RDP)

  • 4333 (ahp)

  • 5000 (marcos de desarrollo web de Python)

  • 5432 (postgresql)

  • 500 (fcp-addr-srvr1)

  • 5601 (OpenSearchPaneles)

  • 8080 (proxy)

  • 8088 (puerto HTTP antiguo)

  • 8888 (puerto HTTP alternativo)

  • 920 o 930 () OpenSearch

Corrección

Para eliminar reglas de un grupo de seguridad, consulte Eliminar reglas de un grupo de seguridad en la Guía del usuario de Amazon EC2 para instancias de Linux.

[EC2.20] Ambos túneles VPN para una conexión VPN de AWS sitio a sitio deberían estar activos

Requisitos relacionados: NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Categoría: Resiliencia > Recuperación > Alta disponibilidad

Gravedad: media

Tipo de recurso: AWS::EC2::VPNConnection

Regla de AWS Config: vpc-vpn-2-tunnels-up

Tipo de programa: cambio activado

Parámetros: ninguno

Un túnel VPN es un enlace cifrado en el que los datos pueden pasar de la red del cliente a o desde una AWS conexión VPN de AWS sitio a sitio. Cada conexión de VPN incluye dos túneles de VPN que puede utilizar simultáneamente para conseguir alta disponibilidad. Asegurarse de que ambos túneles VPN estén listos para una conexión VPN es importante para confirmar una conexión segura y de alta disponibilidad entre una AWS VPC y la red remota.

Este control comprueba que los dos túneles VPN proporcionados por la VPN AWS de sitio a sitio estén en estado ACTIVO. El control falla si uno o ambos túneles están en estado INACTIVO.

Corrección

Para modificar las opciones del túnel VPN, consulte Modificación de las opciones del túnel VPN de sitio a sitio en la Guía del usuario de VPN de AWS sitio a sitio.

[EC2.21] Las ACL de red no deberían permitir la entrada de 0.0.0.0/0 al puerto 22 o al puerto 3389

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/5.1, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-7, NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (5)

Categoría: Proteger > Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::EC2::NetworkAcl

Regla de AWS Config: nacl-no-unrestricted-ssh-rdp

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si una lista de control de acceso a la red (NACL) permite el acceso sin restricciones a los puertos TCP predeterminados para el tráfico de entrada de SSH/RDP. La regla falla si una entrada entrante de NACL permite un bloque CIDR de origen de '0.0.0.0/0' o ': :/0' para los puertos TCP 22 o 3389.

El acceso a los puertos de administración remota del servidor, como el puerto 22 (SSH) y el puerto 3389 (RDP), no debe ser de acceso público, ya que esto puede permitir el acceso no deseado a los recursos de la VPC.

Corrección

Para obtener más información sobre las NACL, consulte las ACL de red en la Guía del usuario de VPC.

[EC2.22] Los grupos de seguridad de Amazon EC2 no utilizados deben eliminarse

importante

Security Hub eliminará este control en agosto de 2023 del estándar AWS Fundational Security Best Practices y del estándar NIST SP 800-53 Rev. 5. Para obtener más información, consulte Registro de cambios para los controles de Security Hub.

Requisitos relacionados: NIST.800-53.R5 CM-8 (1)

Categoría: Identificar - Inventario

Gravedad: media

Tipo de recurso:AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

Regla de AWS Config: ec2-security-group-attached-to-eni-periodic

Tipo de cronograma: Periódico

Parámetros: ninguno

Este AWS control comprueba que los grupos de seguridad estén conectados a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) o a una interfaz de red elástica. El control fallará si el grupo de seguridad no está asociado a una instancia de Amazon EC2 o a una interfaz de red elástica.

Corrección

Para crear, asignar y eliminar grupos de seguridad, consulte la guía del usuario sobre grupos de seguridad en Amazon EC2.

[EC2.23] Amazon EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos de VPC

Requisitos relacionados: NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2

Categoría: Proteger - Configuración de red segura

Gravedad: alta

Tipo de recurso: AWS::EC2::TransitGateway

Regla de AWS Config: ec2-transit-gateway-auto-vpc-attach-disabled

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si las puertas de enlace de tránsito de EC2 aceptan automáticamente los adjuntos de VPC compartidos. Este control falla en el caso de una pasarela de tránsito que acepta automáticamente las solicitudes de archivos adjuntos de VPC compartidos.

Al activarlo, se AutoAcceptSharedAttachments configura una pasarela de tránsito para que acepte automáticamente cualquier solicitud de archivos adjuntos de VPC entre cuentas sin verificar la solicitud ni la cuenta de la que proviene el archivo adjunto. Para seguir las prácticas recomendadas de autorización y autenticación, recomendamos desactivar esta función para garantizar que solo se acepten las solicitudes de archivos adjuntos de VPC autorizadas.

Corrección

Para modificar una pasarela de tránsito, consulte Modificar una pasarela de tránsito en la Guía para desarrolladores de Amazon VPC.

[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2

Requisitos relacionados: NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

Categoría: Identificar > Administración de vulnerabilidades, parches y versiones

Gravedad: media

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config: ec2-paravirtual-instance-check

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si el tipo de virtualización de una instancia de EC2 es paravirtual. El control falla si la instancia virtualizationType de EC2 está establecida en. paravirtual

Las Amazon Machine Images (AMI) de Linux utilizan uno de los dos tipos de virtualización: paravirtual (PV) o máquina virtual de hardware (HVM). Las principales diferencias entre las AMI PV y HVM son el modo de arranque y si admiten extensiones de hardware especiales (CPU, red y almacenamiento) para mejorar su rendimiento.

Antes, el rendimiento de los invitados PV era mejor que el de los invitados HVM en muchos casos, pero esto ya no es así debido a las mejoras de la virtualización HVM y a la disponibilidad de controladores PV para AMI HVM. Para obtener más información, consulte los tipos de virtualización de AMI de Linux en la Guía del usuario de Amazon EC2 para instancias de Linux.

Corrección

Para actualizar una instancia de EC2 a un nuevo tipo de instancia, consulte Cambiar el tipo de instancia en la Guía del usuario de Amazon EC2 para instancias de Linux.

[EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar IP públicas a las interfaces de red

Requisitos relacionados: NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIS.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Categoría: Proteger > Configuración de red segura > Recursos no accesibles al público

Gravedad: alta

Tipo de recurso: AWS::EC2::LaunchTemplate

Regla de AWS Config: ec2-launch-template-public-ip-disabled

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si las plantillas de lanzamiento de Amazon EC2 están configuradas para asignar direcciones IP públicas a las interfaces de red en el momento del lanzamiento. El control falla si una plantilla de lanzamiento de EC2 está configurada para asignar una dirección IP pública a las interfaces de red o si hay al menos una interfaz de red que tenga una dirección IP pública.

Una dirección IP pública es aquella a la que se puede acceder desde Internet. Si configura las interfaces de red con una dirección IP pública, es posible que se pueda acceder a los recursos asociados a esas interfaces de red desde Internet. Los recursos de EC2 no deben ser de acceso público, ya que esto puede permitir el acceso no deseado a sus cargas de trabajo.

Corrección

Para actualizar una plantilla de lanzamiento de EC2, consulte Cambiar la configuración de la interfaz de red predeterminada en la Guía del usuario de Amazon EC2 Auto Scaling.

[EC2.28] Los volúmenes de EBS deben incluirse en un plan de respaldo

Categoría: Recuperación > Resiliencia > Copias de seguridad habilitadas

Requisitos relacionados: NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 CS-13 (5)

Gravedad: baja

Tipo de recurso: AWS::EC2::Volume

AWS Configregla: ebs-resources-protected-by-backup-plan

Tipo de cronograma: Periódico

Parámetros: ninguno

Este control evalúa si los volúmenes de Amazon EBS están cubiertos por los planes de respaldo. El control falla si un plan de respaldo no cubre un volumen de Amazon EBS. Este control solo evalúa los volúmenes de Amazon EBS que se encuentran en ese estado. in-use

Las copias de seguridad le ayudan a recuperarse más rápidamente de un incidente de seguridad. También refuerzan la resiliencia de sus sistemas. Incluir volúmenes de Amazon EBS en un plan de respaldo le ayuda a proteger sus datos contra pérdidas o eliminaciones involuntarias.

Corrección

Para añadir un volumen de Amazon EBS a un plan AWS Backup de respaldo, consulte Asignación de recursos a un plan de respaldo en la Guía para AWS Backupdesarrolladores.

[EC2.29] Las instancias de EC2 deben lanzarse en una VPC

importante

Security Hub eliminará este control en agosto de 2023. Para obtener más información, consulte Registro de cambios para los controles de Security Hub.

Categoría: Proteger > Configuración de red segura > Recursos dentro de VPC

Requisitos relacionados: NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIS.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Gravedad: alta

Tipo de recurso: AWS::EC2::Instance

AWS Configregla: ec2-instances-in-vpc

Tipo de programa: cambio activado

Parámetros: ninguno

Este control comprueba si las instancias de Amazon EC2 se lanzan en una nube privada virtual (VPC). Este control falla si se lanza una instancia de EC2 en la red clásica de EC2.

La red EC2 Classic se retiró el 15 de agosto de 2022. El modelo de red EC2 clásico era plano, con direcciones IP públicas asignadas en el momento del lanzamiento. La red EC2-VPC ofrece más funciones de escalabilidad y seguridad y debería ser la predeterminada para lanzar instancias de EC2.

Corrección

Para migrar instancias a la red EC2-VPC, consulte Migrar de EC2 Classic a una VPC en la Guía del usuario de Amazon EC2 para instancias de Linux.